Энэ нь Касперскийн лабораторийн шинжээчид нягтлан бодох бүртгэлийн программууд руу халдлагад өртөж байгаа анхны тохиолдол биш юм - жишээлбэл, нэг жилийн өмнө бид Trojan.Win32.TwoBee хортой програмтай тулгарсан. Ерөнхийдөө нягтлан бодох бүртгэлийн системд хийсэн халдлагыг банкны системд зориулж мэдээллийн сангаас татаж авсан мэдээллийн дэлгэрэнгүй мэдээллийг орлуулах хүртэл багасгасан. Үүнээс болж их хэмжээний мөнгө эзэнд нь мэдэгдэхгүйгээр бусдын данс руу ордог. "Карьерынхаа" эхэн үед TwoBee троян нь нарийн ширийн зүйлийг гаднаас нь орлуулах өгөгдлийг хүлээн авч, дараа нь өөрөө "зөөвөрлөж", ажлын үр дүнгийн талаархи богино мессежийг сервер рүү илгээдэг байв.

Бидний харахыг хүсч буй Mezzo Trojan-ийн хувьд энэ нь текст файлуудыг сервер рүү илгээдэг бөгөөд тэдэнтэй ямар ч үйлдэл хийхгүй. Гэсэн хэдий ч энэ нь ямар ч аюул заналхийлдэггүй гэсэн үг биш бөгөөд эсрэгээр энэ нь хортой програмыг зохиогчид бэлтгэж байгааг илтгэж магадгүй юм. ирээдүйн компанизорилтын талаар мэдээлэл цуглуулах шатандаа явж байна.

Энэ Трояны зарим функцийг нарийвчлан авч үзье, үүнийг хийхийн тулд бид Mezzo-ийн хоёр өөрчлөлтийг авч үзэх болно - нэг нь зөвхөн одоо байгаа нягтлан бодох бүртгэлийн файлуудын талаар мэдээлэл цуглуулахад зориулагдсан, хоёр дахь нь тэдгээрийг солих чадвартай.

Аль алиных нь онцлог шинж чанар нь эхэндээ амархан танигдах мутекс үүсгэх явдал юм.

Мэдээлэл цуглуулах модуль

Mezzo ажиллаж эхэлмэгц халдвар авсан компьютерт өвөрмөц танигч үүсгэнэ.

Энэ танигчийг олсон файлуудын талаарх мэдээллийг хадгалах хавтасны нэр болгон ашигладаг.

Архивын агуулга нь дараах байдалтай байна.

Архив нь өөрөө нууц үгээр хамгаалагдсан байдаг (өмнө нь үүсгэсэн танигч, энэ нь архивын нэр юм). TwoBee-ээс ялгаатай нь Mezzo нь файл хайх, скан хийхэд хялбар алгоритмыг ашигладаг. Жишээлбэл, TwoBee нь тодорхой зүйл байгаа тохиолдолд л өгөгдөл орлуулах ажлыг гүйцэтгэдэг хамгийн бага хэмжээгүйлгээ:

TwoBee-д хамгийн бага хэмжээг (500,000 ₽) шалгаж байна

Нэмж дурдахад, TwoBee шилжүүлсэн дүнгийн талаархи мэдээллийг цуглуулсан.

Mezzo нь файлын "нас" (долоо хоногоос илүүгүй байх ёстой) болон мөр байгаа эсэхийг шалгадаг. 1CClientBankExchangeтүүний эхэнд:

Хайлт дууссаны дараа өгөгдлийг нууц үгээр архивт хийж сервер рүү илгээдэг.

Өгөгдөл илгээж байна

Mezzo C&C серверээс ирсэн хүсэлт, хариултын бүтэц

Орлуулах модуль

Одоо Mezzo модуль хэрхэн ажилладагийг олж мэдье, түүний даалгавар нь нягтлан бодох бүртгэлийн програмын файлуудыг солих явдал юм.

