Frost - Вирус,или у меня параноя о_О

Wildy · 04.07.2011, 17:16

Программный продукт Frost по официальной версии предназначен для защиты клиентской части онлайн-игр от модификации с целью получения необоснованных игровых преимуществ (боты, читы и так далее)
* Продукт является разработкой Ереванской компании frostsecurity.net, тестно аффилированной с группой компаний Иннова (владелец и основной разработчик — Рафаэль Согомян)
* Продукт состоит из двух частей: прокси-серверов (устанавливаемого на отдельных серверах в датацентре Инновы) и клиентской части, внедренной в игрового клиента (интегрируется разработчиком игры)
* Frost активирован в следующих онлайн-играх Инновы: AION, RF Online, PointBlank, R2 Online, ACE Online, LineAge II, Atlantica (практически все массовые продукты компании Иннова)
* Общее количество подписчиков (а это означает — установлен ботнет frost ) перечисленных онлайн-игр превышает 3 миллиона человек, большую часть из них составляют граждане России, Украины, Белоруссии и Казахстана
* Многие в обход внутренних правил играют на рабочем месте в рабочее время (включая банки, коммерческие структуры и госучреждения)
* Frost модифицирует клиентскую часть игры следующим образом:
* После запуска программы он ведет себя как rootkit, пряча себя и защищаемую программу от сторонних отладчиков, антивирусов, и прочих как паразитных, так и легальных программ. В связи с этим пользователь лишается возможности проконтролировать работу запущенной игры и Frost, предоставляя ей полный доступ к ресурсам своего компьютера
* После запуска Frost собирает информацию о системе (файловая система, реестр), пытается обнаружить известные ему программы и нейтрализует известные разработчикам средства противодействия
* Отказаться от использования Frost пользователь не может. Если он хочет играть, он обязан предоставить свой компьютер в распоряжение Frost
* Frost прозрачно шифрует весь обмен траффиком между игровым клиентом и прокси сервером. Алгоритм шифрования и способы генерации сессионных ключей держатся в строгом секрете и регулярно меняются. По имеющимся данным, криптографическое средство не проходило сертификации в России
* Среди прочих игровых данных Frost шифрует и обмен текстовыми сообщениями между участниками онлайн игры, затрудняя их анализ средствами СОРМ и представляя возможность для безопасной координации экстремистких действий используя безобидные онлайн-игры
* Примерно раз в час Frost скачивает свои обновления, которые могут менять алгоритмы его работы. Если пользователь будет противиться обновлению Frost, это приведет к тому, что в течении часа его сеанс игры закончится, его учетная запись будет заблокирована, и пользователь будет обвинен в нарушении игровых правил.
* Frost периодически сбрасывает данные по качеству соединения (и, возможно, другие данные с компьютера) и они анализируются в Ереване
* Механизм автообновления Frost является одним из самых сомнительных моментов, так как позволяет выгружать произвольный исполняемый код как на все компьютеры, так и адресно на компьютеры из сетей определенных коммерческих или государственных структур, что позволяет реализовывать следующие сценарии: эффективные DDoS атаки на пиратские серверы и серверы конкурентов, несанкционированный доступ к данным (включая персональные данные и секретные документы). В отличии от вирусных ботнетов вредоносное воздействие может быть очень кратковременным и адресным, что делает его обнаружение крайне затруднительным. Следующим обновлением вредоносный код может быть полностью удален. Мощность сети в 2 миллиона клиентов позволяет в течени нескольких минут вызвать перегрузку магистральных сетей Ростелекома, ТТК, Мегафона, Синтерры и прочих магистральных операторов и полностью парализовать российский сегмент сети Интернет.
* Frost является одним из самых защищаемых секретов Инновы, разработка ведется только в Ереване (команда Рафаэля Согомоняна), алгоритмы работы засекречены. Известно, что Frost в прошлом вызывал серьезные деградации в защищаемых играх, но все попытки разобраться в его работе и выяснить причину жестко пресекались руководством
* Под работу Frost выделено несколько десятков серверов
* Frost управляется только из Еревана и российские инженеры к процессу не допускается. На обновления Frost не распространяются общие регламенты обновления програмных продуктов в компании, обновления производятся без согласования и в любое время (вечером, в выходные)
* Ряд армянских сотрудников компании имеет тесные родственные связи с большинством российских платежных систем и с несколькими банками и периодически оказывает им дружеские услуги
* Один из сотрудников компании (Гарегин Маргарян) имеет тесные связи с армянским ВПК, на настоящий момент находится в Москве и выполняет установку руководство на полную замену инженерного штата

kamikadza · 04.07.2011, 17:30

А вот откуда данная инфа, кто источник? Или это личные заключения?

