Обратная связь

    На днях, в поисках путей утечки паролей игроков Diablo III, разработчики из AVG Technologies попали в забавную ситуацию. В процессе отладки кода найденного трояна на экране появилось окно встроенного чата с вопросом на китайском: «Что вы делаете? Зачем изучаете мой троян? Что вы от него хотите?»




    Как уже говорилось, вирус был обнаружен при расследовании утечки паролей пользователей Diablo III. Изначально он был выложен в формате видеоинструкции «Как фармить Изуала в АдуПекло» («How to farm Izual in Inferno») в rar-архиве. Внутри классическая схема — исполняемый файл с пиктограммой дефолтного медиапроигрывателя и его товарищ, замаскированный под readme. Собственно, понятно, почему его нашли так быстро.

    image

    Программистов Франклина Чжао и Джейсона Чжоу втянули в общение. «Не знал, что ты можешь видеть мой экран». На что злоумышленник ответил: «Я бы хотел увидеть твое лицо, но, к сожалению, у тебя нет камеры». Дальнейшее изучение вируса показало, что бэкдор действительно позволял наблюдать за экраном зараженного компьютера, управлять мышью, просматривать запущенные процессы и модули и даже управлять камерой.

    image

    Программисты притворились новичками и попытались заказать у хакера работу. Однако тот не поддался на провокацию и дистанционно выключил их компьютер. Дальнейшая работа над вирусом с встроенным чатом показала, что он не имеет отношения к Diablo III, а предназначен для кражи логинов и паролей dial-up подключений.

    «Звучит, как сюжет фильма, но это правда. Мы знакомы с вредоносным софтом и боремся с ним ежедневно. Однако чат с хакером в реальном времени случается не так уж часто. В следующий раз будем настороже», — написали программисты в блоге компании.
    Метки:
    Поделиться публикацией
    Комментарии 72
    • +241
      шло второе десятилетие 21го века, люди до сих пор воруют пароли на dial-up посредством екзешника с иконкой аудиофайла.
      • +18
        На самом деле контрастно получилось. С одной стороны совершенно нубской способ проникновения, с другой стороны интересное решение, которое не каждый день встретишь.
        • +2
          Что тут интересного? Захват экрана, управление компьютером, возможность перегрузить машину и ЧАТ с подконтрольным компьютером были еще в программах NetBus и BackOffice, которые я, тогда еще школьник, выудил с диска «Хакер» году где-то в 99-ом.
          • +2
            Ок, относительно простоты функционала — вопросов нет. Но назвать хотя бы три похожих случая за последние пару лет, думаю, не получится. Да, бывает, обе стороны иногда общаются в IRC канале управления, но в подобном форм-факторе это редкость. К сожалению, чуваки из AVG не выложили детальный анализ, но было бы забавно если бы это был callback на обнаружение отладчика, к примеру, да?

            Сама малварь примитивна, начиная от способа проникновения в систему и попытки скрыть себя, заканчивая вложенным функционалом.
            • +4
              Странно, что «чуваки из AVG» не отслеживали сетевые подключения, могли бы найти если не хакера, то хост с которого происходит управление зараженными компами.
              • +3
                Думаю, что отслеживали, просто в статье не выложен адрес хоста :) Далек от разоборов малвари, но песочница + куча «мониторов» это классический набор вирусного аналитика.
              • –1
                Как раз функционал удивляет — он либо должен был сразу многофункциональную заразу распространять, либо же догружать компоненты
              • +22
                BackOrifice, а не Office
          • +2
            Китайцы до сих пор пиратят под Денди.
            • +2
              Судя по всему, в мире и во втором десятилетии 21ого века много людей с отключенными расширениями файлов и привычкой тыкать во все, что может быть видео. Подозреваю, что, если бы не роутер, у меня до сих пор в папки с разрешенным аплоадом из сетки сыпались бы подобные файлы, как они сыпались два-три года назад. Если метод работает — почему бы его не применять? :)
              • 0
                Судя по всему, в мире и во втором десятилетии 21ого века много людей с отключенными расширениями файлов

                В целом я стараюсь считать, что «на вкус и цвет», «каждому своё», но одна опция, IMHO, таки просто не имеет права на существование — скрытие «расширений» (кстати само понятие «расширения» — жуткое legacy, пртерявшее с закатом аутентичной DOS всякий физический смысл, но почему-то до сих пор серьёзно использующееся (вместо этого можно бы было, к примеру, просто хранить mime-тип или что-нибудь такое как аттрибут файла)). Поразительно, что до-сих пор никто не опомнился и если ни не удалил эту опцию вообще то, хотя бы, не отключил её по-умолчанию. Только представьте себе, сколько заражений бы удалось предотвратить, на сколько меньше бы было в мире идиотизма, если бы отправить в прошлое терминатора и убить а того, кто это придумал…
            • +2
              Хороший зверёк. Жаль, что авиры не выложили отчёта об исследовании или бинарник.
              • +2
                думаю чат не выдержит хаброфект потому и не выложили.)))
              • +51
                а предназначен для кражи логинов и паролей dial-up подключений.

