2019年3月14日

株式会社Doctor Web Pacific

Doctor Webのラボでは、 Counter-Strike（カウンターストライク） 1.6ゲームクライアントの脆弱性を悪用してユーザーのコンピューターに侵入するマルウェア Trojan.Belonard について調査を行いました。このトロイの木馬は、インストールされるとゲームファイルおよび利用可能なゲームサーバーのリストを置き換えます。

Trojan.Belonard は悪意のあるゲームサーバーに接続されると同時にデバイス上にインストールされます。このトロイの木馬はゲームクライアントの脆弱性を悪用し、Steam版と海賊版の両方の Counter-Strike 1.6 （CS 1.6）を感染させることができます。被害者のコンピューター上にインストールされると、クライアントのファイルを置き換え、他のユーザーを感染させるためにプロキシを作成します。通常、このような手法は感染したコンピューターのネットワークを構築する目的で使用され、それによりゲームサーバーを宣伝して収益を得ることが可能になります。

このゲームは長い歴史を持つにもかかわらず未だ多くのファンを持ち、CS 1.6の公式クライアントを使用するオンラインのプレイヤー数は約2万人と推定され、Steamに登録されているゲームサーバーの合計数は5千を超えています。ゲームサーバーの販売、レンタル、宣伝は、今や立派なビジネスとしてみなされ、これらのサービスはさまざまなサイトで購入することができます。多くの場合、サーバーの所有者は自分のサーバーがマルウェアによって宣伝されてしまう可能性があるということに気が付かず、それらのサービスに料金を支払っています。そのような違法な方法が「Belonard」と呼ばれる開発者によって使用されていました。この開発者のサーバーは他のプレイヤーをトロイの木馬に感染させ、それらのアカウント経由で別のサーバーを宣伝していました。

現時点で、 Belonard トロイの木馬によって作成された悪意のあるCS 1.6サーバーの数は、Steam上に登録されているすべての公式サーバーの39%にも上っています。CSコミュニティーは長らくこの問題に直面してきました。しかしながら、これまでアンチウイルスは Belonard トロイの木馬全体ではなく、この脅威の一部のみを特定することしかできませんでした。この度、Dr.Webのアンチウイルス製品により Belonard トロイの木馬のすべてのモジュールが検出されるようになりました。したがって、Dr.Webのユーザーに危害が及ぶことはありません。 Belonard トロイの木馬とその動作についての詳細は、こちらの調査結果をご覧ください。