Les pirates utilisent l'outil de maintenance à distance NetWire, qui est censé être utilisé pour surveiller le fonctionnement d'ordinateurs fonctionnant sous Windows, Mac OS X, Linux et Solaris, comme un trojan. Les éditeurs d'antivirus ont répondu rapidement en identifiant le programme comme un malware.
World Wired Labs décrit son produit NetWire comme une application élargie de maintenance à distance. L'application hôte fonctionne sous Windows, les différentes versions de Linux, Mac OS X et Solaris, tandis que le "PC de l'administrateur", donc le client, tourne seulement sur Windows. La version de base coûte $65 et la version Pro qui peut être étendue avec des addons, coûte $105.
Bon jusque là rien de bien particulier. Mais quand on voit la petite ligne dans la liste des offres disant : "Undetected is available for WINDOWS only", il y a de quoi faire plisser les yeux. En gros cela veut dire que la version Windows de NetWire avancée ne sera pas détectée par les logiciels antivirus.
Cet outil, adressé à des entreprises principalement, est annoncé comme capable de traverser les barrières du système d'exploitation. La connexion entre le client et le serveur est protégée par un chiffrement AES et se limite à un seul port TCP. Sur leur site web on note pas contre : "des exigences particulières d'accès à distance" allant du monitoring à de la supervision administrative. Dans ce cas, NetWire surveille tous les processus et génère même des screenshots.
Par contre sur les forums undergrounds, on a le droit à une toute autre description. Le programme (modifié bien sûr) est annoncé comme ayant la fonction de reverse proxy et ainsi passer aisément à travers un pare-feu et un routeur avec la possibilité de lire les mots de passe du navigateur depuis n'importe quel navigateur. Un keylogger qui ne nécessite pas de droits administrateur est aussi disponible dans le bundle fait maison. Ah des extensions sont également disponibles pour sniffer les mots de passe TrueCrypt et l'enregistrement des conversations de messageries instantanée. Bon vu sous cet angle, cet outil commence à ressembler à un black phoenix.
Évidemment l'entreprise a eu vent des détournement faits sur son logiciel et n'est pas contente du tout. Le hacker qui fait la promotion de NetWire comme trojan a été rapidement éjecté du programme d'affiliation World Wired Labs. Cela n'a pas empêché d'autres pirates de proposer des extensions comme une capable maintenant de cacher NetWire afin de le rendre indétectable par les antivirus.
Ce n'est donc pas étonnant que ce programme se retrouve maintenant dans la ligne de mire des sociétés d'antivirus. Dr. Web décrit NetWire comme voleur de mots de passe et l'a nommé BackDoor.Wirenet.1 et le titre comme "The first Trojan in history to steal Linux and Mac OS X passwords" (le premier trojan de l'histoire à voler les mots de passe Linux et Mac OS X). D'autres compagnies l'ont nommé "TrojanSpy", "NetWired" et "NetWeird". Selon VirusTotal, la version standard de NetWire pour Windows est actuellement détectée par 16 programmes antivirus. Dans toutes les analyses effectuées, il s'avère que c'est le client Windows qui est détecté plus fréquemment que les hôtes. Le toolkit a bien su se cacher.