Троян нь гүйцэтгэлийн гурван хэлхээ үүсгэдэг. Эхлээд ( хогийн_утасДоорх дэлгэцийн агшинд) аюулгүй байдлын програм хангамжийн эсрэг хариуцдаг - Троян нь санах ойн асар том бүс нутгийг гогцоонд хуваарилж, дурын мэдээллээр дүүргэдэг: аюулгүй байдлын зарим шийдлүүдийн "элсэн хайрцаг" -д санах ойн хуваарилалтыг боловсруулах, түүний алдагдлыг хянах нь өөр өөр байдаг. "бодит" үйлдлийн системүүдийн механизмаас болон ийм хүсэлтүүд нь тэдний ажлыг зөрчиж болно. Хоёр дахь нь "шинэхэн халдвар авсан" компьютерийг команд болон хяналтын сервер дээр бүртгэдэг. Гурав дахь нь C&C серверээс санал асуулга авч, халдвар авсан системийн талаарх мэдээллийг дамжуулахад шаардлагатай.

Mezzo-ийн үндсэн процедурын эхлэл

онд хэрэгжсэн технологи хог _утас

Mezzo нь өвөрмөц ID үүсгэж, сервер рүү илгээдэг. Серверээс 0x46 кодтой тушаал хүлээн авсан тохиолдолд ( Фнэгдүгээрт ) , халдвар авсан системийн талаарх мэдээллийг дамжуулдаг. Мэдээжийн хэрэг, ийм танигч руу анх удаа нэвтрэх үед энэ тушаалыг авах болно.

Процедур даалгавар авах 0x34 кодыг хүлээн авах үед %TEMP% хавтасны агуулгыг устгах болно ( 4 ).

Үүний дараа Троян нь файлын системийн логик хуваалт бүрээс дараах шалгуурыг хангасан файлуудыг хайж эхэлнэ.

• Хоёр минутын өмнө үүсгэсэн;
• Файлын эхэнд 1CClientBankExchange гэсэн мөр байна;
• Өргөтгөл - .txt.

Үүссэн файлыг “%TEMP%\” хаяг руу хуулна. .txt" бөгөөд солих файлыг хүлээн авах алсын сервер рүү дамжуулагдана. Энэ файлыг "%TEMP%\" нэрээр хадгалах болно .txt". Дараа нь програм нь хэрэглэгч тодорхой програмын харилцах цонхыг дуудах хүртэл хүлээнэ.

Хайлтын цонх

Энэ нь нягтлан бодох бүртгэлийн системээс банк руу өгөгдөл дамжуулах үед файлыг нэн даруй солих шаардлагатай. Хүлээлт нь таван минут үргэлжлэх бөгөөд хэрэв шаардлагатай цонх нээгдээгүй бол троян эхлээд процессыг зогсоохыг оролдсоны дараа файлыг хуурамчаар солих болно. 1cv8c.exeашиглах замаар SuspendThread. Орлуулалт дууссаны дараа троян нь хавтасны агуулгыг устгах болно ШИНЭкоманд болон хяналтын серверээс хүлээн авсан файлын хамт.

CryptoShuffler-ийн ул мөр

Гэсэн хэдий ч мөрдөн байцаалтын ажиллагаа үүгээр дууссангүй. Хэсэг хугацааны өмнө манай шинжээчид болон үүнийг системд татаж авсан хортой програм. Энэ нь AlinaBot болж хувирсан (AlinaPOS-той андуурч болохгүй), C&C серверийн баталгаажуулалтын цонхон дээрх гарчгийн улмаас ингэж нэрлэсэн:

Олон талаараа энэ нийтлэг татагч (бид дараа нь түүний онцлогуудыг авч үзэх болно) Mezzo-тэй холбоотой байдаг.

Эхлээд "сул" холболтуудыг харцгаая.

Одоо "хүчтэй" нотлох баримтуудын тухай. Эхнийх нь өвөрмөц танигч үүсгэх арга юм. Mezzo, AlinaBot болон түүний модулиудын сэргээгдсэн код нь сүүлийн мөр хүртэл таарч байна:

Хоёрдахь нотолгоо бол AlinaBot модулиуд хулгайлагдсан өгөгдлийг ижил төстэй байдлаар хадгалдаг (танигчийг үргэлж нууц үг болгон ашигладаггүй) баримт юм.

AlinaBot модулийн ажлын лавлах бүтэц

Кодыг өнгөцхөн судалж үзэхэд ч олон тооны кодын фрагментийг хичээнгүйлэн хуулж Mezzo-ийн зохиогчийн хэв маягийг олж хардаг.

