О трояне Rui случайно узнал из твиттера, где другой исследователь опубликовал ссылку на результаты проверки, произведенной VirusTotal, а также приложил ссылку на арабский форум Dev Point, на котором распространялся вирус. Rui заинтересовался вопросом, перешел на указанный в сообщении форум, где действительно обнаружил ссылку на сайт разработчика вредоноса, размещенный на платформе blogger.com. С сайта исследователь без проблем скачал архив, содержащий Revenge-RAT v.0.1.

Изучение трояна не представляло большой проблемы, так как его автор не озаботился даже базовой защитой и обфускацией кода. В этом свете не совсем ясно, почему сканеры VirusTotal не обнаруживали угрозу, но ответа на этот вопрос Rui пока найти не смог.

Первая версия вируса появилась на форумах Dev Point еще 28 июня 2016 года. Revenge написан на Visual Basic и, в сравнении с другими RAT, нельзя сказать, что вредонос обладает широкой функциональностью. Исследователь перечислил некоторые возможности вируса: Process Manager, Registry Editor, Remote Connections, Remote Shell, а также IP Tracker, который использует для обнаружения местоположения зараженной машины ресурс addgadgets.com. Фактически троян умеет работать кейлоггером, отслеживать жертву по IP-адресу, перехватывать данные из буфера, может составить список установленных программ, хостит файловый редактор, умеет редактировать список автозагрузки ОС, получает доступ к веб-камере жертвы и содержит дампер для паролей. Автор вруса, Napoleon, не скрывает, что его «продукт» находится в стадии разработки, и именно поэтому пока распространяется бесплатно.

Содержимое архива, скачанного Rui

«Такое чувство, что я зря потратил время, увидев этот результат 1/54 с VirusTotal, — подводит итог исследователь. — Автор [трояна] даже не попытался спрятать код хоть как-то, а архитектура слаба и банальна. Хорошо, что автор не пытается продавать свой RAT и, вероятно, только учится кодить. В любом случае, удивительно (или нет), что такие простейшие инструменты по-прежнему способны успешно скомпрометировать некоторые системы, что и демонстрирует нам видео на YouTube, размещенное автором [малвари]».

Результаты своих изысканий исследователь передал операторам VirusTotal, и теперь рейтинг обнаружения Revenge уже составляет 41/57. Так как некоторые известные антивирусы по-прежнему «не видят» трояна, Rui пишет, что «это просто демонстрирует, насколько ущербна вся антивирусная индустрия в целом».

ПыСы: По адресу http://revenge-rat.(блог спот).ru блог автора вируса пустует...

Результаты проверки вируса:

https://virustotal.com/en/file/f3dffc94ecd03ba9ce1ad39b93bf9...

https://malwr.com/analysis/M2IzMDU1ODcyOGMwNGI5NTgwMjc4NjMyN...