分析师警告说 数以千计的CS 1.6服务器陷入了特洛伊木马

反恐精英：当你提到反恐精英时，大多数人都会想到全球攻势，但2003年发布的版本仍然有很多粉丝，反恐精英1.6。游戏仍然拥有健康的玩家群- 比Steam上的大多数游戏更多 - 但有一项研究发现这些玩家可能面临风险，数千台CS 1.6服务器被木马感染。

Dr.Web反病毒数据库的一项研究警告说，通过CS 1.6客户端可以查看的5,000台服务器中，近2000台服务器是Trojan.Belonard客户端创建的虚拟服务器。这不是第一次CS 1.6成为这种攻击的目标，特洛伊木马通过用户在连接1.6服务器时看到的每日消息中隐藏的iframe进行分发。

该窗口的内容是一个HTML文件。黑客创建的MOTD文件包含一个隐藏的IFRAME组件，用于重定向到其中一个服务器。反过来，包含Win32.HLLW.HLProxy特洛伊木马文件的admin.cmd文件被下载并安装在受害者的计算机上。

已向Valve报告的最新漏洞甚至更严重。根据分析师的说法，该木马可以感染Steam版本的游戏或盗版(世界上一些网络用户仍在使用)。

“一名玩家启动官方Steam客户端并选择游戏服务器，”分析师解释说。“在连接到恶意服务器时，它会利用RCE漏洞，将其中一个恶意库上传到受害者的设备。根据漏洞的类型，将下载并执行两个库中的一个：client.dll(Trojan.Belonard。 1)或Mssv24.asi(Trojan.Belonard.5)。“

特洛伊木马的一个元素特别令人讨厌。在搜索播放器的计算机以运行CS客户端之后，它会根据自己的方式检查这些文件的哈希值。如果两者不匹配，它将结束现有客户端 - 显示“无法加载游戏”的警告 - 然后开始用自己的受感染版本替换客户端hl.exe文件。

由于恶意软件依赖于从外部域名中提取文件，因此分析人员可以在俄罗斯域名注册商的帮助下削减未来的连接并防止未来的感染。CS 1.6没有被修补以防止漏洞利用，但是，只有Valve可以做 - 而分析师关注的事情可能不会发生，考虑到游戏的年龄。

他们写道：“Doctor Web已经向Valve通报了游戏的这些和其他漏洞，但截至目前，还没有关于何时修复漏洞的数据。”