AlinaBot функцууд

Серверээс нийт зургаан тушаал (мөн "0" нь команд байхгүй гэсэн үг) байдаг бөгөөд AlinaBot нь эхлүүлэх хүсэлтийн хариуд тэмдэгтийн мөр хэлбэрээр хүлээн авдаг:

Тушаалуудыг "нэг удаад хоёр" боловсруулах нь чухал бөгөөд энэ тохиолдолд оролтын утгыг шалгах хоёр мөчлөг байх болно. Үүний дагуу шугамын тэгш, сондгой байрлал дахь нэгжүүд нь зориулалтын дагуу ялгаатай байх болно. Жишээлбэл, сондгой байрлалд байгаа "2" команд нь файлыг тогтмол хаяг руу байршуулдаг бол тэгш байрлалд татаж авах холбоосыг хүлээн авдаг.

Баг F (бүр)Энэ нь системийн мэдээллийг татаж авах хүсэлтийг илэрхийлэх бөгөөд дараах талбаруудыг агуулна.

• Өвөрмөц танигч;
• Үйлдлийн системийн хувилбар;
• Хэрэглэгчийн нэр;
• Компьютерийн нэр;
• Компьютерийн IP хаяг.

Баг 1(сондгой)маягтын хаяг руу файл байршуулна /plugins/downloaded/load_file.exe файлыг ажиллуулж ажиллуулна :

Баг 1 (тэгш) AlinaBot-ийн үндсэн хэсгийг дахин эхлүүлнэ.

Баг 2(сондгой)мөн тушаал шиг C&C серверээс файлуудыг татаж авдаг 1, гэхдээ өөр мөрөнд /plugins/downloaded/load_file_gl.exe ба түүний сервер нь судалгааны явцад хэзээ ч идэвхжил үзүүлээгүй.

2 (тэгш)серверээс файлыг татаж авах хаягийг хүлээн авч, дараа нь татаж аваад ажиллуулна.

Ерөнхийдөө энэ тушаалыг Trojan-Banker.Win32.CryptoShuffler гэр бүлээс хортой програм татаж авахад ашигладаг байсан.

Баг 3 (тэгш)консол програмын хостын гүйцэтгэлийг зогсооно.

Ачаалал

Бид байршуулсан файлуудыг хоёр төрөлд хувааж болно. Эхнийх нь криптовалютын түрийвч болон хөтчийн нууц үгийг "булаадаг". Халдвар авсан системээс wallet.dat нэртэй файлуудыг хайх замаар түрийвчний хулгайг хийдэг. Нууц үгээ алдах нь зөвхөн Chrome болон Opera-ийн хэрэглэгчдэд нөлөөлдөг бөгөөд эдгээр хоёр хөтөч нь ижил төстэй хаягаар SQLLite мэдээллийн сан хэлбэрээр хадгалдаг; C:\Хэрэглэгчид\<ИМЯ ПОЛЬЗОВАТЕЛЯ>\AppData\Local\Google\Chrome\Хэрэглэгчийн өгөгдөл\Өгөгдмөл". Plugin нь SQLLite номын санг ашиглан эдгээр файлуудыг нээж, хэрэглэгч баталгаажуулах нууц үгээ заагаагүй тохиолдолд "хоосон нууц үг" ашиглан өгөгдлийг тайлахыг оролддог. Хортой програм нь хүлээн авсан өгөгдлийг ZIP архивт нууц үгээр сервер рүү илгээдэг 1 q 2w 3e 4r.

Chrome-оос нууц үгийн өгөгдлийг задлах кодыг сэргээсэн

Файлууд нь Mezzo-той төстэй байдлаар "хадгалагдсан".

Энэ модулийн талаар хамгийн сүүлийн анхаарал татахуйц зүйл: зохиогч curl ашиглахаас татгалзаж, тодорхой Anasazi кодыг зээлсэн: онцлог шугам WARPCRYPTхоёуланд нь байдаг. Дээрээс нь бид pastebin дээр Анасази эх кодыг олж мэдсэн.

AlinaBOT модулийн сэргээсэн код болон Пастебин дээрх Анасази эх кодыг харьцуулах

Хоёрдахь байршуулсан файл нь халдвар авсан компьютерийг алсаас удирдах чадвартай. Энэ модуль нь өөрөө тийм ч сонирхолтой биш бөгөөд жишээлбэл, дараах тушаалуудыг гүйцэтгэдэг нэлээд энгийн арын хаалга юм.

