Skype Spy Trojan убегает в дикую природу
Унтереггер разместил код на своем веб-сайте под лицензией GLPv3, предположительно в надежде, что его публикация сделает невозможным использование против реальных пользователей, передумав о нравственности своего творения. Он написал программу в 2006 году для частной компании ERA IT Solutions, которая всецело продала его агентству швейцарского правительства для использования в деятельности по удаленному наблюдению.
Теперь Symantec и Trend Micro сообщили, что в их системах обнаружения появился троянец Windows с удивительно похожими характеристиками-Trojan.PeskySpy в номенклатуре Symantec и Troj_Spayke.С-к тренду. Ни одна из компаний открыто не заявляет, что обнаруженный троянец связан с созданием Unteregger с открытым исходным кодом, но есть достаточно улик, чтобы установить прочную связь.
Symantec описывает, как троянец перехватывает вызовы API в Skype, захват и хранение аудио-разговоров в виде MP3-файлов с метками вызывающего абонента, даты, дня и времени для их идентификации, а также обозначениями вызовов SkypeOut и SkypeIn. Затем троянец пытается загрузить записи в заранее определенные места после обнаружения и попытки обойти именованные фильтры брандмауэра.
Эта конструкция прекрасно перекликается с Unteregger "Bundestrojaner", как он был назван, когда он впервые появился в честь его использования правительством. Анализ тренда также делает частично запутанную ссылку на домен, используемый Унтереггером для распространения своего кода.
Неясно, действительно ли троянец выполняет все действия, на которые он способен, или он делает что-то, что будет считаться незаконным, кроме заражения ПК без согласия.
"Этот троянец представляет собой приложение с открытым исходным кодом, которое можно загрузить с определенного веб-сайта", - скромно отмечает исследователь Trend Micro на веб-сайте угрозы компании.
"Этот троянец задуман как программа proof-of-concept (POC), но его код, который теперь находится в свободном доступе, может быть изменен таким образом, что информация, полученная из сети Skype, сохраняется в виде аудиофайлов, таких как .mp3s, и отправляется на удаленный компьютер."
Троянец вряд ли заразил много компьютеров, и теперь будет являться неотъемлемой частью антивирусной сигнатурной базы многих программ безопасности, поэтому угроза, которую он представлял, была очень низкой, чтобы ее не существовало. Но троянец Унтереггера все равно получит сноску в истории как, возможно, первый рабочий, профессионально созданный кусок вредоносного ПО, который будет распространяться позже в своей жизни под лицензией GPL.
Автор: Keylogger.Org Команда