Компания «Яндекс» передала на исследование в вирусную лабораторию «Доктор Веб» образец редкого Node.js-троянца. Эта вредоносная программа, которая распространяется через сайты с читами для видеоигр, имеет несколько версий и компонентов.
При попытке скачать чит пользователь загружает на свой компьютер архив, защищенный паролем. Внутри находится исполняемый файл, который при запуске скачивает нужные читы вместе с другими компонентами троянца.
Запустившись на устройстве жертвы, Trojan.MonsterInstall загружает и устанавливает необходимые для своей работы модули, собирает информацию о системе и отправляет ее на сервер разработчика. После получения ответа устанавливается в автозагрузку и начинает добычу (майнинг) криптовалюты TurtleCoin.
Разработчики вредоносного ПО используют для распространения собственные ресурсы с читами к популярным играм, а также заражают файлы на других подобных сайтах. Согласно статистике SimilarWeb, пользователи просматривают эти сайты примерно 127 400 раз в месяц.
Ресурсы, принадлежащие разработчику троянца:
- румайнкрафт[.]рф;
- clearcheats[.]ru;
- mmotalks[.]com;
- minecraft-chiter[.]ru;
- torrent-igri[.]com;
- worldcodes[.]ru;
- cheatfiles[.]ru.
Кроме того, троянцем заражены некоторые файлы на сайте proplaying[.]ru.
Специалисты «Доктор Веб» рекомендуют пользователям вовремя обновлять антивирус и не загружать сомнительное ПО.
Компания «Доктор Веб» также благодарит специалистов компании «Яндекс» за предоставленный образец и дополнительную информацию об источниках распространения вредоносной программы.
> Подробнее о троянце
> Индикаторы компрометации
Комментарии (13)
Alexsandr_SE
19.06.2019 14:41-1Сейчас столько всякого развелось. Иной раз и не поймешь сходу где оно вообще обитает на ПК. Все сканы показывают, что все ок, а по факту тот же антивирус которые показывает ок, режет обращения к сайтам и попытку скачать троянца. Иногда попытка идет с браузера иногда в логах просто попытка, из ниоткуда.
Раньше как-то было проще с вирусами и файлами на поиск.
Walking_Negative
19.06.2019 17:25+1орнул с домена minecraft-chiter[.]ru
HackerDelphi
19.06.2019 18:23Ну, так-то и сам майнкрафт денег стоит, да и читы, внезапно, для сетевой игры есть...
razielvamp
19.06.2019 18:34+5В запороленном архиве исполняемый файл, который после запуска выгружает зловреда? Троянец, действительно, уникальнейший!
Zibx
19.06.2019 23:46-1В какой момент трейнеры стали называть читами? Уже давно слух и глаз режет. Всегда была терминология: чит — недокументированная возможность сделанная разработчиком, трейнер — что-то издевающееся над процессом игры и в чём как раз и может быть что-то вредоносное.
Не покидает ощущение что кто-то начал называть системный блок процессором и не нашлось ни одного сноба желающего на это указать.APL_not_Apple
20.06.2019 07:12+1С тех пор как используют в сетевой игре.
Трейнер — это когда тренируешься в одиночной игре, а не пытаешься всех «нОгибать» в сетевой.Zibx
20.06.2019 17:03Для сетевой игры существует термин Hack\Hacks. Это как раз исполняемый файл который модифицирует игровой процесс и даёт возможность издеваться над оппонентами.
Finesse
20.06.2019 08:27+1Чит (cheat) переводится как «обман», «мошенничество», поэтому любой инструмент, который даёт игроку возможности, которые не предусмотрены игрой или скрыты разработчиками, относится к читам.
Zibx
20.06.2019 17:01В игровой индустрии cheat был сокращением от cheat code. И он как раз давал возможности предусмотренные разработчиком, но отличающиеся от того что предусматривал сценарист.
APL_not_Apple
20.06.2019 08:33недокументированная возможность сделанная разработчиком
Нет, это — багофича, использование которой и без всяких читов позволяет чувствовать в игре как Нео в Матрице.
iluxa1810
20.06.2019 08:14Ну и по делом. Пусть страдают. Хотел нОгебать в сетевой игре? Нагнулся сам.
alexesDev
Когда не хватает денег для блога на хабре?