• 0x403: Ажлын менежерийг эхлүүлнэ үү
• 0x406: Chrome процессыг дуусгах
• 0x40F: Командын мөрийг ажиллуул
• 0x413: Тодорхой өгөгдлийг буфер болгож, заасан цонх руу илгээнэ үү

MD 5

Мэдээлэл цуглуулах модуль:
Солих модуль: 1083439FAE49A745F007705281952CD9

Алина Бот

E2E7927C279C3740EA9821595FA2AA23

Касперскийн лабораторийн мэргэжилтнүүд санхүүгийн шинэ аюул заналхийлсэн Mezzo хортой программыг илрүүлсэн нь нягтлан бодох бүртгэл болон банкны системийн хооронд солилцсон файлуудын дэлгэрэнгүй мэдээллийг орлуулах чадвартай. Одоогийн байдлаар хортой програм нь халдвар авсан компьютерээс цуглуулсан мэдээллийг халдагчид руу сервер рүү илгээдэг бөгөөд шинжээчдийн үзэж байгаагаар энэ нь Трояны бүтээгчид ирээдүйн кампанит ажилд бэлтгэж байгааг илтгэж магадгүй юм. Мезцогийн хохирогчдын тоо цөөхөн хэвээр байгаа бөгөөд халдварын дийлэнх нь Орос улсад бүртгэгдсэн байна.

Mezzo-г гуравдагч талын татаж авагчид ашиглан түгээдэг. Төхөөрөмжид хүрсний дараа троян нь халдвар авсан компьютерийн өвөрмөц танигчийг үүсгэсэн бөгөөд үүний үндсэн дээр халдагчийн сервер дээр хохирогчоос олдсон бүх файлыг хадгалах хавтас үүсдэг. Эдгээр хавтас бүр нууц үгээр хамгаалагдсан байдаг.

Mezzo-ийн гол сонирхол нь хоёр минутын өмнө бүтээгдсэн нягтлан бодох бүртгэлийн алдартай программ хангамжийн текст файлууд юм. Трояны функц нь ийм баримт бичгийг илрүүлсний дараа нягтлан бодох бүртгэлийн систем болон банкны хооронд мэдээлэл солилцох харилцах цонх нээгдэх эсэхийг хүлээх болно гэж үздэг. Хэрэв ийм зүйл тохиолдвол хортой програм нь өгөгдөл дамжуулах үед файл дахь дансны мэдээллийг нэн даруй сольж болно. Үгүй бол (хэрэв харилцах цонх хэзээ ч нээгдэхгүй бол) Mezzo файлыг бүхэлд нь хуурамч файлаар солино.

Нэмж дурдахад, Mezzo кодын дүн шинжилгээ нь энэхүү хортой програм нь криптовалютын хайдаг өөр нэг шуугиан тарьсан троян болох CryptoShuffler-тэй холбоотой байж болзошгүйг харуулсан. Касперскийн лабораторийн мэргэжилтнүүд CryptoShuffler татаж авдаг Mezzo болон AlinaBot програмын код сүүлийн мөртэй бараг ижил байгааг олж тогтоожээ. Хоёр хортой програмын ард ижил вирус зохиогчид байгаа нь тэдний сонирхол хэрэглэгчдийн крипто түрийвчэнд нөлөөлж болзошгүй гэсэн үг юм.

“Бид нягтлан бодох бүртгэлийн программ хангамжид халдаж буй хортой програмтай анх удаа таарч байгаа юм биш. Ийнхүү бидний нэг жилийн өмнө олж илрүүлсэн ижил төстэй TwoBee трояны тусламжтайгаар халдагчид Оросын байгууллагуудаас 200 сая гаруй рубль хулгайлж чадсан” гэж Касперскийн лабораторийн вирусны эсрэг шинжээч Сергей Юнаковский дурсав. "Гэсэн хэдий ч Мецзо "ах"-аасаа ялгаатай. Нэг талаас сонирхсон файлуудыг хайх, шалгах энгийн алгоритмыг ашигладаг. Гэхдээ энэ нь зөвхөн нягтлан бодох бүртгэлийн системээр хязгаарлагдахгүй байх магадлалтай. Энэ нь нэг хорлонтой программ дотор олон модуль, янз бүрийн функцүүдийг улам бүр хэрэгжүүлж байгаа орчин үеийн вирус зохиогчдын сэтгэлд маш их нийцэж байна."

Та Kaspersky Lab-ийн аналитик тайлангаас Mezzo Trojan-ийн боломжуудын талаар илүү ихийг мэдэх боломжтой.

