Nieuws
image

Diablo III-virus praat met onderzoeker

dinsdag 19 juni 2012, 10:46 door Redactie, 11 reacties

Virusonderzoekers kregen de verrassing van hun leven toen ze een keylogger voor het populaire spel Diablo III onderzochten. De malware leek in eerste instantie een standaard backdoor die het op de inloggegevens van Diablo III-spelers had voorzien. Tijdens het onderzoek verscheen er plots een chatvenster met daarin een vraag van de malwaremaker. Die vroeg aan de onderzoekers waarom ze zijn Trojaans paard onderzochten en wat ze ermee wilden.

Arrogant
De onderzoekers deden zich voor als kopers, maar daar trapte de malwaremaker niet in. Volgens analist Jason Zhou was de malwaremaker erg arrogant. Uiteindelijk schakelde de auteur van het Trojaanse paard het systeem van de onderzoekers uit.

Verder onderzoek wees uit dat de malware het niet op inloggegevens voor Diablo III had voorzien, maar inloggegevens voor inbelverbindingen probeerde te stelen.

Met dank aan Dennis voor de tip

Reacties (11)
19-06-2012, 11:09 door SPlid
Leuk , pratende virussen , hoe is het mogelijk dat een de code in een virus kan bepalen dat het onderzocht wordt, wel een knap staaltje !
19-06-2012, 11:12 door Anoniem
Dat is niet zo moeilijk controleer of je bepaalde tools detecteert en activeer dan de IRC module.
En waarschuw de maker deze connect dan naar dezelfde chatroom en tada.
19-06-2012, 11:17 door Anoniem
Waarschijnlijk hebben de onderzoekers de malwaremaker proberen te backtracen. Als je dat als auteur door hebt is het een kleine moeite om contact op te zoeken als je die functie hebt ingebouwd.

Wel interessant dat de malwaremaker dus al een stap vooruit had gedacht.
19-06-2012, 11:35 door Anoniem
Wat amateuristisch om tijdens het debuggen van zoiets toe te staan dat de malware die je onderzoekt werkelijk contact met de buitenwereld maakt. En dus anderen met je werk mee kunnen kijken.
19-06-2012, 12:29 door Anoniem
Door Anoniem: Dat is niet zo moeilijk controleer of je bepaalde tools detecteert en activeer dan de IRC module.
En waarschuw de maker deze connect dan naar dezelfde chatroom en tada.

Moeilijk misschien niet maar wel vernieuwend net als de mogelijkheid om de camera te besturen. Wat wel vaker bij een virus voorkomt maar niet in deze combinatie.
19-06-2012, 14:45 door Anoniem
Net even zitten cammen met malwaremaker (er starte opeens automatisch een cam scherm) en hij was idd arrogant ;-) ...

Dit is toch werkelijk van de zotten. Die gasten worden steeds brutaler.
19-06-2012, 15:13 door Anoniem
Door Anoniem: Wat amateuristisch om tijdens het debuggen van zoiets toe te staan dat de malware die je onderzoekt werkelijk contact met de buitenwereld maakt. En dus anderen met je werk mee kunnen kijken.

Inderdaad, deze "onderzoekers" zijn geen gekwalificeerde onderzoekers.
19-06-2012, 16:36 door SirDice
Door SPlid: hoe is het mogelijk dat een de code in een virus kan bepalen dat het onderzocht wordt
Zo bijv.: http://www.symantec.com/connect/articles/windows-anti-debug-reference
19-06-2012, 17:58 door RichieB
Door Anoniem: Wat amateuristisch om tijdens het debuggen van zoiets toe te staan dat de malware die je onderzoekt werkelijk contact met de buitenwereld maakt. En dus anderen met je werk mee kunnen kijken.
Modulaire malware download de meest interessant modules via internet. Als je dus gaat onderzoeken zonder connectie zit je alleen een dropper en downloader te onderzoeken, niet echt spannend. De meest interessant onderzoeken worden gedaan als het botnet geïnfiltreerd kan worden. De C&C server afluisteren of overnemen bijvoorbeeld. Dat lukt je echt niet door offline onderzoek.
19-06-2012, 20:15 door Anoniem
wel grappig,maar zolang er maar geengevaar is dat een pc besmet raakt.
Volgens mij is dit staaltje geschreven door iemand die graag aandacht wilde trekken.
20-06-2012, 01:54 door Anoniem
Als er dan direct gechat wordt dan moet toch ergens het IP adres van de desbetreffende (IRC) server te zien zijn?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure