"Что ты делаешь?! Зачем ты изучаешь мой троян?". Странная история эксперта Блинка

Эксперт по компьютерной безопасности Хинек Блинка говорит, что такое случилась впервые в его карьере

21 июня 2012 в 14:52, просмотров: 3798

Специалист по безопасности чешской антивирусной компании AVG чуть не упал со стула, когда на экране появилось сообщение от автора вируса: «Что ты делаешь? Зачем ты изучаешь мой троян?». Это произошло в момент анализа нового вируса.

xakep.ru

Всё пошло с того, что в руки Блинке попала неизвестная, но явно вредоносная программа, которая распространялась на форумах с battle.net на Тайване. Специалист немедленно начал изучать код. Он запустил зловреда на виртуальной машине и обнаружил, что тот стучится на удалённый сервер по TCP 80 и скачивает новые файлы для установки, рассказывает издание xakep.ru

Стоит отметить, что это простой downloader/backdoor, который не заинтересовал исследователя, потому что его задачей было найти кейлоггер для Diablo III — в последнее время возникли проблемы с массовым похищением аккаунтов игроков, поэтому Блинке поставили задачу найти этот кейлоггер и посмотреть, как он работает.

Когда программа подключилась к удалённому серверу и начала скачивать новые модули, Хинек Блинка оторопел: на экране внезапно возникло окно чата с сообщением (переведено с китайского):

— Что ты делаешь? Зачем ты изучаешь мой троян?

Данный диалог не был частью какой-то программы, установленной на виртуальной машине. Окно было вызвано самим бэкдором. Удивительно, что автор трояна в этот момент был в онлайне и заметил, что кто-то копается в его программе. Блинка решил поддержать с ним разговор, чтобы выудить побольше информации. Тот вёл себя весьма высокомерно.

Блинка: Я не знал, что ты видишь мой экран.
Хакер: Я бы хотел увидеть и твоё лицо, жаль, что у тебя нет камеры.

Тот говорил правду, в бэкдоре действительно была функция контроля веб-камеры, а также управления мышью, трансляции скринкаста и т.д. Вредоносная программа классифицирована в антивирусной базе AVG как вариант BackDoor.Generic.

Хинек Блинка продолжил разговор с хакером, притворившись, что хочет купить программу, но тот прекратил сессию.



Партнеры