Вредоносные программы, ориентированные на пользователей онлайн-игр

Сергей Голованов

TrojWare — «игровые» троянцы»

VirWare-программы

Выводы

 

2007 год можно с полной уверенностью назвать годом жульничества в онлайновых мирах или, например, годом наживы на несчастных геймерах. За один год вредоносные программы, ориентированные на игроков онлайн-игр, сделали огромный скачок в своем развитии. По разнообразию и распространенности они уже вполне могут соперничать с червями и вирусами, вызывающими эпидемии (см. онлайн-двадцатку за ноябрь — http://www.viruslist.com/ru/analysis?pubid=204007580), а по сложности сравнимы с лучшими представителями, занимающимися построением зомби-сети (см. развитие вредоносных программ — http://www.viruslist.com/ru/analysis?pubid=204007565).

В 2007 году количество вредоносных программ, ориентированных исключительно на игроков онлайн-игр, по сравнению с 2006-м увеличилось на 145%, что вписывается в экспоненциальный рост и отражает сложившуюся ситуацию с воровством виртуальной онлайновой собственности в целом (рис. 1).

 

Рис. 1. Количество всех вредоносных программ, ворующих пароли
к онлайн-играм за год

Проследить динамику роста количества вредоносных программ для онлайн-игр можно более детально, предварительно разбив их на TrojWare и VirWare.

TrojWare — «игровые» троянцы»

Среди всех вредоносных программ, нацеленных на игроков онлайн-игр, троянские программы (вредоносные программы, несущие в себе функции только воровства пароля) составляют 96%.

К наиболее ярким представителям «игровых» троянцев относятся: Trojan-PSW.Win32.OnlineGames; Trojan-PSW.Win32.Lmir; Trojan-PSW.Win32.Nilage; Trojan-PSW.Win32.WOW; Trojan-PSW.Win32.Magania; Trojan-PSW.Win32.Gamec; Trojan-PSW.Win32.Tibia; Trojan-PSW.Win32.Hangame.

В общей массе новых троянских программ, ворующих конфиденциальную информацию (Trojan-PSW), на долю «игровых» троянцев в 2007 году пришлось 69,8%. Отметим при этом, что доля «игровых» троянцев постоянно растет: в январе этот показатель составлял около 65%, в сентябре превысил 75%, а в конце года перевалил за 80% (рис. 2). Можно c уверенностью сказать, что пароли к онлайн-играм интересуют злоумышленников больше, чем пароли к электронной почте, интернет-пейджеру или онлайн-банкингу.

 

Рис. 2. Доля троянцев, нацеленных на онлайн-игры, в общей массе троянцев,
ворующих конфиденциальные данные (Trojan-PSW) (по месяцам 2007 года)

Сравнение кодов «игровых» троянцев позволяет сделать вывод, что 2006 год и первая половина 2007-го — это время испытаний новых технологий воровства паролей, ключей или иной информации, с помощью которой злоумышленники могли бы совершать в игре любые действия с чужой виртуальной собственностью. Во второй половине 2007 года эти уже испытанные технологии дорабатывались в соответствии с новыми патчами разработчиков онлайн-игр или изменялись таким образом, чтобы их детектирование с антивирусов стало невозможным (рис. 3).

 

Рис. 3. Количество вредоносных программ (TrojWare), ворующих пароли
к онлайн-играм (по месяцам 2007 года)

Быстрый рост числа новых троянских программ в начале года и его замедление в конце, вкупе с отсутствием технологических новшеств, также говорит о том, что ко второму полугодию 2007 года схема воровства игровых персонажей и виртуальной собственности устоялась.

Сокращение числа новых «игровых» троянцев в июле может быть связано с традиционным в это время года периодом отпусков и снижением частоты обновлений для клиентов онлайн-игр. В таких условиях у злоумышленников нет необходимости в большом количестве новых троянцев, поскольку продлевается срок успешной службы старых.

Что касается направления развития «игровых» троянцев, то 2007-й стал годом перехода от троянцев, нацеленных на какую-либо одну конкретную игру, к троянцам, ориентированным на кражу паролей к целому ряду игр (рис. 4).

 

Рис. 4. Число «игровых» троянцев, ориентированных на кражу паролей одновременно
к нескольким играм, и троянцев, ориентированных на игроков одной игры
(по месяцам 2007 года)

По итогам года наиболее многочисленным по количеству новых программ оказалось семейство Trojan-PSW.Win32.OnlineGames, представители которого могут охотиться за паролями сразу к нескольким играм (число игр-мишеней может варьироваться от двух до десяти), — рис. 5.

 

Рис. 5. Самые многочисленные семейства «игровых» троянцев в 2007 году

Понять, насколько популярны различные онлайн-игры у авторов троянцев, можно, оценив долю каждого троянца, нацеленного на конкретную онлайн-игру, в общей массе всех игровых троянцев (рис. 6).

 

Рис. 6. Доля троянцев, нацеленных на конкретные онлайн-игры, в общей массе всех
«игровых» троянцев (по месяцам 2007 года)

Из приведенного графика видно, как на протяжении всего года игра Lineage2 теряла популярность у авторов троянцев (Trojan-PSW.Win32.Nilage), в отличие от игры Gamania (Trojan-PSW.Win32.Magania), набиравшей популярность во второй половине 2007 года, и World of Warcraft, сохраняющей завидную стабильность со всплеском внимания к ней в августе (видимо, связанного с «близзконом» 8 — http://www.blizzard.com/blizzcon07/highlights.shtml).

