Обратная связь

    На днях, в поисках путей утечки паролей игроков Diablo III, разработчики из AVG Technologies попали в забавную ситуацию. В процессе отладки кода найденного трояна на экране появилось окно встроенного чата с вопросом на китайском: «Что вы делаете? Зачем изучаете мой троян? Что вы от него хотите?»




    Как уже говорилось, вирус был обнаружен при расследовании утечки паролей пользователей Diablo III. Изначально он был выложен в формате видеоинструкции «Как фармить Изуала в АдуПекло» («How to farm Izual in Inferno») в rar-архиве. Внутри классическая схема — исполняемый файл с пиктограммой дефолтного медиапроигрывателя и его товарищ, замаскированный под readme. Собственно, понятно, почему его нашли так быстро.

    image

    Программистов Франклина Чжао и Джейсона Чжоу втянули в общение. «Не знал, что ты можешь видеть мой экран». На что злоумышленник ответил: «Я бы хотел увидеть твое лицо, но, к сожалению, у тебя нет камеры». Дальнейшее изучение вируса показало, что бэкдор действительно позволял наблюдать за экраном зараженного компьютера, управлять мышью, просматривать запущенные процессы и модули и даже управлять камерой.

    image

    Программисты притворились новичками и попытались заказать у хакера работу. Однако тот не поддался на провокацию и дистанционно выключил их компьютер. Дальнейшая работа над вирусом с встроенным чатом показала, что он не имеет отношения к Diablo III, а предназначен для кражи логинов и паролей dial-up подключений.

    «Звучит, как сюжет фильма, но это правда. Мы знакомы с вредоносным софтом и боремся с ним ежедневно. Однако чат с хакером в реальном времени случается не так уж часто. В следующий раз будем настороже», — написали программисты в блоге компании.
    Поделиться публикацией
    Ой, у вас баннер убежал!

    Ну. И что?
    Реклама
    Комментарии 72
      +241
      шло второе десятилетие 21го века, люди до сих пор воруют пароли на dial-up посредством екзешника с иконкой аудиофайла.
        +18
        На самом деле контрастно получилось. С одной стороны совершенно нубской способ проникновения, с другой стороны интересное решение, которое не каждый день встретишь.
          +2
          Что тут интересного? Захват экрана, управление компьютером, возможность перегрузить машину и ЧАТ с подконтрольным компьютером были еще в программах NetBus и BackOffice, которые я, тогда еще школьник, выудил с диска «Хакер» году где-то в 99-ом.
            +2
            Ок, относительно простоты функционала — вопросов нет. Но назвать хотя бы три похожих случая за последние пару лет, думаю, не получится. Да, бывает, обе стороны иногда общаются в IRC канале управления, но в подобном форм-факторе это редкость. К сожалению, чуваки из AVG не выложили детальный анализ, но было бы забавно если бы это был callback на обнаружение отладчика, к примеру, да?

            Сама малварь примитивна, начиная от способа проникновения в систему и попытки скрыть себя, заканчивая вложенным функционалом.
              +4
              Странно, что «чуваки из AVG» не отслеживали сетевые подключения, могли бы найти если не хакера, то хост с которого происходит управление зараженными компами.
                +3
                Думаю, что отслеживали, просто в статье не выложен адрес хоста :) Далек от разоборов малвари, но песочница + куча «мониторов» это классический набор вирусного аналитика.
                –1
                Как раз функционал удивляет — он либо должен был сразу многофункциональную заразу распространять, либо же догружать компоненты
                +22
                BackOrifice, а не Office
                  0
                  да, точно
              +2
              Китайцы до сих пор пиратят под Денди.
                +2
                Судя по всему, в мире и во втором десятилетии 21ого века много людей с отключенными расширениями файлов и привычкой тыкать во все, что может быть видео. Подозреваю, что, если бы не роутер, у меня до сих пор в папки с разрешенным аплоадом из сетки сыпались бы подобные файлы, как они сыпались два-три года назад. Если метод работает — почему бы его не применять? :)
                  0
                  Судя по всему, в мире и во втором десятилетии 21ого века много людей с отключенными расширениями файлов

                  В целом я стараюсь считать, что «на вкус и цвет», «каждому своё», но одна опция, IMHO, таки просто не имеет права на существование — скрытие «расширений» (кстати само понятие «расширения» — жуткое legacy, пртерявшее с закатом аутентичной DOS всякий физический смысл, но почему-то до сих пор серьёзно использующееся (вместо этого можно бы было, к примеру, просто хранить mime-тип или что-нибудь такое как аттрибут файла)). Поразительно, что до-сих пор никто не опомнился и если ни не удалил эту опцию вообще то, хотя бы, не отключил её по-умолчанию. Только представьте себе, сколько заражений бы удалось предотвратить, на сколько меньше бы было в мире идиотизма, если бы отправить в прошлое терминатора и убить а того, кто это придумал…
                +2
                Хороший зверёк. Жаль, что авиры не выложили отчёта об исследовании или бинарник.
                  +2
                  думаю чат не выдержит хаброфект потому и не выложили.)))
                  +51
                  а предназначен для кражи логинов и паролей dial-up подключений.

