Un 39% de los servidores del Counter Strike 1.6 contiene un troyano dispuesto a infectar los ordenadores de los jugadores del popular videojuego online.
El Counter Strike (CS) 1.6 es un videojuego que data del 2002. Aunque hay versiones mucho más nuevas y populares de este shooter (“juego de disparos” para los legos en la materia), esta vieja gloria todavía sigue siendo jugada online por unas 20.000 personas.
Para poder conectarse con otros jugadores, los usuarios utilizan servidores. En total, para esta versión, existen unos 5.000. El problema es que, de todos ellos, un 39% (más de 1.900) están infectados por el Troyano Belonard, según la empresa de seguridad Dr. Web.
Se trata de un malware que se instala en los equipos de los jugadores para crear más servidores intermediarios (proxys) infectados. Es decir, el troyano utiliza una vulnerabilidad existente en el CS para garantizar su existencia y replicarse en más equipos. Además, cuando un jugador se infecta, su lista de servidores es borrada y reemplazada. Por lo que para jugar online se ve obligado a conectarse a los que el troyano le proporciona.
Todos los usuarios de Counter Strike 1.6 son potenciales víctimas de Belonard, ya que pueden infectarse de maneras diferentes. La forma de infección más directa es la descarga de una versión pirata infectada. Sin embargo, las versiones limpias también pueden infectarse al conectarse a uno de los servidores maliciosos. Incluso aunque se juegue desde la plataforma Steam.
Según la investigación de Dr. Web, el objetivo de este troyano es promocionar servidores. Esto cobra sentido cuando sabemos que alrededor de la venta, el alquiler y la promoción de los servidores de juego hay un negocio real, en los que los titulares de los servidores pagan por promoción, sin saber si se está usando software malicioso.
¿Cómo saber si mi Counter Strike está infectado por Belonard?
El troyano actúa sin que los usuarios infectados puedan darse cuenta. Lo que lo convierte en tremendamente peligroso, ya que este tipo de malware puede tomar control del equipo. Por este motivo deberíamos eliminarlo inmediatamente de nuestros dispositivos.
A pesar de que el troyano actúa de forma sigilosa, si sabemos buscarlo lo encontraremos, pues crea diferentes archivos en nuestro equipo. Por ejemplo, si vamos a la carpeta System32 de Windows (C://Windows/System32) y encontramos un archivo llamado WinDHCP.dll, nuestro equipo ha sido víctima del troyano.
Esta es la forma manual de encontrar el virus. Sin embargo, un antivirus actualizado lo detectará con normalidad. Tal y como hemos podido comprobar al analizar la muestra del troyano en VirusTotal.
Así, realizando un análisis con cualquiera de los principales antivirus, incluso con uno gratuito, detectaríamos el troyano y podríamos eliminarlo sin ningún problema de nuestro ordenador.