Counter Strike 1.6的零日漏洞让恶意服务器侵入玩家的电脑

如果你是反恐游戏玩家，那就要当心了，因为现有的反恐1.6游戏服务器中有39%是恶意的，它们被设置为远程攻击玩家的电脑。

据研究人员称，已有近20年历史的流行游戏《反击1.6》在其客户端软件中包含多个未修补的远程代码执行（RCE）漏洞，攻击者一旦连接到恶意服务器，就可以在玩家的计算机上执行任意代码，无需玩家进一步互动。

事实证明，一位绰号为“Belonard”的俄罗斯游戏服务器开发商一直在利用这些漏洞在野外推广他的业务，并通过用自定义特洛伊木马感染受损玩家的系统来创建一个僵尸网络。

配音白俄罗斯，该特洛伊木马以其开发者的名字命名，旨在获得持久性，替换安装在受感染系统上的易受攻击游戏客户端中的可用游戏服务器列表，并创建代理以进一步传播该特洛伊木马。

 

韦伯博士在周三发布的一份报告中说：“通常，代理服务器显示的ping较低，因此其他玩家会将其列在列表的顶部。通过选择其中一个，玩家会被重定向到一个恶意服务器，在那里他们的计算机感染了特洛伊木马。Belonard”。

除此之外，这名流氓开发者还通过其已感染Belonard特洛伊木马的网站分发游戏客户端的修改版或盗版版本。

特洛伊木马的11个组件之一充当恶意客户端的保护器，“过滤从其他游戏服务器接收的请求、文件和命令，并将有关试图更改客户端的数据传输到特洛伊木马开发者的服务器”。

以下是攻击流程图，展示了Belonard如何工作并感染玩家的电脑：
该恶意软件还使用Steam API注册创建的代理游戏服务器，并使用加密在系统上存储数据，并与其远程命令和控制服务器通信。

 

研究人员说：“根据我们的分析，在官方Steam客户端提供的大约5000台服务器中，1951台是由Belonard特洛伊木马创建的”。“这是所有游戏服务器的39%。这样一个规模的网络允许特洛伊木马的开发人员为钱推广其他服务器，将它们添加到受感染游戏客户端的可用服务器列表中”。

研究人员已经向Valve Corporation报告了这些漏洞，Valve Corporation是Counter Strike 1.6游戏的开发者。

此外，Dr.Web研究人员还向俄罗斯网络注册官报告了恶意软件开发人员使用的恶意域名，俄罗斯网络注册官随后暂停了多个域名，试图关闭僵尸网络。

然而，关闭几个域并不能阻止攻击者设置更多恶意服务器，除非反击开发者修补其游戏软件中报告的远程代码执行漏洞。