这是我反病毒工作生涯中头一回遇到这样的事,给我留下了深刻的印象。我在研究一种病毒时竟然和制作这个病毒的黑客进行了聊天。没错,聊天。事情发生在Threat反病毒小组研究有关《暗黑破坏神3》的键盘监控病毒时发生的。当时很多游戏玩家说在玩这款游戏时发生账户被盗事件。病毒的样本在台湾的一家网站上被发现。
这个黑客在论坛里张贴了一篇叫做“How to farm Izual in Inferno”的文章(Izual是暗黑破坏神3中的一个boss),里面提供了一个链接,文章说链接指向的视频演示了操作步骤。
下面就是所谓的“视频”。它是一个RAR压缩文件,里面包含两个可执行文件。这两个文件除了图标和名称外,内容一模一样。
这个病毒软件会以TCP方式通过80端口连接上远程服务器,下载一个新的文件。
病毒软件里这种下载/开后门行为非常常见,我们关心的只是涉及到《暗黑破坏神3》的键盘监控部分,所以就没太注意它。
但是,让人吃惊的一幕就在此时上演了。一个对话框突然弹了出来,里面有下面的信息:
Hacker: 你研究我的木马干什么?
Hacker:想研究出什么来?
这个对话框并不是来自我们的虚拟机上的任何软件。它是集成在这个病毒里的一项功能,这个消息正是来自制作这个病毒的黑客。神奇,不是吗?看起来这个黑客正在线上,他意识到有人在研究他的病毒。
我们感觉到非常有意思,继续和他聊天。他非常的张狂。
Chicken: 我不知道你还能看到我的屏幕。
Hacker: 你没有摄像头,有摄像头我就能看看你长什么样了
他说的没错。这个病毒功能非常强大,它能监控中毒机器的屏幕,鼠标操作,系统进程,甚至能控制你的摄像头。
我们和这个黑客多聊了几句,假装我们是没经验的人,想买他的这套病毒程序。但他很警觉,没有跟我们说实话。然后他远程的把我们的机器给关了。
至于这个病毒,没有发现它里面有监控《暗黑3》帐号的代码。它真正想盗取的是用户拨号用的用户名和密码。
听起来像是电影里才会有的事,但它是真的。我们对病毒很熟悉,每天和它们打交道。但跟病毒的作者进行实时交流,从来没遇到过。下一次,我会多长个心眼。
这个病毒和它的组件已经被我们的AVG杀毒软件记录为 特洛伊后门病毒变种。
[本文英文原文链接:Have you ever chatted with a Hacker within a virus? ]