                Вирус, который опередил своё время! :)
                • –7
                  Скорее вирус, который опоздал!
                  • –1
                    Вирус, который сам бы мог опубликовать эту статью.
                    • +1
                      Всё новое — хорошо забытое старое...))… Судя по всему — это реально какой-то древний бэкдор из нашего детства. Только в детстве мы ещё объединяльщиками файлов их маскировали.
                    • –1
                      А смысл был сильно «заморачиваться» ради dial-up
                      • +4
                        наблюдать за экраном зараженного компьютера, управлять мышью, просматривать запущенные процессы и модули и даже управлять камерой.


                        предназначен для кражи логинов и паролей dial-up


                        Слабо представляю как можно нормально (не скриншотами раз в 2 минуты, отжирая канал и палясь) смотреть на раб.стол удаленного компьютера и в вебку по dial-up, так для чего тогда пароли? :)
                        • +5
                          Возможно имелось в виду не только привычный dial-up, но и другие подключения в том числе (PPPoE к примеру) с подобной схемой авторизации.
                          • +3
                            В таком случае да, согласен.
                            Но идея хороша, конечно :)
                            • +1
                              Да там можно все что угодно скомпрометировать. Например человек зашел в онлайн банкинг, через камеру ждем когда он отойдет в туалет. Быстро хватаем управление переводим средства на карту и следим чтобы человек на запалил…
                              • +4
                                Каждый день ввожу все данные с карты и поссать бегу, при этом оставляя перед вебкой мобилу чтоб было видно входящую смску и карту чтоб CV2 считать можно было
                            • +9
                              Если пользователь запускает исполняемый файл вместо видео, о том, что спалишься, можно не думать.
                              • +1
                                Расширение у большинства пользователей скрыто в винде.
                              • +4
                                Возможно, в Китае своя специфика подключений к интернету (а dial up не всегда медленный)
                                • +6
                                  Помню как в школе везде ставил Back Orifice и ешё какую-то весёлую программу типа «из журнала хакер» (не могу найти, но не Netbus). С дико крутым интерфейсом, возможностью потыкать CDROM ом, показать картинку, снимать скриншоты и управлять практически всем, что подключено в компу. Можно скажем флопом проиграть midi было, а ешё там ещё чат «как в матрице» был – нереально крутая тема в уловиях школы

                                  Так вот, на дворе был 99 год и «интернетстомегабит» был, скажем так, совсем не в каждой квартире. Однако даже по dialup управлять и смотреть можно было вполне сносно (1024x768 Flatron, если не изменяет память, удлинял член минимум на 10см)
                                  • 0
                                    Prorat?
                                    • 0
                                      Я видел скриншоты prorat пока искал тот бэкдор, и это не тот. Под крутым UI я тогда понимал утончённые границы кнопок (не 2px, а 1), реакция на наведение мышки в виде утемнения границ и самое главное – наикрутейшая иконка :D Точно не знак радиации – различные нюкалки рядом не стояли по красоте и эргономичности с этой «утилитой».

                                      PS: И судя по тому, что prorat работает на win2k+ это совсем не он. У нас в школе максимум был win98 и тот стоял только на мощной преподской тачке с wait for it ... Teak CDROM-RW (аж четырёх скоростным).
                                      • +1
                                        только он был Teac :)
                                      • +1
                                        Sub7 похож, но судя по дате релиза это тоже не может быть он. Хотя название знакомое.
                                        • 0
                                          sub7… эх были времена)
                                        • 0
                                          Вещь!
                                        • 0
                                          Под линукс есть такие штуки? Правда думаю их можно и на BASH сваять. Через netcat можно гонять трафик туда сюда, ввод и вывод команды. Или через curl и http через сервер. В итоге изображение можно получать снимая его с иксов, камеру можно снимать просто взял вирт. X сервер с VNC доступом и через mplayer запускать tv://
                                          Вообще думаю хватит VNC доступ к этим иксам и все. Снимать изображение из первых иксов также можно будет…
                                          • 0
                                            Смерть ламера?)
                                            Было смешно когда на вызов msconfig он выдавал — «Ой, глюк какой та»

                                            А Xcontrol юзал кто нибудь? Написал парниша чертовски похожий на Орландо Блума только этот с Украины.
                                        • +8
                                          Мда… Даже через древнюю дыру в RPC не было заражено столько компьютеров сколько через экзешники с иконкой видеофайла )
                                          • +33
                                            А все беды от того, что по умолчанию в венде расширения «известных типов файлов» скрыты.
                                            • –4
                                              Хм. Открыл Finder, расширений не видно. В Наутилусе у жены тоже нет. Не, проблема точно не в этом :)
                                              • +17
                                                В никсах бинарники не по расширению опеределяются, а по mime. Их там и не должно быть
                                                • –7
                                                  Да я просто позволил себе усмехнуться на тем, что дефолт опции «показать расширение у файлов» не должно влиять на безопасность. В теории :)
                                                  • +11
                                                    Я ж уточнил. «в венде». :)
                                                  • +1
                                                    Точнее по атрибуту файла, разрешающему выполнение (x).
                                                    • 0
                                                      по атрибуту x можно вообще судить, что файл можно запустить.
                                                      а тип файла — только по mimi.

