Представители хакерской группы Gobbles Security утверждают, что разрабатывают троянскую программу по заказу Американской ассоциации звукозаписывающих компаний. Они написали об этом в известном списке рассылке Bugtraq, который посвящён проблемам компьютерной безопасности.
Если верить их словам, работа проходила в несколько этапов. Вначале были разработаны черви, способные использовать уязвимые места в популярных программных плеерах mplayer, WinAMP, Windows Media Player, xine, mpg123 и xmms. Вредоносный код помещался в специально подготовленный файл в формате mp3. Следующим этапом работы была разработка механизма распространения червя и доведения трояна до ума. На это у Gobbles ушло около двух месяцев.
Получившаяся в итоге "гидра" работает следующим образом. Вначале червь размещается на единственном узле пиринговой сети (его с охотой предоставила RIAA). Когда с этим узлом связывается другой пользователь, червь определяет наиболее подходящий способ заражения. Если пользователь скачает файл с червем, тот активируется при прослушивании и заразит все музыкальные файлы, обнаруженные на компьютере. Кроме этого, вредная программа составит каталог всей музыки на диске и отправит его в RIAA по каналам той же пиринговой сети. По утверждению Gobbles, в настоящее время их троян поразил уже 95% компьютеров, подключенных к файлобменным сетям.
Впрочем, никаких доказательств существования "гидры", стучащей в RIAA на пользователей пиринговых сетей нет. К письму в Bugtraq был приложен только червь, использующий ошибку переполнения буфера в плеере mpg123 для ОС Linux. Существуют ли подобные разработки для других программных плееров, равно как и механизм распространения заразы через пиринговые сети - большой вопрос.
Тем не менее, червь, использующий уязвимость в mpg123 действительно представляет некоторую опасность. По информации компании Symantec, которая называет червь Trojan.Linux.JBellz, он распространяется в mp3-файлах и при активации удаляет все содержимое пользовательской папки. Trojan.Linux.JBellz действует только в ОС Linux, подтверждена его опасность для дистрибутивов Suse 8.0 и Slackware 8.0, а также некоторых других при условии установки на компьютере плеера mpg123 версии младше 0.59.
Что касается сообщений Gobbles о работе на RIAA, то скорее всего, хакеры решили просто пошутить и привлечь к себе внимание. Пока отношения Американской ассоциации звукозаписывающих компаний с хакерами складываются отнюдь не дружески. За прошедшие несколько недель сайт RIAA дважды взламывали. С завидной регулярностью появлялись сообщения об атаках хакеров на RIAA и в течение всего минувшего года.