Обратившись к системе google.com/trends, мы можем оценить популярность игр Lineage2 и World of Warcraft у игроков онлайн-игр (на рис. 7 и 8 отображено количество ссылок, найденных поисковой системой Google, по соответствующим запросам).

 

Рис. 7. Результат работы google.com/trends по запросу «lineage»
(http://www.google.com/trends?q=lineage&ctab=0)

Рис. 8. Результат работы google.com/trends по запросу «wow»
(http://www.google.com/trends?q=wow&ctab=0)

Очевидно, что интерес к Lineage2 в течение года падает, а World of Warcraft не теряет своих позиций. Таким образом, популярность онлайн-игр у авторов троянцев коррелируется с популярностью игр в Интернете.

VirWare-программы

Среди всех вредоносных программ, нацеленных на игроков онлайн-игр, на долю VirWare-программ (самораспространяющиеся вредоносные программы) приходится всего 4%, однако к этой категории относятся «знаменитые» вредоносы: Worm.Win32.Viking; Worm.Win32.Fujack; Virus.Win32.Alman; Virus.Win32.Hala; Worm.Win32.AutoRun.

В общем потоке всех VirWare доля «игровых» программ в течение года колеблется (рис. 9).

 

Рис. 9. Доля самораспространяющихся вредоносных программ, ориентированных
на онлайн-игры, в общей массе VirWare-программ (по месяцам 2007 года)

Из приведенных данных следует, что зимой, в период максимальной геймерской активности, каждый пятый самораспространяющийся зловред нацелен на кражу пароля к онлайн-играм.

Вирусописатели активно занимались созданием новых «игровых» WirWare-программам в начале и в конце 2007 года — это видно на графике, приведенном на рис. 10.

 

Рис. 10. Количество новых самораспространяющихся вредоносных программ (VirWare),
ворующих пароли к онлайн-играм (по месяцам 2007 года)

Еще один пик активности создателей новых «игровых» VirWare-программ приходится на июль. Связано это с появлением в этом месяце одного из наиболее эффективных «игровых» червей — Worm.Win32.AutoRun (напомним, что число новых «игровых» троянцев в июле, напротив, резко сократилось).

Эффективность данного червя обусловлена способом его распространения через флэш-карты. AutoRun не утратил своей популярности после успешного дебюта, и декабрьский пик числа новых игровых WirWare-программ во многом связан именно с ним.

Выводы

Онлайн-игры давно перестали быть чем-то необычным — это часть нашей повседневной жизни, как ICQ, электронная почта или мобильный телефон.

Развитие вредоносных программ для онлайн-игр в 2007 году является прямым следствием развития самих онлайн-игр и игровой индустрии в целом. Сегодня кража виртуальной собственности и игровых персонажей — это хорошо налаженный бизнес. И если в начале года еще не существовало каких-то универсальных алгоритмов для воровства паролей к онлайн-играм, то в конце года они появились.

В настоящее время в мире появляется восемь-девять новых червей для кражи паролей к онлайн-играм в день и пять-шесть «игровых» троянцев в час! При этом «игровые» вредоносные программы последнего поколения уже сравнимы по сложности с многофункциональными троянцами, занимающимися построением зомби-сетей.

Сегодня существует вполне сформировавшийся черный рынок игровых ценностей, развивающийся по всем законам экономики. И вирусописатели внимательно следят за его развитием.

График, приведенный на рис. 11, отображает количество ссылок, найденных поисковой системой Google (google.com/trends) по запросам «sell account» [продать пароль] (синим цветом), «buy account» [купить пароль] (красным цветом) и «hack account» [взломать пароль] (желтым цветом).

 

Рис. 11. Результат работы google.com/trends по запросу «sell account, buy account, hack account»
(http://www.google.com/trends?q=sell+account%2C+buy+account%2C+hack+account&ctab=0&geo=all&date=all&sort=0)

Данный график позволяет оценить степень популярности соответствующих тематик. Учитывая, что большая часть предложений купить/продать аккаунт связана с онлайн-играми, можно констатировать, что на рынке игровых ценностей спрос опережает предложение. А очевидная синхронность роста популярности тем покупки и продажи с темой взлома аккаунтов, отраженная на графике (с выраженным летним пиком на трех кривых), свидетельствует о криминализации этого рынка.

За счет постоянного увеличения числа желающих прикупить себе либо игровых персонажей, либо виртуальные богатства рынок игровых ценностей будет продолжать развиваться. А это значит, что ожидать падения интереса вирусописателей к онлайн-играм в ближайшее время не приходится — развитие вредоносных программ, ориентированных на игроков онлайн-игр, продолжится: авторы акцентируют внимание на самозащите «игровых» зловредов и начнут интегрировать наработанный функционал кражи паролей во вредоносные программы других поведений, например в бэкдоры.

 

В начало В начало

КомпьютерПресс 4'2008

Наш канал на Youtube

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует