Die Malware-Analysten von Doctor Web haben einen Trojaner entdeckt, der die Schwachstellen des Counter-Strike 1.6 Spielclients ausnutzte, um die Computer der Benutzer zu infiltrieren. Nach der Installation ersetzte der Trojaner die Spieldateien und die Liste der verfügbaren Spielserver.
Der Trojaner, genannt Trojan.Belonard, gelangte auf die Rechner der Spieler, sobald er eine Verbindung zu einem bösartigen Spielserver aufbauen konnte. Er nutzte dabei Schwachstellen des Spiel-Clients aus und konnte sowohl die Steam-Versionen als auch die raubkopierten Builds von Counter-Strike 1.6 (CS 1.6) infizieren. Auf dem Computer des Opfers ersetzte der Trojaner die Dateien des Clients und erstellt Proxies, um andere Benutzer zu infizieren. Ein solches Schema dient in der Regel dazu, ein Netzwerk von infizierten Computern aufzubauen, mit dem Spielserver für Geld beworben werden können.
Die Zahl der Online-Spieler mit offiziellen CS-Clients 1.6 liegt aktuell bei ca. 20.000, die Gesamtzahl der auf Steam registrierten Spielserver beläuft sich auf über 5.000. Verkauf, Vermietung und Bewerbung von Spielservern sind zu einem echten Geschäft geworden und werden als Dienstleistungen auf verschiedenen Webseiten angeboten. Serverbesitzer bezahlen oft dafür, ohne zu wissen, dass ihr Server durch Malware gefördert werden kann. Solche illegalen Methoden verwendete zum Beispiel ein Entwickler mit dem Spitznamen Belonard; sein Server infizierte andere Spieler mit einem Trojaner, um weitere Server über ihre Konten zu bewerben.
Die Anzahl der schädlichen CS-Server 1.6, die mit dem Belonard-Trojaner erstellt wurden, liegt inzwischen bei 39 % aller bei Steam registrierten, offiziellen Server. Die CS-Community hat schon länger mit Problemen dieser Art zu kämpfen. Leider erkannte Virenschutzsoftware bisher nur Teile der Bedrohung, nicht aber den Belonard-Trojaner in seiner Gesamtheit. Doch jetzt werden alle Module des Belonard-Trojaners von Dr.Web Antivirus entdeckt und stellen daher für Dr.Web Nutzer keine Bedrohung dar.
Weitere Informationen:
Mehr zur Funktionsweise des Trojaners finden Sie in diesem englischsprachigen Ermittlungsbericht.
www.drweb-av.de