                                                      флаг x можно и на обычные файлы выставить, например, на jar, и запускать их тоже можно будет, даже корректно — через jre.
                                            • +13
                                              Он всего лишь хотел пообщаться с равными, а «Программисты притворились новичками...».
                                              • +27
                                                Вот так получим сигнал из космоса, притворимся тюленями, и нас отключат.
                                                • +1
                                                  За последние 4.5 млрд лет не было НИОДНОГОРАЗРЫВА! :)
                                              • +3
                                                Как будто в прошлое попали. Лет 7-8 назад развлекался написанием таких штук и отправкой приятелям. И именно со встроенным чатом, да покрасивше (взял свой код из недописанного IM).
                                                • +10
                                                  Wake up, Neo...
                                                  The Matrix has you...
                                                  <Ctrl>+<x>
                                                  Follow the white rabbit.
                                                  <ESC><ESC>
                                                  Knock, knock, Neo.
                                                  
                                                    • +2
                                                      Каждый уважающий себя бэкдор должен иметь чат.
                                                      А что там с диаблой в итоге неизвестно? И «Inferno» — так и пишется «Инферно» ну или «Пекло», а не «Ад». Хотя не важно)
                                                      • +1
                                                        У меня до D3 руки не доходят никак, уж простите. Исправлено.
                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                          • +2
                                                            Игруха ниче. Только очень сильный упор на донат всё портит.
                                                            • +1
                                                              Тут можно холиварить, но смысла в этом нет. Просто скажу, что Вы насчет силы упора не правы.
                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                          • 0
                                                            Это с тех пор там так беспокоятся о безопасности?
                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                          • +2
                                                            Lamer Death.
                                                            помните такое?
                                                          • –8
                                                            你在做什麼呢?我為什麼要學習木馬?你想從他身上嗎?
                                                            Что-то непохоже на то, что на скриншотах :)
                                                            • +10
                                                              Вы прогнали русский перевод из поста через Гугл-Траслейт и ожидали увидеть один в один те же иероглифы?

                                                              你 — 研究 — 我的 — 木马 — 干什么?

                                                              Ты — исследовать/изучать — мой — троян — что/зачем?

                                                              想 — 研究 — 出什么来?

                                                              Хочешь — исследовать/изучать — что (узнать)?
                                                              • +1
                                                                Интереснее не это, интересно, как разработчики быстро сориентировались. Сидит себе, разработчик в Калифорнии/Индии — разумеется, чисто случайно со знанием китайского и китайской раскладкой клавиатуры и тут же на чистом китайском начинает делать заказ, нимало не удивившись )) Или они подумали и тоже начали гуглом на китайский переводить?
                                                                Если вы разбираетесь в китайском — скажите, в окне чата видно начало текста, который начинали писать разработчики. Это похоже скорее на корявый машинный перевод или на элегантный текст человека, свободно владеющего китайским?
                                                                • +5
                                                                  Китайский там чистый и правильный, с обоих сторон. Гугл-Транслейт такой произвести не смог бы, я гарантирую это (девушка, китаянка, подтверждает).

                                                                  Насчёт того, как так быстро сориентировались — посмотрите на подписи в конце поста в блоге: «Franklin Zhao & Jason Zhou». По фамилиям очевидно, что сотрудники сами китайцы по происхождению, так что не исключено и неувидивительно, если идея сделать «заказ» возника экспромптом на месте.
                                                                  • 0
                                                                    Спасибо за комментарий, не догадался на это обратить внимание, а википедия сообщает, что нет у AVG офиса в Китае:

                                                                    AVG Technologies (formerly named Grisoft) is a Czech company formed in 1991 by Jan Gritzbach and Tomas Hofer, with corporate offices in Europe and the United States.
                                                            • +6
                                                              Думаю что чат встроен далеко не просто так. Это возможность провести анонимный диалог с хозяином компьютера, что открывает возможности для шантажа над «захваченной» техникой и/или данными.
                                                              • +2
                                                                svchost.exe — снова и снова )
                                                                • +2
                                                                  Похоже, они этот вирус начали распространять по диалапу еще в 90-х, и вот он наконец залился
                                                                  • 0
                                                                    А я в школе радмин в свхост переименовывал, паковал и рассылал со словами «зацени скринсейвер прикольный сделал», получалось здорово — заходишь в клиент у себя и видишь 15-20 компов онлайн. Ну почти ботнет :D
                                                                    • +1
                                                                      Кстати да, 95% людей даже со включенными расширениями не знают что .scr — это тот же исполняемый файл, и не боясь запускают всякие вирусы.
                                                                    • 0
                                                                      интересно, почему хакер начал писать на китайском вместо английского? Или это фейковый скриншот?

                                                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.