PRO вирусы. Версия 4.0 (Холмогоров) - страница 47
, а тело трояна подгружалось в память с помощью метода Assembly.Load (). Сразу же после этого SteamLogger.1 скачивал с управляющего сервера и показывал на экране картинку с изображением якобы предлагаемого к продаже товара, чтобы усыпить бдительность жертвы.
Рис. 8. Вот такую картинку показывал игроку троянец SteamLogger.1
Дальше к работе подключался сервисный модуль. Он искал в папке ProgramFiles (x86)\Common Files\ подпапку с именем Steam (если не находил — создавал ее), сохранял в нее файл SteamService.exe, присваивал ему атрибуты «системный» и «скрытый», после чего запускал его, предварительно зарегистрировав это приложение в отвечающей за автозагрузку ветви реестра. Собрав информацию о зараженной машине (включая серийный номер системного раздела, версию и разрядность ОС), сервисный модуль отсылал ее на управляющий сервер. При этом использовались прокси, адреса которых хранятся в самой программе. Основное предназначение сервисного модуля — обновление трояна.
Основной модуль SteamLogger.1 висит в памяти зараженной машины, внимательно отслеживает состояние процесса игрового клиента и ждет, пока пользователь авторизуется в Steam. Как только это произойдет, троян перехватывает используемые для входа в учетную запись данные, определяет, используются ли защитные механизмы SteamGuard, steam-id, security token, и передает все эти сведения на управляющий сервер. В ответ он получает список аккаунтов, на которые можно передать украденные у жертвы игровые предметы, и необходимые для совершения «сделки» параметры. Затем троян ищет в папке steam-клиента файлы, в именах которых содержится строка ssfn*, собирает содержимое подпапки confg, после чего формирует из полученных файлов большой массив, дописывает в его конец данные об аккаунте жертвы и шифрует все это с помощью Base64. Результат отсылается на управляющий сервер. Наконец, SteamLogger.1 проверяет, включена ли в клиенте Steam функция автоматического входа в аккаунт, и, если нет, запускает кейлоггер, который записывает и передает злодеям коды нажимаемых на зараженной машине клавиш. Любопытно, что кейлоггер не сохраняет результат своей работы в файл на локальной машине, а формирует специальный POST-запрос и передает его на управляющий сервер с интервалом в пятнадцать секунд. Этот запрос обрабатывается и логируется уже на стороне сервера.
Предметы, которые троянец планирует украсть, он ищет в инвентаре жертвы по ключевым словам Mythical, Legendary, Arcana, Immortal, Container и Supply Crate. При этом SteamLogger.1 проверяет, не выставил ли сам пользователь что-либо из списка на продажу, и, если это так, снимает с продажи интересующий его предмет. После чего все найденные предметы передаются на один из аккаунтов Steam, реквизиты которых троян получил ранее с управляющего сервера. Для перепродажи краденого киберпреступники создали несколько интернет-магазинов.