Оригинальный экземпляр антивирусного программного обеспечения попал в руки ИБ-экспертов. Независимый журналист Мартин Уильямс (Martyn Williams), специализирующийся на северокорейских информационных технологиях, переслал исследователям копию программы SiliVaccine, созданную программистами КНДР. Уильямс получил это ПО еще несколько лет назад от адресата по имени Кан Йон Хак (Kang Yong Hak). В данный момент связанный с ним почтовый ящик недоступен.

Специалисты исследовали полученные материалы и обнаружили, что в основе северокорейского антивируса лежит разработка японской компании Trend Micro. По мнению экспертов, чтобы создать SiliVaccine, инженеры из КНДР должны были иметь доступ к скомпилированным библиотекам или исходному коду программы-донора.

Исследователи нашли большое количество совпадений фрагментов кода двух программ, однако северокорейские программисты внесли несколько существенных изменений в базовую систему. Эксперты отметили, что в SiliVaccine принудительно отключена проверка одной из вирусных сигнатур. Пока специалисты не смогли определить, какой именно зловред пропускает программа.

Помимо ссылки на копию SiliVaccine, письмо, полученное Уильямсом, содержало архив с “патчем” для программы. В нем оказалась вредоносная утилита, подключающая зараженный компьютер к ботнету JAKU. Косвенные признаки указывают на то, что сеть инфицированных устройств управляется специалистами из Северной Кореи.

Trend Micro подтвердила выводы экспертов относительно использования своих разработок в SiliVaccine. Между тем, компания категорически отрицает причастность к какому-либо сотрудничеству с северокорейскими специалистами.

“Trend Micro никогда не занималась бизнесом в Северной Корее. Мы уверены, что подобное использование нашего движка полностью нелицензировано и незаконно, — заявили представители компании. — Эта версия системы уже несколько лет задействована в коммерческих продуктах Trend Micro и OEM-комплектах других вендоров, поэтому сложно понять, каким образом она попала в руки авторов SiliVaccine”.

При этом японский разработчик не считает целесообразным правовое преследование северокорейских производителей ПО.

Программные продукты из КНДР нечасто попадают в руки экспертов, однако каждый раз они таят в себе массу интересных открытий. Так, в препарированном пару лет назад браузере Naenara, созданном на основе одной из старых сборок Mozilla, были обнаружены закладки, позволяющие управлять исходящим трафиком и удерживать его внутри ограниченного пространства местных IP-адресов.

Категории: Аналитика, Вредоносные программы, Главное