Специалисты антивирусной компании «ESET NOD32» обнаружили новый вредоносный троян — «Win32/Spy.Odlanor», который довольно серьезно может подпортить жизнь всем покеристам, играющим в популярных комнатах PokerStars и Full Tilt. После заражения компьютера жертвы, хакеры не только получают доступ к личной информации игрока, но и используют возможность видеть карты жертвы прямо во время игры, что дает им неоспоримое преимущество. В этой статье я расскажу как именно действует Odlanor и чем он опасен для нас.

Как троян Odlanor проникает в систему?

Способов на самом деле много, но обычно к заражению приводит скачивание полезного софта из недостоверных источников. Мошенники просто встраивают свой троян в любую популярную программу, например uTorrent или Daemon Tools. Чтобы сузить круг поисков игроков PokerStars и Full Tilt хакеры интегрируют Odlanor в покерные программы, такие как Tournament Shark, Poker Office, Poker Calculator Pro и другие.  Поэтому мой вам совет — весь софт качайте исключительно с сайтов производителей.

Как Odlanor вредит игрокам?

После того, как компьютер заражается трояном, вредоносный вирус выжидает момент запуска клиентов PokerStars / Full Tilt и делает скриншот экрана, отправляя его на удаленный сервер к злоумышленнику. 

Таким образом мошенники получают ник игрока. Казалось бы, ничего страшного, правда? Но далее они заходят в клиент под своим аккаунтом, находят этого игрока за кэш-столами через инструмент «поиск игрока», подсаживаются к нему за стол и играют с ним, получая скриншоты с его стола вместе с открытыми картами!

Через эту функцию мошенники подсаживаются за стол к жертве

При этом эксперты антивирусной компании «ESET NOD32» пока точно не могут установить, играет ли мошенник за столом сам или использует для этого автоматизированного бота. Независимо от этого, вред от такого трояна очевиден любому покеристу. 

Также было установлено, что в новых версиях Odlanor у злоумышленников появилась возможность получать пароли игроков за счет интеграции в троян нежелательного инструмента «NirSoft WebBrowserPassView», позволяющего извлекать пароли из веб-браузеров. К счастью, этот инструмент обычно обнаруживается антивирусными программами. Например в ESET он помечается как «Win32/PSWTool.WebBrowserPassView.B».

Пока не известно, попали ли под удар исключительно игроки PokerStars / FullTilt или же мошенники также используют этот троян для кражи данных из других покер румов.

Технические особенности трояна Odlanor

Вредоносная утилита «Win32/Spy.Odlanor» работает со своим C&C-сервером через простой HTTP-протокол. Извлекаемые данные с компьютера жертвы отправляются в виде параметров URL. Архивы со скриншотами румов и украденные пароли игроков отправляется в теле запроса POST HTTP-протокола. Ниже предоставлены два скриншота от специалистов «ESET NOD32», которые обнаружили вредоносный код, найдя окна с приложениями PokerStars и Full Tilt Poker через утилиту IDA Pro.

Код покерного трояна Odlanor

Идентификаторы SHA-1 некоторых версий трояна:

  • 18d9c30294ae989eb8933aeaa160570bd7309afc
  • 510acecee856abc3e1804f63743ce4a9de4f632e
  • dfa64f053bbf549908b32f1f0e3cf693678c5f5a

География заражения трояном Odlanor

На данный момент удалось обнаружить несколько версий этого трояна, самый ранний из которых был запущен мартом 2015 года. Сотрудники «ESET NOD32» установили, что больше всего заражений приходится на страны Восточной Европы. При этом стоит понимать, что эта утилита является опасной для любого игрока PokerStars и Full Tilt. От действий мошенников также пострадали покеристы из Чехии, Польше и Венгрии. Только за одни последние сутки было зафиксировано несколько сотен заражений этим вирусом. Ниже предоставлены страны, где троян навредил игрокам больше всего.

География заражения покерным трояном

Что делать?

В первую очередь вам нужно начать более внимательно относиться к безопасности вашего ПК. Вот лишь несколько советов, которые помогут вам снизить шансы заразиться трояном Odlanor и потерять дeньги в покер румах:

Надеюсь, данная статья окажется для вас полезной.