|
Един от експертите по компютърна безопасност на антивирусната AVG без малко да падне от стола, когато на екрана се появило съобщение от автора на вируса с текст: "Какво правиш? Защо разучаваш моя код?
Всичко започва с това, че в компютъра на Хинек Блинка (Hynek Blinka) попаднала неизвестна и явно зловредна програма, разпространявана чрез форума на battle.net в Тайван. Блинке имал за задача да намери разпространявания в последно време кейлогър за Diablo III, понеже имало проблеми с масови кражби на акаунти за играта. При изследването на кода специалистът забелязал, че се осъществява връзка към отдалечен сървър чрез TCP 80 и се изтеглят допълнителни файлове за инсталиране.
Блинке решил, че това е простичък downloader/backdoor, който няма отношение към настоящата му работа. Учудването на специалиста било огромно, когато по време на изтеглянето на допълнителните модули на екрана се показал прозорец за чат:
Съобщението гласяло (превод от китайски): "Какво правиш? Защо изследваш моя троянец?
Диалогът не е запрограмирана част от програма, а е извикан по време на дизасемблирането. Забележително е това, че авторът на троянеца в същото време е бил онлайн и е успял да засече, че някой е подложил неговата програма на обратен инженеринг. Специалистът решил да продължи разговора, за да измъкне повече информация. Самият хакер се държал нагло и високомерно:
Блинке: Не знаех, че виждаш моя екран.
Хакерът: Бих искал да видя и лицето ти, нo жалко, че нямаш камера.
Оказало се, че хакерът казва истината и във вируса са включени функции за управление на уеб камера, за управление на мишката и други.
Антивирусният специалист се престорил на наивник, който иска да закупи малко вредоносен код, но хакерът прекратил сесията.
Троянецът е класифициран в антивирусната база на AVG като вариант на BackDoor.Generic. |
|
