hraní holdem

Trójské hry: Odlanor

I mezi malware se najdou výjimečné a unikátní kousky kódu, které vybočují z řady například tím, že cíli na speciální skupinu obětí, která však v případě úspěchu může útočníkovi výrazně vylepšit finanční situaci.
Total
0
Sdílení

Trójský kůň Win32/Spy.Odlanor specificky cílí na uživatele dvou největších stránek s online pokerem: PokerStars a Full Tilt Poker. Útočník s přístupem do malware databáze při hře doslova vidí do karet protihráče. Cesta k jednoduché výhře je přímo vydlážděna.

Celý útok byl v zásadě velmi jednoduchý (to je však znak dobře napsaného malware), kdy po nakažení počítače a spuštění hry se útočník připojil k danému hernímu stolu a díky znalosti karet v poklidu začal obírat protihráče. Jak? Po infikování počítače začal Win32/Spy.Odlenor v pravidelných intervalech fotit obrazovku infikovaného počítače a fotky odesílat na vzdálený server, kde si je útočník může ihned prohlédnout a zvolit další strategii hry.

K nákaze počítače byly použity prověřené cesty, kdy je malware přibalen do často stahovaných aplikací jako je Daemon Tools nebo mTorrent z neoficiálních download serverů. Odlanor byl navíc chytře propašován do programů, které hráči pokeru velmi často využívají, jako jsou Tournament Shark, Poker Calculator Pro, Smart Buddy nebo Poker Office. O hladké šíření tak bylo postaráno.

Trojan komunikuje s řídícím serverem přes HTTP. Část dat ohledně verze škodlivého kódu nebo informací o nakaženém počítači jsou odesílány v URL parametrech. Zbytek sbíraných informací, včetně archivu s fotkami obrazovek nebo hesly, se posílají v POST datech.

Screenshot níže zobrazuje část kódu, který hledá PokerStars a Full Tilt Poker okna.

kódy

Podle statistik telemetrie ESET LiveGrid® je nejvíce infikovaných počítačů na východě Evropy. Win32/Spy.Odlanor však znamená potenciální riziko pro všechny hráče online pokeru. Několik obětí se také našlo v České republice, Polsku a Maďarsku.

kulatý graf nakažení virem odlanor

SHA1 hash

18d9c30294ae989eb8933aeaa160570bd7309afc
510acecee856abc3e1804f63743ce4a9de4f632e
dfa64f053bbf549908b32f1f0e3cf693678c5f5a

Mohlo by vás zajímat