                  Вирус, который опередил своё время! :)
                    –7
                    Скорее вирус, который опоздал!
                      –1
                      Вирус, который сам бы мог опубликовать эту статью.
                        +1
                        Всё новое — хорошо забытое старое...))… Судя по всему — это реально какой-то древний бэкдор из нашего детства. Только в детстве мы ещё объединяльщиками файлов их маскировали.
                        –1
                        А смысл был сильно «заморачиваться» ради dial-up
                          +4
                          наблюдать за экраном зараженного компьютера, управлять мышью, просматривать запущенные процессы и модули и даже управлять камерой.


                          предназначен для кражи логинов и паролей dial-up


                          Слабо представляю как можно нормально (не скриншотами раз в 2 минуты, отжирая канал и палясь) смотреть на раб.стол удаленного компьютера и в вебку по dial-up, так для чего тогда пароли? :)
                            +5
                            Возможно имелось в виду не только привычный dial-up, но и другие подключения в том числе (PPPoE к примеру) с подобной схемой авторизации.
                              +3
                              В таком случае да, согласен.
                              Но идея хороша, конечно :)
                                +1
                                Да там можно все что угодно скомпрометировать. Например человек зашел в онлайн банкинг, через камеру ждем когда он отойдет в туалет. Быстро хватаем управление переводим средства на карту и следим чтобы человек на запалил…
                                  +4
                                  Каждый день ввожу все данные с карты и поссать бегу, при этом оставляя перед вебкой мобилу чтоб было видно входящую смску и карту чтоб CV2 считать можно было
                                +9
                                Если пользователь запускает исполняемый файл вместо видео, о том, что спалишься, можно не думать.
                                  +1
                                  Расширение у большинства пользователей скрыто в винде.
                                  +4
                                  Возможно, в Китае своя специфика подключений к интернету (а dial up не всегда медленный)
                                    +6
                                    Помню как в школе везде ставил Back Orifice и ешё какую-то весёлую программу типа «из журнала хакер» (не могу найти, но не Netbus). С дико крутым интерфейсом, возможностью потыкать CDROM ом, показать картинку, снимать скриншоты и управлять практически всем, что подключено в компу. Можно скажем флопом проиграть midi было, а ешё там ещё чат «как в матрице» был – нереально крутая тема в уловиях школы

                                    Так вот, на дворе был 99 год и «интернетстомегабит» был, скажем так, совсем не в каждой квартире. Однако даже по dialup управлять и смотреть можно было вполне сносно (1024x768 Flatron, если не изменяет память, удлинял член минимум на 10см)
                                      0
                                      Prorat?
                                        0
                                        Я видел скриншоты prorat пока искал тот бэкдор, и это не тот. Под крутым UI я тогда понимал утончённые границы кнопок (не 2px, а 1), реакция на наведение мышки в виде утемнения границ и самое главное – наикрутейшая иконка :D Точно не знак радиации – различные нюкалки рядом не стояли по красоте и эргономичности с этой «утилитой».

                                        PS: И судя по тому, что prorat работает на win2k+ это совсем не он. У нас в школе максимум был win98 и тот стоял только на мощной преподской тачке с wait for it ... Teak CDROM-RW (аж четырёх скоростным).
                                          +1
                                          только он был Teac :)
                                          +1
                                          Sub7 похож, но судя по дате релиза это тоже не может быть он. Хотя название знакомое.
                                            0
                                            sub7… эх были времена)
                                            0
                                            Вещь!
                                            0
                                            Под линукс есть такие штуки? Правда думаю их можно и на BASH сваять. Через netcat можно гонять трафик туда сюда, ввод и вывод команды. Или через curl и http через сервер. В итоге изображение можно получать снимая его с иксов, камеру можно снимать просто взял вирт. X сервер с VNC доступом и через mplayer запускать tv://
                                            Вообще думаю хватит VNC доступ к этим иксам и все. Снимать изображение из первых иксов также можно будет…
                                              0
                                              Смерть ламера?)
                                              Было смешно когда на вызов msconfig он выдавал — «Ой, глюк какой та»

                                              А Xcontrol юзал кто нибудь? Написал парниша чертовски похожий на Орландо Блума только этот с Украины.
                                            +8
                                            Мда… Даже через древнюю дыру в RPC не было заражено столько компьютеров сколько через экзешники с иконкой видеофайла )
                                              +33
                                              А все беды от того, что по умолчанию в венде расширения «известных типов файлов» скрыты.
                                                –4
                                                Хм. Открыл Finder, расширений не видно. В Наутилусе у жены тоже нет. Не, проблема точно не в этом :)
                                                  +17
                                                  В никсах бинарники не по расширению опеределяются, а по mime. Их там и не должно быть
                                                    –7
                                                    Да я просто позволил себе усмехнуться на тем, что дефолт опции «показать расширение у файлов» не должно влиять на безопасность. В теории :)
                                                      +11
                                                      Я ж уточнил. «в венде». :)
                                                      +1
                                                      Точнее по атрибуту файла, разрешающему выполнение (x).
                                                        0
                                                        по атрибуту x можно вообще судить, что файл можно запустить.
                                                        а тип файла — только по mimi.

