Незалежний дослідник, відомий під псевдонімом Rui, вирішив вивчити новий RAT (Remote Access Trojan) Revenge. Увага дослідника привернув той факт, що зразок малварі, завантажений на VirusTotal, показав результат 1/54, тобто практично не виявлявся антивірусними продуктами. з'ясувалося , Що Revenge написаний людиною, який відомий під ніком Napoleon, і поширюється абсолютно безкоштовно.

Про трояни Rui випадково дізнався з твіттера, де інший дослідник опублікував посилання на результати перевірки, проведеної VirusTotal, а також доклав посилання на арабський форум Dev Point, на якому поширювалася малваре. Rui зацікавився питанням, перейшов на вказаний в повідомленні форум, де дійсно виявив посилання на сайт розробника шкідливий, розміщений на платформі blogger.com. З сайту дослідник без проблем скачав архів, що містить Revenge-RAT v.0.1.

Вивчення трояна не представляло великої проблеми, так як його автор не турбувався навіть базової захистом і обфускація коду. В цьому сенсі не зовсім ясно, чому сканери VirusTotal не виявляється загрозу, але відповіді на це питання Rui поки знайти не зміг.

Перша версія малварі з'явилася на форумах Dev Point ще 28 червня 2016 року. Revenge написаний на Visual Basic і, в порівнянні з іншими RAT, не можна сказати, що шкідливий володіє широкою функціональністю. Дослідник перерахував деякі можливості малварі: Process Manager, Registry Editor, Remote Connections, Remote Shell, а також IP Tracker, який використовує для виявлення місця розташування зараженої машини ресурс addgadgets.com. Фактично троян вміє працювати кілоггерів, відстежувати жертву по IP-адресою, перехоплювати дані з буфера, може скласти список встановлених програм, хост файловий редактор, вміє редагувати список автозавантаження ОС, отримує доступ до веб-камері жертви і містить дампер для паролів. Автор малварі, Napoleon, не приховує, що його «продукт» знаходиться в стадії розробки, і саме тому поки поширюється безкоштовно.

Вміст архіву, завантаженого Rui

«Таке відчуття, що я даремно витратив час, побачивши цей результат 1/54 з VirusTotal, - підводить підсумок дослідник. - Автор [трояна] навіть не спробував заховати код хоч якось, а архітектура слабка і банальна. Добре, що автор не намагається продавати свій RAT і, ймовірно, тільки вчиться кодіть. У будь-якому випадку, дивно (чи ні), що такі прості інструменти і раніше здатні успішно скомпрометувати деякі системи, що і демонструє нам відео на YouTube , Розміщене автором [малварі] ».

Результати своїх досліджень дослідник передав операторам VirusTotal, і тепер рейтинг виявлення Revenge вже становить 41/57. Тому що деякі відомі антивіруси як і раніше «не бачать» трояна, Rui пише, що «це просто демонструє, наскільки ущербна вся антивірусна індустрія в цілому».