> Вопрос: а чего он там забыл?Так ведь libc'шные getpwuid/getpwnam() оно используют. В passwd кто только не смотрит, это ничего интересного.
Троян не там зарыт, таскать пряники из буфета и файлы из пользовательского каталога это слишком заметно, поэтому как раз в цели обхода профиля в .mozilla можно и поверить. Троян потенциально зарыт в коммуникационной либе и методах генерации эфемерных ключей, о чем в «Silver Needle in the Skype» писали. Ну или в возможности уже когда надо (а не массово, ибо паника будет мгновенно) на заданной ноде выполнить заданный код.