Исходники трояна SpyEye были слиты в сеть

Еще вчера эта новость обошла все крупные интернет издания. Статьи с громким заголовком вызвали большое внимание всех читателей, пользователей троянов и просто рядовых киберпреступников. Вокруг этой новости ажиотаж и шумиха, аналитики и эксперты по безопасности пророчат высокий всплеск активности вирусных приложений. Но так ли все на самом деле, как говорят нам эти сайты? Мы разведали ситуацию и сейчас расскажем вам, что на самом деле случилось.

Вначале эта новость появилась на известном портале SecurityLab:

Из текста можно понять, что взломан (крякнут, отвязан) трой SpyEye версии первой ветки и его исходный код выложен в сеть. Но, как мы знаем, просто так исходники исполняемого приложения получить нельзя. Я не силен в крякинге, но, как я знаю, максимум, что можно – это программами дизассемблерами получить какие-то куски кода в ASM, из которых мало кому что будет понятно. На лицо ошибка перевода/интерпретирования новости, из-за которой поползли нехорошие слухи и все андеграунд сообщество встало на уши, ведь никто не хочет повторения с зевсом и закрытия поддержки недешевого проекта.

Как сообщил один наш источник, на одном всем известном, но супер-закрытом кардинг форуме, автор проекта SpyEye дал свои комментарии по поводу данной ситуации и ответил на вопросы владельцев лицензии:

• Сорцы троя находятся в единственном экземпляре на моём ноуте и нигде больше (ну и на флэшке ещё, в криптоконтейнере, для бэкапа).
• Если бы я бросил поддержку продукта, то так бы и отписал.

Будем надеяться, что все так и будет и проект не закроется, не смотря на то, что киберпреступникам в последнее время пытаются давать жесткий отпор и спецслужбы явно перестали спать и начали получать свой хлеб не за даром – вспомните сколько было громких «закрытий» в течении года! Мы можем только пожелать удаче команде, которая работает над троем, ведь врядли они каким-то образом поступаются своей безопасностью, ведь все 80% всех интернет бед, которые шли от зевса, теперь идут от спая. Авторы подобных проектов не имеют право на ошибку и просчет.

В качестве подтверждения здравого смысла и слов автора на следующий день новость, опровергающая слив исходников появилась на другом ресурсе:

• В сети появились инструменты для взлома троянской программы SpyEye, что может привести к росту в ближайшее время числа киберпреступлений, связанных с похищением денег в интернете, рассказал РИА Новости антивирусный эксперт компании «Лаборатория Касперского» Дмитрий Тараканов.
  
• Как правило, киберпреступники платят за использование зловредных программ их разработчикам, причем стоимость подобных приложений может достигать десяти тысяч долларов. Периодически появляющиеся в свободном доступе инструменты для взлома зловредных программ позволяют применять их бесплатно, что естественно расширяет аудиторию пользователей. SpyEye – одна из двух наиболее распространенных в мире «банковских» троянских программ, предназначенных для перехвата финансовых данных клиентов систем дистанционного банковского обслуживания
  
• «В сети появился слух, что в публичном доступе оказались исходники троянца SpyEye версии 1.3.45. На поверку оказалось, что исходники-то появились, но не самого троянца, а программы, которая снимает защиту SpyEye-билдера (конструктора) – программы для генерации этого самого троянца. На настоящий момент SpyEye – это серьезная угроза, и мы имеем очень плотный ежедневный поток вредоносных программ этого семейства», – сказал Тараканов РИА Новости.
  
• Как пояснил эксперт, обычно кибепреступники получают доступ к SpyEye следующим образом: клиент заказывает у автора троянца так называемый билдер – программу-конструктор. С помощью этого билдера можно сгенерировать саму вредоносную программу (каждый раз она уникальна, что помогает обманывать антивирусные программы). По словам Тараканова, обычно билдер стоит заказчику немалых денег, поскольку автор троянца стремится на нем заработать и защищает каждую версию от взлома. Появившиеся в сети на минувшей неделе программные инструменты позволяют эту защиту взломать.
  
• Ряд западных СМИ в минувший четверг написал, что в открытый доступ попал исходный код самой троянской программы SpyEye. Это известие вызвало беспокойство в кругах специалистов по информационной безопасности, поскольку доступ к исходному коду помогает специалисту понять логику работы программы и, при желании, написать ее аналог. Публикация исходного кода SpyEye могла бы привести к появлению большого количества изощренных аналогов хакерской программы.
  
• На самом же деле, говорит Тараканов, киберпреступники получили доступ к исходному коду «взломщика», то есть средства, которое позволит хакерам создавать версии SpyEye лишь с незначительными изменениями. Это может повлиять на распространенность SpyEye, но не так сильно, как если бы в открытый доступ попал исходный код самой вредоносной программы.
  
• По словам эксперта, серьезных изменений на рынке кибепреступности это событие не вызовет, поскольку подобные «взломщики» появлялись и раньше, для младших версий SpyEye. Злоумышленники теперь просто перейдут на более свежую версию вредоносной программы. Однако и улучшению ситуации появление «взломщика», разумеется, не поспособствует.

Вообщем, теперь все встало на свои места. Без паники, товарищи. Кто-то может сказать: «ведь спай то все равновзломали!». Да, взломали, но, насколько мне известно, взломали его уже давно и так называемые разделы «Убей барыгу» давно кишат крякнутыми версиями данного трояна, народ пользуется ими вовсю, как и с зевсом. Но не будем забывать, что актуальная сейчас версия второй ветки, где улучшены многие части зверька и проапгрейжена система от взлома, в которой работает что-то типа онлайн авторизации, в которой автор может онлайн отследить все ботнеты по HWID. Не знаю, может вторая версия тоже уже кем-нибудь взломана, ведь даже хваленные мегабюджетные долгострои софтверного и игрового дела были взломаны за несколько дней. Тем не менее, описанная система может пресекать наглое и открытое барыжничество троем. Но хотя некоторые подобные сервисы на форумах все-таки еще живут и администрация почему-то не спешит их удалять.

Единственным минусом является то, что опять подобными новостями привлекают всех подряд, но нам ли привыкать? Подобные события давно стали ветряными мельницами, остается только смириться и продолжать жить дальше . А вообще «крякнутый троян» – это, конечно круто, как никак, а показатель развитости индустрии black software. Делайте выводы.

На эксплоите одной модификацией с минимальными изменениями барыжили... даже умудрились проверку пройти! =)

Да и тут есть пара человек, которые переписали исходники и теперь юзают их для своих личных нужд! =)