Gry online: socjotechnika jedną z metod kradzieży haseł

Przeczytaj także: Gry online a złośliwe oprogramowanie 2007

Współczesny trojan stworzony w celu kradzieży haseł do gier online jest zazwyczaj dynamiczną biblioteką napisaną w języku programowania Delphi, która automatycznie łączy się z wszystkimi aplikacjami uruchomionymi w systemie. Jeśli szkodnik taki wykryje, że uruchomiono grę online, przechwyci hasło wprowadzone za pośrednictwem klawiatury, wyśle dane na adres e-mail szkodliwego użytkownika, a następnie skasuje się. Wykorzystanie dynamicznej biblioteki umożliwia trojanowi zamaskowanie swojej obecności w systemie oraz ułatwia instalowanie trojana na zaatakowanej maszynie przy użyciu trojana droppera, robaka lub innego szkodliwego oprogramowania.

Pierwszym robakiem kradnącym hasła do gier online był Email-Worm.Win32.Lewor.a. Robak ten wysyłał się na adresy zebrane z książek adresowych w Outlook Expressie na zainfekowanych komputerach. Jeśli robak znajdzie na zainfekowanym komputerze nazwę użytkownika, hasło lub adres serwera dla "Legend of Mir", zapisze te dane na serwerze FTP należącym do szkodliwego użytkownika. Pierwszą masową wysyłkę robaka Email-Worm-Win32.Lewor.a odnotowano na początku czerwca 2004 r.

Autorzy szkodliwych programów przeznaczonych do kradzieży haseł do gier online zaczęli dodawać do swoich "tworów" funkcję samodzielnego rozprzestrzeniania się. Szkodnik miał kopiować się na dyski wymienne z dodatkowym plikiem o nazwie "autorun.inf"; spowodowałoby to uruchomienie szkodliwego programu, po tym jak zainfekowany dysk zostałby podłączony do komputera (jednak do infekcji doszłoby tylko wtedy, gdyby komputer został ustawiony w taki sposób, aby zezwalał na tego typu automatyczne uruchomienie). Gdyby użytkownik podłączył pamięć flash do zainfekowanego komputera, szkodliwy program automatycznie skopiowałby się do pamięci flash, a następnie - po podłączeniu zainfekowanej pamięci do innego komputera - szkodliwy kod zostałby automatycznie uruchomiony, infekując wszystkie inne wymienne dyski.

Wkrótce zaczęły pojawiać się inne rodzaje szkodliwego oprogramowania, które potrafiły infekować pliki wykonywalne i kopiować się do zasobów sieciowych. Takie procedury infekcji dostarczyły twórcom wirusów kolejny sposób rozprzestrzeniania ich tworów, a firmom antywirusowym kolejny problem, na który musiały znaleźć rozwiązanie. Jeśli szkodliwy program potrafi kopiować się do folderów udostępnionych dla wielu użytkowników (np. poprzez P2P lub współdzielone foldery Microsoft Networks), znacznie zwiększa to liczbę potencjalnych ofiar.

Jeden z przykładów szkodliwych programów tej klasy klasyfikowany jest przez firmę Kaspersky Lab jako Worm.Win32.Viking. Następca Vikinga, robak Worm.Win32.Fujack, stanowił kolejny krok w ewolucji masowego rozprzestrzeniania szkodliwych programów dla gier online.

Obecnie najnowszym osiągnięciem osób piszących wirusy dla gier online jest polimorficzny wirus Virus.Win32.Alman.a i jego następca Virus.Win32.Hala.a. Oprócz infekowania plików wykonywalnych, takie szkodliwe programy zawierają funkcjonalność robaka (umiejętność rozprzestrzeniania się za pośrednictwem zasobów sieciowych), funkcjonalność rootkita (umiejętność maskowania swojej obecności w systemie) oraz funkcjonalność backdoora. Zainfekowana maszyna podłączy się do wyznaczonego serwera w celu nadsłuchiwania poleceń szkodliwego użytkownika. Polecenia takie mogą obejmować polecenie pobrania i uruchomienia programów klasyfikowanych przez firmę Kaspersky Lab jako Trojan-PSW.Win32.OnLineGames.

Zarówno Alman.a jak i Hala.a zawiera listę plików wykonywalnych, które nie powinny być infekowane. Oprócz plików należących do innych szkodliwych programów lista zawiera pliki należące do klientów gier online. W ramach mechanizmu ochrony zarówno gry online jak i rozwiązania antywirusowe mogą uniemożliwić uruchomienie zmodyfikowanych plików wykonywalnych. Wzięli to pod uwagę szkodliwi użytkownicy, którzy z pewnością nie chcieliby, aby gracze nie mogli grać na zainfekowanych maszynach. W końcu maszyna zainfekowana trojanem Trojan-PSW.Win32.OnLineGames umożliwi cyberprzestępcom zdobycie haseł graczy.

Nieustanne dążenie do przechytrzenia firm antywirusowych spowodowało, że twórcy wirusów implementują technologie autoochrony, które pomogą ich tworom obejść oprogramowanie antywirusowe.

Pierwszym krokiem było wykorzystanie pakerów - miało to na celu ukrycie kodu przed skanowaniem sygnatur. Wykorzystanie pakerów chroni kod programu przed dezasemblacją i utrudnia analizę szkodliwych programów. Kolejny etap polegał na wykorzystaniu technologii kill-av, która umożliwia szkodliwemu oprogramowaniu wyłączenie rozwiązania zapewniającego ochronę komputera lub bycie niewidocznym dla programów antywirusowych.