Троян , ворующий предметы

Хотя про этот троян известно достаточно давно, настоящую массовость он приобрел в конце ноября.
Интересно в нем то, что вместо обычной кражи логинов и паролей, от которой можно вполне просто защититься, он напрямую ворует предметы из инвентаря Steam.

Компания Valve давно в курсе проблемы, но каких-то особых действий за несколько месяцев так и не предприняла, хотя текущую волну можно без проблем остановить небольшими изменениями в клиенте Steam.

В инвентаре Steam хранятся предметы из нескольких популярных игр Valve, некоторые из которых могут стоить весьма внушительную (по меркам цветных пикселей) сумму. Также в нем хранятся предметы связанные с самим Steam (подарочные копии игр, фоны профиля, смайлы и т.п.).

Заражение

Заражение происходит следующим образом. Ничего не подозревающему пользователю приходит сообщение, в котором содержится ссылка на якобы скриншот инвентаря, с предложением обменяться предметами. После перехода по ссылке автоматически начинает загружаться файл .scr, имеющий иконку, которая выглядит как миниатюра изображения. Учитывая, что по-умолчанию в Windows показ расширения выключен, а если даже и включен, .scr вполне может быть воспринято как «screenshot», выглядит всё весьма правдоподобно.



После запуска файла троян распаковывает из ресурсов картинку и открывает её (на картинке действительно скриншот инвентаря или какого-нибудь предмета). Некоторые из модификаций прописываются в автозапуск.



Параллельно с этим троян извлекает cookies из памяти клиента Steam, делает запрос на steamcommunity.com для получения идентификатора сессии, ищет в инвентаре подходящие предметы и отправляет их через «Trade Request» на заранее подготовленные аккаунты злоумышленников.

К слову, во время написания этой статьи, я нашёл еще один вариант трояна (очевидно, основанный на публичных исходниках), который был написан немного иначе и обладал дополнительными функциями, например, рассылкой сообщений через список друзей.

Кстати, оригинальное имя собранного файла было «Maksim Steam Offer.exe», о чем мне любезно сказал рефлектор, а идентификатор профиля, на который идут украденные предметы — 76561198009197365. Домен, с которого троян распространялся (и на момент написания распространяется) — «puush-me.com» (для тех, кто решит поиграть в детектива, заходить из под виртуальной машины). И да, он там необфусцированный.

Несколько доменов, которые мне удалось собрать:

take-screen.org
fastscreen.org
my-screenshot.net
puush-me.com
picturesfast.net
screen-url.com

Что примечательно, большинство из них зарегистрированы у русских регистраторов.

http://habrahabr.ru/post/246175/

so slow
валве ничего не могут сделать, люди сами виноваты
к тебе добавляется человек, у которого еще не создан профиль и кидает тебе ссылку, а почему бы не перейти

voed,
часто это твой хороший знакомый. с текстом:
"ку, обменяй вот эту шмотку http://........"

От знакомых ни разу не было, боты добавлялись раз 10 наверное со ссылкой на троян, хоть у меня и шмоток на 30 долларов от силы
Немного внимательности и здравый смысл - все что требуется в данном случае

было пару раз кидали ссылку , типо зацени какой у меня есть предмет , давай обменяемся , тупо закрывал сообщение

Если не ошибаюсь то софт с leak sx


Я попался на эту фигню еще в сентябре. Отдал инвентарь на 11к

Тех.поддержка ответила следующее:
"Вас не взламывали и не входили в аккаунт с другого компьютера, проверьте еще раз свой компьютер на наличие вирусов.
Мы не можем вернуть вам ваши вещи, вы виноваты в этом сами."

Один из реальных пользователей STEAM который совершает эти кражи: http://steamcommunity.com/id/iceice_god

Буквально вчера получил 7 сообщений от друзей (!!!!!!) с подобным спамом.

хорошо что я терпеть не могу стим

за что?

Привалило в профиль.

мне инетерсно если тут создать тему и кликабельную ссылку и ты по ней перейдешь, тоже сп*здят шмот? или тока в стиме кликаешь, и воруют


могу подарить 1=))

Мне все равно, я перешел - ничего, кроме как загрузить заставку не предложило, ну понятно, что троян.

Jlx7,
ты после этого, не плакал? жалко же-(

Люблю торояны разбирать, для себя полезно. И чтоб ничего не произошло, я давно по отключал все скрипты в браузере + грамотно настроенный Firewall.

w0nd3r, все же не стоит=)))

И ты станешь запускать подозрительный .scr файл?


Всё верно говорят.


Ну если браузер нормальный и в настройках не отключено, то выскочит предложение сохранить или нет.

И вообще как бы очевидно, что если предлагают глянуть скриншот (картинку), а по ссылке скачивается не картинка, а нечто иное, то тут явно что-то не то.

Кстати, насчет возврата вещей: если все украдено одним трейдом и злоумышленник не успел это все еще 5 раз перетрейдить, то вещи все же возвращают. Если же по 1-2 вещи за трейд и на несколько аккаунтов, то нет

[WPMG]PRoSToTeM@,
а я где-то писал что открывал?

Баян. Я как зарегался в стиме мне сразу такие ссылки приходить стали. и от друзей в том числе. Просто не перехожу и все. а ботов с пустым профилем стима или скрытым блокирую. в профиле такую шляпу тоже оставляют. блокирую потом удаляю.

под какими ещё расширениями может скрываться троян?