惡意軟件作者嫌IBM的分析不正確 主動聯系要求修改

? ? ? ?怪事年年有，今年特別多。惡意軟件細節報道不準確，竟然還被找上門來要求改正了。聽起來就跟開膛手杰克致電蘇格蘭場說：“喂，你們把我分析錯了，我是如何如何肢解受害者”似的。太匪夷所思了。

惡意木馬 Bilal Bot 作者責怪IBM安全人員把他的惡意軟件信息公布錯了，甚至主動提供了修訂報道的服務。里莫·克塞姆，IBM安全專家，發言稱自己接到了惡意軟件作者的郵件聯系。

克塞姆說：“為什么犯罪軟件的開發者會聯系世界最大安全廠商之一？當我得知他/她真的在要求我幫他/她更好地在我們的安全博客中凸顯惡意軟件，我都驚訝得不行不行的了。”

必須指出的是，IBM在4月就在官方博客網站上揭露過上述惡意軟件的細節，指稱該惡意軟件是安卓銀行木馬，且在暗網論壇上出售。當時分發的，是該木馬的貝塔版。

IBM的博客中說，該惡意軟件是另一款功能強大的手機銀行木馬 GM Bot 的經濟替代版。由于暗網封禁了惡名昭彰的銀行木馬 GM Bot 和 KNL Bot 的開發者，Bilal Bot 便成為一時之選，收獲了惡意網絡罪犯的極大注意。

說回實際的新聞，該惡意軟件的開發者給克塞姆發了封郵件，表達了他對IBM描述該惡意軟件的方式的不滿。而且，這位開發者還對IBM沒有貼出他惡意軟件的更新信息大為光火。

克塞姆曝光了那封郵件的額外信息：

IBM的安全員工立即針對郵件中列出的細節逐條檢查了該惡意軟件，驗證那名開發者關于 Bilal Bot 的聲明。然后，公司發現，該惡意軟件確實進行了版本升級，新增了很多功能，比如電話轉接、讀取短信、滲漏短信、屏幕覆蓋等等，功能已經十分完備了。

據IBM稱，那名開發者還想添加Tor訪問和垃圾短信功能。克塞姆解釋道：

“像其他手機惡意軟件一樣，該木馬的安卓應用安裝包(APK)可捆綁其他程序，看起來更合法的App、木馬化的游戲等等。基于其惡意機制和行為模式，Bilal Bot 被定性為覆蓋型惡意軟件。

IBM沒有證據證明通過郵件聯系了克塞姆的人就是該惡意軟件的真正開發者。該公司堅持，盡管郵件發送者確實掌握了惡意軟件的獨家準確細節，但也有些問題暗示這是個騙局。比如說，郵件賬戶帶了 .ru 的地址，暗示該開發者來自俄羅斯。然而，這個惡意軟件是英文版的。另一個值得懷疑的點是，暗網銷售網頁上列出的開發者官方郵件賬號，與發送郵件給IBM的不是同一個。

克塞姆指出：

“我們不能確定我收到的郵件確實來自于真正的惡意軟件作者。即便如此，無論是誰發送了這封郵件，都有著強烈的更新我們博客上關于此惡意軟件信息的動機。”

克塞姆進一步闡述稱，Bilal Bot 作者聯系IBM是因為他們將該惡意軟件稱作 GM Bot 的經濟適用版。或許，高級版出來后，價格應該有所上漲，而由于IBM宣稱這是低價貨，開發者便因這肯定會拉低新版本在市場上的價格而非常不滿。

?