中国的黑客究竟有多张狂?

这是我反病毒工作生涯中头一回遇到这样的事,给我留下了深刻的印象。我在研究一种病毒时竟然和制作这个病毒的黑客进行了聊天。没错,聊天。事情发生在Threat反病毒小组研究有关《暗黑破坏神3》的键盘监控病毒时发生的。当时很多游戏玩家说在玩这款游戏时发生账户被盗事件。病毒的样本在台湾的一家网站上被发现。

论坛里散布病毒

这个黑客在论坛里张贴了一篇叫做“How to farm Izual in Inferno”的文章(Izual是暗黑破坏神3中的一个boss),里面提供了一个链接,文章说链接指向的视频演示了操作步骤。

下面就是所谓的“视频”。它是一个RAR压缩文件,里面包含两个可执行文件。这两个文件除了图标和名称外,内容一模一样。

病毒文件

这个病毒软件会以TCP方式通过80端口连接上远程服务器,下载一个新的文件。

远程下载文件

病毒软件里这种下载/开后门行为非常常见,我们关心的只是涉及到《暗黑破坏神3》的键盘监控部分,所以就没太注意它。

但是,让人吃惊的一幕就在此时上演了。一个对话框突然弹了出来,里面有下面的信息:

Hacker: 你研究我的木马干什么?

Hacker:想研究出什么来?

远程聊天

这个对话框并不是来自我们的虚拟机上的任何软件。它是集成在这个病毒里的一项功能,这个消息正是来自制作这个病毒的黑客。神奇,不是吗?看起来这个黑客正在线上,他意识到有人在研究他的病毒。

内置聊天工具

我们感觉到非常有意思,继续和他聊天。他非常的张狂。

Chicken: 我不知道你还能看到我的屏幕。

Hacker: 你没有摄像头,有摄像头我就能看看你长什么样了

张狂的黑客

他说的没错。这个病毒功能非常强大,它能监控中毒机器的屏幕,鼠标操作,系统进程,甚至能控制你的摄像头。

控制摄像头代码

我们和这个黑客多聊了几句,假装我们是没经验的人,想买他的这套病毒程序。但他很警觉,没有跟我们说实话。然后他远程的把我们的机器给关了。

至于这个病毒,没有发现它里面有监控《暗黑3》帐号的代码。它真正想盗取的是用户拨号用的用户名和密码。

盗取密码

听起来像是电影里才会有的事,但它是真的。我们对病毒很熟悉,每天和它们打交道。但跟病毒的作者进行实时交流,从来没遇到过。下一次,我会多长个心眼。

这个病毒和它的组件已经被我们的AVG杀毒软件记录为 特洛伊后门病毒变种

[英文原文:Have you ever chatted with a Hacker within a virus? ]
分享这篇文章:

27 Responses to 中国的黑客究竟有多张狂?

  1. 王亮 says:

    做黑客做到这种地步,的确有点嚣张,但是也有点潇洒。。。

  2. jruv says:

    看来AVG研究这个病毒的也是个中国人啊,写个什么英文帖子, 我们居然再翻译过来,累不累啊

  3. Null says:

    好奇蜜罐是怎么被识破的.特殊的进程或者硬件还是其他.

  4. joffe says:

    这个所谓的黑客,一看就知道菜鸟。另外,AVG的同志 你也太不小心了吧 不在虚拟机里面运行ollydy才调用这个鬼家伙

  5. Candice says:

    好帅,虽然我不懂怎么研究,但是觉得好帅,,好吧,,继续,。。

  6. ammo says:

    使用非默认关联图标有助于识破伪装~

  7. 老杨 says:

    输入法用的QQ拼音纯净版

  8. haitao says:

    作者是华人?用简体中文系统?

  9. TMMMM says:

    菜鸟级别的,也算是黑客?

  10. waveacme says:

    呵呵,真的很逗,这个张扬的病毒制作者,和反病毒工程师都是中国人。

  11. 王亮 says:

    哈哈,我也叫王亮,看了一楼的评论我还疑惑我的电脑是不是被黑了,什么时候发了一条评论上去的……开个玩笑,有缘人同行打个招呼~

  12. lite3 says:

    我也想当黑客,哈哈

  13. Joychao says:

    重点是这个黑客是中国人啊,对话都用的汉字,这不是翻译哦。。。

  14. cjx says:

    直接反编译文件就好了,为什么还要运行它呢?不然就会被监控了。。。

  15. jiaozi says:

    “这个病毒软件会以TCP方式通过80端口连接上远程服务器,下载一个新的文件.”这一句我有点疑惑。。有同感的吼吼

  16. bruce says:

    静态反汇编分析是不会触发执行的,除非你调试了它,前部分的代码就被执行过了,那就没什么好说了。

  17. says:

    一般的木马都带有聊天、监控摄像头、远程命令、屏幕监控等等的功能。所以所谓的黑客从聊天内容上看是个菜鸟(一个一个人去看别人屏幕,明显不是干大事的),另外那个反病毒的写这篇文章的作者,直接运行病毒?我猜只是在虚拟机里面跑病毒再分析内存罢了。

  18. Kevin says:

    盗宽带帐号的吗??

  19. dingking says:

    看样子确实是在虚拟机里运行的。不过很奇怪,楼主居然直接就Oddly了,而没有先静态分析下

  20. 小A says:

    我咋感觉这就是一个做了免杀的灰鸽子。。这个聊天功能是写好了之后绑上去的。。。盗宽带账号?。。蛋疼。。。OD画面很怀念

  21. 姚军 对这篇文章的反应是俺的神呀
  22. 朱滕威 对这篇文章的反应是垃圾
  23. 李皓男 对这篇文章的反应是俺的神呀

发表评论

电子邮件地址不会被公开。 必填项已用*标注