“artigo retirado do AVG Official Blogs”

 

Por Hynek Blinka

 

Esta é uma experiência impressionante e aconteceu pela primeira vez na minha carreira com antivírus. Eu conversei com um hacker durante a depuração de um vírus. Sim, é verdade. Aconteceu quando a equipe que pesquisa ameaças estava investigando capturadores de digitação para o jogo Diablo III, enquanto muitos jogadores que estavam jogando este jogo descobriram que suas contas foram roubadas. Um exemplo é encontrado no Battle.net. em Taiwan.

 

O hacker postou um tópico intitulado “How to farm Izual in Inferno” (“Como cultivar Izual no Inferno” – Izual é um chefe de Diablo III ACT 4), e forneceu um link no conteúdo que, como ele disse, apontou para um vídeo demonstrando como fazer.

 

 

Abaixo está o ‘Vídeo’. Na verdade, é um arquivo RAR contendo dois arquivos executáveis. Esses dois arquivos são quase os mesmos, exceto o ícone.

 

O malware se conecta a um servidor remoto via porta TCP 80 e baixa um novo arquivo embalado pelo Themida.

 

Isso é um comportamento muito simples do Downloader/Backdoor e estamos interessados somente em olhar para o código de registro da chave do Diablo III, então, não prestamos muita atenção nele.

 

Mas uma cena surpreendente aconteceu neste momento. Uma caixa de diálogo apareceu com uma mensagem de texto:

 

(Traduzido a partir da imagem abaixo)

Hacker: O que você está fazendo? Por que você está investigando o meu Cavalo de Tróia?

Hacker: O que você quer dele? 

 

O diálogo não é de qualquer software instalado em nossa máquina virtual. Pelo contrário, é uma função integrada ao backdoor e a mensagem é enviada pelo hacker que escreveu o Cavalo de Tróia. Espantoso, não é? Parece que o hacker estava online e ele percebeu que estávamos depurando o seu bebê. 

 

 

Ficamos interessados e continuamos conversando com ele. Ele era muito arrogante.

 
(Traduzido a partir da imagem abaixo)

 
Chicken: Eu não sabia que você consegue ver minha tela.

 
Hacker: Eu gostaria de ver seu rosto, mas que pena que você não tem uma câmera.

 

Ele está dizendo a verdade. Este backdoor tem poderosas funções como monitoramento da tela da vítima, controle do mouse, visualização de processos e módulos, e até mesmo o controle da câmera.

 

 

Conversamos com o hacker por algum tempo, fingindo que gostaríamos de comprar alguns Cavalos de Tróia com ele. Mas este hacker não era bobo o suficiente para nos dizer toda a verdade. Ele, então, encerrou o nosso sistema remotamente.

 
Sobre este malware, nenhuma chave de código de log do Diablo III foi capturada. O que ele realmente deseja é roubar o nome de usuário e senha da conexão dial up.  

 

 

 

Parece uma história de filme, mas é real. Estamos familiarizados com malware e estamos lutando com eles todos os dias. Mas conversar com os criadores de malware em tempo real não acontece com tanta frequência. Da próxima vez, vou ficar em alerta.

 
O malware e seus componentes são detectados pelo AVG como variantes do Cavalo de Tróia BackDoor.Generic.

 
Franklin & Jason Zhao Zhou