Вопрос тем, кто использует TorChat под windows (бекдор)?

Здравствуйте, хочу разобраться в одной не простой ситуации, и надеюсь на вашу помощь.
Недавно понадобилось установить клиента torchat на windows, первые ссылки в гугле вели на странички проектов в гитхабе и кузне(sourceforge), собственно с последнего:
sourceforge.net/projects/torchat/files/latest/download
я и слил свежую версию неделю назад: torchat-windows-0.9.9.553.zip md5 хеш бинарника torchat.exe - af9a116cf91e8fa504dc1683253573b9
Установил, всё работает... Но пару дней назад заметил странную сетевую активность, начал выяснять в чем дело.
По адресам:
C:\Users\%username%\AppData\Roaming\Adobe\AdobeUpdate.exe
C:\Users\%username%\AppData\Roaming\Adobe\srvchost.exe
Эти два екзешника были запущены в процессах, причем оба скрытые в системе. Стал их анализировать. Екзешник srvchost.exe - это самый обычный клиент тора tor.exe открытый на дефолтном порту 9050
А вот AdobeUpdate.exe непонятный бекдор, ссылка на отчет вирустотала: https://www.virustotal.com/ru/file/e5e8c45440f762c...
Дальше я стал копать, как эти екзешники попали ко мне на компьютер, да ещё и запустились и AdobeUpdate.exe прописался в реестр. Поскольку за последнее время я ничего с интернета не устанавливал кроме этого торчата, я начал отслеживать его деятельность.
Действительно, при запуске бинарника torchat.exe контрольная md5 сумма которого af9a116cf91e8fa504dc1683253573b9 он создавал по адресу C:\Users\%username%\AppData\Roaming\Adobe\ два этих файла, скрывал их, прописывал AdobeUpdate.exe в реестр и стартовал AdobeUpdate.exe
Куда ломилось приложение, что оно делало, и что передавало, к сожалению выяснить не могу, так как не являюсь реверсером. Лишь через Process Explorer увидел, как AdobeUpdate.exe через какое то время ещё запускает процесс cmd.exe (по всей видимости bind cmd бекдор через тор)
Но самое важное, никакой информации в интернете об этом инцденте нету, вероятно, на гитхабе скомпилированные екзешники так-же могут быть вместе с бекдором, висят они судя по дате больше года.
Торчат мессанджер интересный, не менее интереснее чем мессанджер TOX, но если он поставляется вот так в открытую больше года с откровенным бекдором, почему все молчат?
Сейчас параллельно отписал свой вопрос в саппорт гитхаба и sourceforge, но так же очень интересно ваше мнение по данному вопросу.
  • Вопрос задан
  • 981 просмотр
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы