Перейти к содержанию

Чат с хакером внутри вируса

Воронцов

Автор Воронцов
в Новости и события со всего мира

 Поделиться

Рекомендуемые сообщения

Воронцов Гигант мысли

Воронцов

Опубликовано
Опубликовано

Эксперт по компьютерной безопасности Хинек Блинка (Hynek Blinka) из компании AVG рассказал любопытную историю, как ему пришлось разговаривать с автором вируса в процессе дебаггинга программы. Хинек говорит, что такое случилась впервые в его карьере.

Всё началось с того, что в руки Блинке попала неизвестная, но явно вредоносная программа, которая распространялась на форумах с battle.net на Тайване. Специалист немедленно начал изучать код. Он запустил зловреда на виртуальной машине и обнаружил, что тот стучится на удалённый сервер по TCP 80 и скачивает новые файлы для установки.

post-8323-1340271579_thumb.png

Это простой downloader/backdoor, который не заинтересовал исследователя, потому что его задачей было найти кейлоггер для Diablo III — в последнее время возникли проблемы с массовым похищением аккаунтов игроков, поэтому Блинке поставили задачу найти этот кейлоггер и посмотреть, как он работает.

Когда программа подключилась к удалённому серверу и начала скачивать новые модули, Хинек Блинка оторопел: на экране внезапно возникло окно чата с сообщением (переведено с китайского):

post-8323-1340271643_thumb.jpg

— Что ты делаешь? Почему ты изучаешь мой троян?

Этот диалог не был частью какой-то программы, установленной на виртуальной машине. Окно было вызвано самим бэкдором. Удивительно, что автор трояна в этот момент был в онлайне и заметил, что кто-то копается в его программе. Блинка решил поддержать с ним разговор, чтобы выудить побольше информации. Тот вёл себя весьма высокомерно.

Блинка: Я не знал, что ты видишь мой экран.

Хакер: Я бы хотел увидеть и твоё лицо, жаль, что у тебя нет камеры.

Он говорил правду, в бэкдоре действительно была функция контроля веб-камеры, а также управления мышью, трансляции скринкаста и т.д. Вредоносная программа классифицирована в антивирусной базе AVG как вариант BackDoor.Generic.

Хинек Блинка продолжил разговор с хакером, притворившись, что хочет купить программу, но тот прекратил сессию. Специалист говорит, что это были потрясающие впечатления: он и коллеги много лет изучают подобные вирусы, но редко вступают в чат с их авторами.

P.S. Кстати, похожая история случилась десять лет назад, когда специалист по безопасности Стив Гибсон осуществил обратный инжиниринг трояна и использовал пароль из него для входа в закрытую чат-комнату, потом Стива Гибсона и его сайт GRC.com заддосил 13-летний владелец маленького ботнета.

Инфо.

Ссылка на комментарий
Поделиться на другие сайты
Охотник Постоялец

Охотник

Опубликовано
Опубликовано

Напрасно прекратили общение с автором вируса. Его можно было с легкостью раскрутить на срок .

Я всегда думал,что только наши антивирусные компании являются зеркальным отражением нефтяных-и те и другие просто пользуются ситуацией ,при этом заграбастывают миллиарды.

оказывается и там далеко за кордоном точно такая же ситуация- мол мы ловим вирусы, продаем вам защиту, а ловить преступников или хотя бы содействовать в их поимке уж простите не к нам)

Ссылка на комментарий
Поделиться на другие сайты
-=Kirill Strelets=- Ветеран

-=Kirill Strelets=-

Опубликовано
Опубликовано
Напрасно прекратили общение с автором вируса. Его можно было с легкостью раскрутить на срок .

Да ну...мне прям даже жалко почему-то хакера стало :)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • sekvoya
      [РЕШЕНО] Подозрение на ВИРУС
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Aleks yakov
      Вирус шифровальщик kozanostra
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
    • Nickopol
      Удалить вирус
      Автор Nickopol
      HEUR:Trojan.Win64.Miner.gen (так определил касперский). Как избавиться без переустановки винды? Создаёт папку в ProgramData типа paperprotector-1c42cf80-e801-4c6e-8375-3b7be1b4649c. paperprotector.exe - запускаемый файл 
×
×
  • Создать...