Нягтлан бодох бүртгэлийн программ хангамжид халдах хорлонтой програм нь ховор биш юм. Жил орчмын өмнө Касперскийн лабораторийн шинжээчид TwoBee хорлонтой кампанит ажлын талаар мэдээлсэн бөгөөд энэ үеэр гэмт хэрэгтнүүд төлбөрийн даалгаврын текст файлуудыг зүгээр л засварлах замаар 200,000,000 гаруй рубль хулгайлж чадсан гэдгийг санахад хангалттай.

Одоо Касперскийн лабораторийн судлаачид Mezzo хэмээх шинэ, ижил төстэй аюулын талаар мэдээлж байна. Нягтлан бодох бүртгэл болон банкны системүүдийн хооронд файл солилцох мэдээллийг сольсон TwoBee хортой програмаас ялгаатай нь Mezzo нь халдвар авсан системд цуглуулсан мэдээллийг халдагчдын сервер рүү илгээдэг. Судлаачид ийм байдлаар хортой програм хөгжүүлэгчид ирээдүйн кампанит ажилд бэлдэж чадна гэж үзэж байгаа ч одоогоор зорилтот зорилтуудын талаар мэдээлэл цуглуулах шатандаа явж байна.

Одоогийн байдлаар Мезцогийн хохирогчдын тоо цөөхөн байгаа бөгөөд ихэнх халдвар Орос улсад бүртгэгдсэн байна.

Судлаачид энэхүү хортой програмыг гуравдагч этгээдийн татаж авах программ ашиглан бүтээдэг гэж бичжээ. Системд нэвтрэн орсны дараа троян нь халдвар авсан машинд өвөрмөц танигчийг оноож, үүний үндсэн дээр халдагчийн сервер дээр хохирогчоос олдсон бүх файлыг хадгалах хавтас үүсгэдэг. Хортой програм нь файлуудын "нас" (долоо хоногоос илүүгүй), эхэнд нь 1CClientBankExchange мөр байгаа эсэхийг сонирхож байна.

Дээр дурдсанчлан, Mezzo-ийн гол сонирхол нь хоёр минутын өмнө бүтээгдсэн нягтлан бодох бүртгэлийн алдартай програм хангамжийн текст файлууд юм. Трояны функц нь ийм баримт бичгийг илрүүлсний дараа нягтлан бодох бүртгэлийн систем болон банк хооронд мэдээлэл солилцох харилцах цонх нээгдэх эсэхийг хүлээх болно гэж үздэг. Хэрэв ийм зүйл тохиолдвол Mezzo өгөгдөл дамжуулах үед файл дээрх дансны мэдээллийг нэн даруй өөрчилж болно. Үгүй бол (хэрэв таван минутын дараа харилцах цонх нээгдээгүй бол) Mezzo файлыг бүхэлд нь хуурамчаар солино.

Харилцах цонхыг хүлээж байна

Мөн Mezzo кодын шинжилгээгээр тус хортой програм нь криптовалютын хайгуул хийдэг өөр нэг алдартай троянтай холбоотой байж болзошгүйг харуулсан. Судлаачид CryptoShuffler-ийг системд ачаалдаг Mezzo болон AlinaBot хортой программуудын эх код нь бараг адилхан болохыг олж мэдсэн. Энэ хоёр аюулын ард ижил хүмүүс байгаа нь нягтлан бодох бүртгэлийн программ хангамж төдийгүй хэрэглэгчдийн криптовалют түрийвчийг сонирхож байгаа гэсэн үг юм.

“Бид нягтлан бодох бүртгэлийн программ хангамжид халдаж буй хортой програмтай анх удаа таарч байгаа юм биш. Ийнхүү бидний нэг жилийн өмнө олж илрүүлсэн ижил төстэй TwoBee трояны тусламжтайгаар халдагчид Оросын байгууллагуудаас 200 сая гаруй рубль хулгайлж чадсан” гэж Касперскийн лабораторийн вирусны эсрэг шинжээч Сергей Юнаковский дурсав. "Гэсэн хэдий ч Мецзо "ах"-аасаа ялгаатай. Нэг талаас сонирхсон файлуудыг хайх, шалгах энгийн алгоритмыг ашигладаг. Гэхдээ энэ нь зөвхөн нягтлан бодох бүртгэлийн системээр хязгаарлагдахгүй байх магадлалтай. Энэ нь нэг хорлонтой программ дотор олон модуль, янз бүрийн функцүүдийг улам бүр хэрэгжүүлж байгаа орчин үеийн вирус зохиогчдын сэтгэлд маш их нийцэж байна."