yurec · 04.07.2011, 17:30

для развития паранои

Цитата:

Сообщение от shapka

http://www.youtube.com/watch?v=pyo18...eature=related
http://www.youtube.com/watch?v=QTSWZ...eature=related

kolr · 04.07.2011, 17:59

все догадки, что делает фрост на самом деле никому не извесно

mikser · 04.07.2011, 18:00

это с алчится копипаста
они попытались резюмировать статью которую обсуждали тут http://coderx.ru/showthread.php?t=8353

kolr · 04.07.2011, 18:02

интересно услышать людей компетентный в этом деле которые ковыряли его

xkor · 05.07.2011, 02:23

kolr, услышать чего? тут важно то что фрост имеет абсолютный доступ ко всему компьютеру и если он не запрограммирован использоваться её "в нехороших" целях сейчас (что кстати тоже неизвестно) это не значит что через час он не получит с обновлением такой функционал, а учитывая его глючность как упоминалось в видео эту функциональность ему могут теоретически придать даже и не разработчики, а некие "злые хаккеры".

ЗЫ кстати по видео, там прозвучало что неизвестно как фрост отличает игровой трафик от всего остального. Как человек ковырявший именно эту функциональность фроста могу сказать что отличать ему и не требуется ибо он запрограммирован ловить трафик игры как можно ближе к месту его генерации, и ловит он скорее не трафик а вызовы внутренних функций клиента которые этот трафик генерируют, а по сему чтобы перехватывать и трафик не игровой разрабам придётся не переписывать некий фильтр игрового и не игрового трафика а изрядно наращивать функционал. Хотя, учитывая полный доступ фроста ко всему, реализоваться этот функционал при необходимости будет не сложно.

ЗЗЫ ах да, ещё хотел сказать что на мой взгляд достаточной квалификацией чтобы выяснить есть ли во текущей версии фроста некий вредоносный функционал обладают лишь люди годами изучающие внутренности различный вирусов, а читоры/прогеры сидящие тут явно не смогут (да и не станут ибо нафиг им это нужно) достаточно разобрать фроста.

Link · 05.07.2011, 05:24

Цитата:

Сообщение от xkor

kolr, услышать чего? тут важно то что фрост имеет абсолютный доступ ко всему компьютеру и если он не запрограммирован использоваться её "в нехороших" целях сейчас (что кстати тоже неизвестно) это не значит что через час он не получит с обновлением такой функционал, а учитывая его глючность как упоминалось в видео эту функциональность ему могут теоретически придать даже и не разработчики, а некие "злые хаккеры".

ЗЫ кстати по видео, там прозвучало что неизвестно как фрост отличает игровой трафик от всего остального. Как человек ковырявший именно эту функциональность фроста могу сказать что отличать ему и не требуется ибо он запрограммирован ловить трафик игры как можно ближе к месту его генерации, и ловит он скорее не трафик а вызовы внутренних функций клиента которые этот трафик генерируют, а по сему чтобы перехватывать и трафик не игровой разрабам придётся не переписывать некий фильтр игрового и не игрового трафика а изрядно наращивать функционал. Хотя, учитывая полный доступ фроста ко всему, реализоваться этот функционал при необходимости будет не сложно.

ЗЗЫ ах да, ещё хотел сказать что на мой взгляд достаточной квалификацией чтобы выяснить есть ли во текущей версии фроста некий вредоносный функционал обладают лишь люди годами изучающие внутренности различный вирусов, а читоры/прогеры сидящие тут явно не смогут (да и не станут ибо нафиг им это нужно) достаточно разобрать фроста.

xkor · 05.07.2011, 13:03

Link, я не понял твоей картинки...

Цитата:

Сообщение от xixi

Эти ребята увели исходники фроста из Ереванского офиса, и имеют все свидетельства того что сами разработчики фроста занимаются нелегальными делами.

я конечно хз что именно они имеют, но мне они говорили что увели довольно скудный кусочек сурцев, и сомневаюсь что по ним можно такие выводы делать, так что имхо Шапошников тут (да и не только тут в общем то) сильно преувеличивает.

kamikadza · 05.07.2011, 13:13

Цитата:

Сообщение от xkor

Link, я не понял твоей картинки...

я конечно хз что именно они имеют, но мне они говорили что увели довольно скудный кусочек сурцев, и сомневаюсь что по ним можно такие выводы делать, так что имхо Шапошников тут (да и не только тут в общем то) сильно преувеличивает.

Тобиш ты подтверждаеш что D и A получили какую то инфу о фросте(программный код)?