Эксперт по компьютерной безопасности Хинек Блинка (Hynek Blinka) из компании AVG рассказал
любопытную историю,
как ему пришлось разговаривать с автором вируса в процессе дебаггинга
программы. Хинек говорит, что такое случилась впервые в его карьере.
Всё началось с того, что в руки Блинке попала неизвестная, но явно
вредоносная программа, которая распространялась на форумах с battle.net
на Тайване. Специалист немедленно начал изучать код. Он запустил
зловреда на виртуальной машине и обнаружил, что тот стучится на
удалённый сервер по TCP 80 и скачивает новые файлы для установки.
Это простой downloader/backdoor, который не заинтересовал
исследователя, потому что его задачей было найти кейлоггер для Diablo
III — в последнее время возникли проблемы с массовым похищением
аккаунтов игроков, поэтому Блинке поставили задачу найти этот кейлоггер и
посмотреть, как он работает.
Когда программа подключилась к удалённому серверу и начала скачивать
новые модули, Хинек Блинка оторопел: на экране внезапно возникло окно
чата с сообщением (переведено с китайского):
— Что ты делаешь? Почему ты изучаешь мой троян?
Этот диалог не был частью какой-то программы, установленной на
виртуальной машине. Окно было вызвано самим бэкдором. Удивительно, что
автор трояна в этот момент был в онлайне и заметил, что кто-то копается в
его программе. Блинка решил поддержать с ним разговор, чтобы выудить
побольше информации. Тот вёл себя весьма высокомерно.
Блинка: Я не знал, что ты видишь мой экран.
Хакер: Я бы хотел увидеть и твоё лицо, жаль, что у тебя нет камеры.
Он говорил правду, в бэкдоре действительно была функция контроля
веб-камеры, а также управления мышью, трансляции скринкаста и т.д.
Вредоносная программа классифицирована в антивирусной базе AVG как
вариант BackDoor.Generic.
Хинек Блинка продолжил разговор с хакером, притворившись, что хочет
купить программу, но тот прекратил сессию. Специалист говорит, что это
были потрясающие впечатления: он и коллеги много лет изучают подобные
вирусы, но редко вступают в чат с их авторами.
P.S. Кстати, похожая история случилась десять лет назад, когда
специалист по безопасности Стив Гибсон осуществил обратный инжиниринг
трояна и использовал пароль из него для входа в закрытую чат-комнату,
потом Стива Гибсона и его сайт GRC.com
заддосил 13-летний владелец маленького ботнета.
