Microsoft выявила ботнет, который атакует серверы Minecraft

Важно: большая часть заражённых устройств находится в России.

В блоге компании Microsoft появилась статья о кроссплатформенном ботнете, который занимается DDOS-атаками частных серверов Minecraft Java Edition.

Механизм распространения таков, что после удаления вредоносного кода с зараженного ПК, он может остаться на устройствах, которые «подхватили» его от компьютера, и эти устройства продолжат быть частью ботнета.

Судя по всему, главным источником распространения является активатор пиратской Windows 10, который помимо самой активации дополнял систему фальшивой версией файла svhost.exe.

Эта программа запускала скрипт, который сканировал сеть на наличие устройств под управлением Linux (Ubuntu, CentOS и Debian), а также Raspbian (операционная система устройств Raspberry Pi), на которых было включено удалённое управление. Зловред пытался получить доступ к устройству путём перебора стандартных паролей и, если всё происходило успешно, загружал на него копию скрипта и средства для его запуска.

География заражённых устройств, входящих в ботнет. Изображение: Microsoft.com

Ботнет умеет исполнять разные команды, но среди них есть несколько, по которым можно судить, что он создавался специально для атаки на серверы Minecraft — это атаки с использованием протоколов Raknet и Netty, включая отправку сетевых пакетов Minecraft. Для повышения эффективности атаки используется уязвимость в библиотеке Log4j. В результате такой атаки сервер быстро зависает.

Интересно, что целью ботнета являются серверы версии 1.12.2, хотя исследователи отмечают, что он может успешно использоваться для атаки серверов с версии 1.7.2 по 1.18.2.

В Minecraft 1.19 произошли изменения протокола, благодаря чему ботнет не сможет атаковать серверы версии 1.19.х.

В статье приводится скриншот активаторов Windows, с помощью которых заражались пользовательские компьютеры.

Скриншот активаторов, которые устанавливали вредоносное ПО. Изображение: Microsoft.com

Судя по всему, они активно распространялись в России, чем и объясняется география ботнета.

Поэтому если у вас на ПК установлена пиратская версия Windows, и вы её активировали чем-то похожим, то вам не помешает воспользоваться антивирусом.

А если у вас есть собственный сервер Minecraft, то не помешает обновить его до версии 1.19.

MCCrash: Cross-platform DDoS botnet targets private Minecraft servers
→microsoft.com

fromgate

Редактор и администратор проектов MinecraftMain.Ru. Познакомился с Minecraft ещё во времена бета-версий, и с тех пор успел «поиграть» в него самыми разными способами: администрирование серверов, разработка плагинов, перевод игры и создание публикаций.

Дальше Обновление Minecraft 1.19.4, снапшот 23w04a »

Назад « Minecraft забрал себе домен minecraft.com

Просмотреть комментарии

Мясо-продукт говорит:

22.12.2022 в 21:36

> Эта программа запускала скрипт, который сканировал сеть на наличие устройств под управлением Linux [...], а также Raspbian

Но Raspbian и есть GNU+Linux, а если быть точнее, то сборкой Debian.
теомир говорит:

27.12.2022 в 10:04

эта новость мне напоминает газетную утку, из за следующих фактов:
1. слишком сильная антироссийская направленность.
2. Кому нужно засовывать в активаторы винды, гм подобную глупость, а вот обвинить Россию в какой-нибудь хрене, западники, вполне могли.
3. зачем собственно тайно вставлять утилиту в активатор винды, когда можно просто на какой не будь сайт выложить статью с следующим заголовком: "Проограмма для взлома серверов майнкрафта!",- ну и приписать, скачивание безплатно и без смс.И толпа детей будут это качать, и скармливать данной софтине ip серверов и порты .
- fromgate говорит:
  
  01.01.2023 в 15:30
  
  Совсем не напоминает, потому что:
  1. Антироссийскую направленность придумали вы. То, что создание и распространение пиратского активатора происходило в России вполне объяснимо.
  2. Изначальный активатор, который был дополнен вредоносным кодом, было создан в России.
  3. Затем, вашим образом вы получите десяток школьников, запустивших программу, а распространяя активатор — кучу заражённых компьютеров, в т.ч. среди тех, кто не интересуется игрой.
  Зачем вообще нужны IP-серверы и порты? Эту информацию поставляют те, в чьих интересах создавался ботнет.
  
  В общем, конспирология — это конечно забавная вещь, но не нужно скатываться в РенТВ.
  - теонар говорит:
    
    10.02.2023 в 00:29
    
    ну да согласин, вот только подобную програмулину, вполне можно засунуть в тлаунчер и можно замутить такой ботнет, какой моджангу и не снился. И я не про тл лаунчер, а про тлаунчер, про тот, который фейковый и со своей платной системой скинов. Думаю дедосер там вполне соседствует с майнером)
Kirill говорит:

14.01.2023 в 13:04

Всё хорошо работает Всё
- Kirill говорит:
  
  14.01.2023 в 13:05
  
  Всё работает Всё хорошо
теонар говорит:

12.02.2023 в 22:42

Добавлю, что сейчас активаторами практически не кто не пользуется, а значит и выхлоп будет маленьким.
И, так с учётом того что лицензионную версию windows 10 сейчас имеют практически все кто обновлялся с семки, то и чему-то глобальному развиться попросту , не из чего. Но вот что мы упускаем, так это кучу мутных ператских лаунчеров, которые мягко говоря, берутся со всяких подворотен. Всякие klauncher, тлаунчер и прочие напичканные рекламой продукты, вполне могут содержать, не только, проплаченную рекламу серверов, но и небольшой, такой троянчик, который глушит тех, кто не заплатил за рекламму.