Касперскийн лаборатори бодит болон криптовалютыг хайж олох шинэ троян олсон байна

Касперскийн лабораторийн мэргэжилтнүүд санхүүгийн шинэ аюулыг илрүүлсэн нь нягтлан бодох бүртгэл болон банкны системүүдийн хооронд солилцсон файлуудын дэлгэрэнгүй мэдээллийг солих чадвартай Mezzo Trojan юм.

Касперскийн лабораторийн мэргэжилтнүүд нягтлан бодох бүртгэл болон банкны системийн хооронд солилцсон файлуудын дэлгэрэнгүй мэдээллийг орлуулах чадвартай Mezzo Trojan хэмээх санхүүгийн шинэ аюулыг илрүүлжээ. Одоогийн байдлаар хортой програм нь халдвар авсан компьютерээс цуглуулсан мэдээллийг халдагчид руу сервер рүү илгээдэг бөгөөд шинжээчдийн үзэж байгаагаар энэ нь Трояны бүтээгчид ирээдүйн кампанит ажилд бэлтгэж байгааг илтгэж магадгүй юм. Мезцогийн хохирогчдын тоо цөөхөн хэвээр байгаа бөгөөд халдварын дийлэнх нь Орос улсад бүртгэгдсэн байна.

Mezzo-г гуравдагч талын татаж авагчид ашиглан түгээдэг. Төхөөрөмжид хүрсний дараа троян нь халдвар авсан компьютерийн өвөрмөц танигчийг үүсгэсэн бөгөөд үүний үндсэн дээр халдагчийн сервер дээр хохирогчоос олдсон бүх файлыг хадгалах хавтас үүсдэг. Эдгээр хавтас бүр нууц үгээр хамгаалагдсан байдаг.

Mezzo-ийн гол сонирхол нь хоёр минутын өмнө бүтээгдсэн нягтлан бодох бүртгэлийн алдартай программ хангамжийн текст файлууд юм. Трояны функц нь ийм баримт бичгийг илрүүлсний дараа нягтлан бодох бүртгэлийн систем болон банкны хооронд мэдээлэл солилцох харилцах цонх нээгдэх эсэхийг хүлээх болно гэж үздэг. Хэрэв ийм зүйл тохиолдвол хортой програм нь өгөгдөл дамжуулах үед файл дахь дансны мэдээллийг нэн даруй сольж болно. Үгүй бол (хэрэв харилцах цонх хэзээ ч нээгдэхгүй бол) Mezzo файлыг бүхэлд нь хуурамч файлаар солино.

Нэмж дурдахад, Mezzo кодын дүн шинжилгээ нь энэхүү хортой програм нь криптовалютын хайдаг өөр нэг шуугиан тарьсан троян болох CryptoShuffler-тэй холбоотой байж болзошгүйг харуулсан. Касперскийн лабораторийн мэргэжилтнүүд CryptoShuffler татаж авдаг Mezzo болон AlinaBot програмын код сүүлийн мөртэй бараг ижил байгааг олж тогтоожээ. Хоёр хортой програмын ард ижил вирус зохиогчид байгаа нь тэдний сонирхол хэрэглэгчдийн крипто түрийвчэнд нөлөөлж болзошгүй гэсэн үг юм.

“Бид нягтлан бодох бүртгэлийн программ хангамжид халдаж буй хортой програмтай анх удаа таарч байгаа юм биш. Ийнхүү бидний нэг жилийн өмнө олж илрүүлсэн ижил төстэй TwoBee трояны тусламжтайгаар халдагчид Оросын байгууллагуудаас 200 сая гаруй рубль хулгайлж чадсан” гэж Касперскийн лабораторийн вирусны эсрэг шинжээч Сергей Юнаковский дурсав. "Гэсэн хэдий ч Мецзо "ах"-аасаа ялгаатай. Нэг талаас сонирхсон файлуудыг хайх, шалгах энгийн алгоритмыг ашигладаг. Гэхдээ энэ нь зөвхөн нягтлан бодох бүртгэлийн системээр хязгаарлагдахгүй байх магадлалтай. Энэ нь нэг хорлонтой программ дотор олон модуль, янз бүрийн функцүүдийг улам бүр хэрэгжүүлж байгаа орчин үеийн вирус зохиогчдын сэтгэлд маш их нийцэж байна."