                                                        флаг x можно и на обычные файлы выставить, например, на jar, и запускать их тоже можно будет, даже корректно — через jre.
                                                +13
                                                Он всего лишь хотел пообщаться с равными, а «Программисты притворились новичками...».
                                                  +27
                                                  Вот так получим сигнал из космоса, притворимся тюленями, и нас отключат.
                                                    +1
                                                    За последние 4.5 млрд лет не было НИОДНОГОРАЗРЫВА! :)
                                                  +3
                                                  Как будто в прошлое попали. Лет 7-8 назад развлекался написанием таких штук и отправкой приятелям. И именно со встроенным чатом, да покрасивше (взял свой код из недописанного IM).
                                                    +10
                                                    Wake up, Neo...
                                                    The Matrix has you...
                                                    <Ctrl>+<x>
                                                    Follow the white rabbit.
                                                    <ESC><ESC>
                                                    Knock, knock, Neo.
                                                    
                                                      +1
                                                        +2
                                                        Каждый уважающий себя бэкдор должен иметь чат.
                                                        А что там с диаблой в итоге неизвестно? И «Inferno» — так и пишется «Инферно» ну или «Пекло», а не «Ад». Хотя не важно)
                                                          +1
                                                          У меня до D3 руки не доходят никак, уж простите. Исправлено.
                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                              +2
                                                              Игруха ниче. Только очень сильный упор на донат всё портит.
                                                                +1
                                                                Тут можно холиварить, но смысла в этом нет. Просто скажу, что Вы насчет силы упора не правы.
                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                              0
                                                              Это с тех пор там так беспокоятся о безопасности?
                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                              +2
                                                              Lamer Death.
                                                              помните такое?
                                                              –8
                                                              你在做什麼呢?我為什麼要學習木馬?你想從他身上嗎?
                                                              Что-то непохоже на то, что на скриншотах :)
                                                                +10
                                                                Вы прогнали русский перевод из поста через Гугл-Траслейт и ожидали увидеть один в один те же иероглифы?

                                                                你 — 研究 — 我的 — 木马 — 干什么?

                                                                Ты — исследовать/изучать — мой — троян — что/зачем?

                                                                想 — 研究 — 出什么来?

                                                                Хочешь — исследовать/изучать — что (узнать)?
                                                                  +1
                                                                  Интереснее не это, интересно, как разработчики быстро сориентировались. Сидит себе, разработчик в Калифорнии/Индии — разумеется, чисто случайно со знанием китайского и китайской раскладкой клавиатуры и тут же на чистом китайском начинает делать заказ, нимало не удивившись )) Или они подумали и тоже начали гуглом на китайский переводить?
                                                                  Если вы разбираетесь в китайском — скажите, в окне чата видно начало текста, который начинали писать разработчики. Это похоже скорее на корявый машинный перевод или на элегантный текст человека, свободно владеющего китайским?
                                                                    +5
                                                                    Китайский там чистый и правильный, с обоих сторон. Гугл-Транслейт такой произвести не смог бы, я гарантирую это (девушка, китаянка, подтверждает).

                                                                    Насчёт того, как так быстро сориентировались — посмотрите на подписи в конце поста в блоге: «Franklin Zhao & Jason Zhou». По фамилиям очевидно, что сотрудники сами китайцы по происхождению, так что не исключено и неувидивительно, если идея сделать «заказ» возника экспромптом на месте.
                                                                      0
                                                                      Спасибо за комментарий, не догадался на это обратить внимание, а википедия сообщает, что нет у AVG офиса в Китае:

                                                                      AVG Technologies (formerly named Grisoft) is a Czech company formed in 1991 by Jan Gritzbach and Tomas Hofer, with corporate offices in Europe and the United States.
                                                                +6
                                                                Думаю что чат встроен далеко не просто так. Это возможность провести анонимный диалог с хозяином компьютера, что открывает возможности для шантажа над «захваченной» техникой и/или данными.
                                                                  +2
                                                                  svchost.exe — снова и снова )
                                                                    +2
                                                                    Похоже, они этот вирус начали распространять по диалапу еще в 90-х, и вот он наконец залился
                                                                      0
                                                                      А я в школе радмин в свхост переименовывал, паковал и рассылал со словами «зацени скринсейвер прикольный сделал», получалось здорово — заходишь в клиент у себя и видишь 15-20 компов онлайн. Ну почти ботнет :D
                                                                        +1
                                                                        Кстати да, 95% людей даже со включенными расширениями не знают что .scr — это тот же исполняемый файл, и не боясь запускают всякие вирусы.
                                                                        0
                                                                        интересно, почему хакер начал писать на китайском вместо английского? Или это фейковый скриншот?

                                                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                        Самое читаемое