Американский исследователь связывает с TDSS жителя Санкт-Петербурга

Независимый исследователь в области информационной безопасности Брайан Кребс (Brian Krebs) опубликовал две записи в своем блоге, в которых путем логических рассуждений связывает жителя Санкт-Петербурга с одной из опаснейших вредоносных программ, существующих на сегодняшний день - TDSS.

Напомним, что TDSS - это вирус с руткит-составляющей, который используется для управления зараженными компьютерами. Исследователи ИБ уже много лет пытаются уничтожить ботнет, управляемый с помощью этой программы. Последняя стабильная версия вируса TDL4 получила полную поддержку работы с 64-битной архитектурой процессора и способна удалять около 20 вредоносных программ, способных составить TDSS конкуренцию в удаленном управлении компьютером.

Согласно аналитическому исследованию сотрудника Лаборатории Касперского Сергея Голованова, среди компонентов, устанавливаемых TDSS, присутствует библиотека «socks.dll», позволяющая удаленным пользователям заходить в Интернет через компьютер жертвы.

Контролируя огромное количество компьютеров с подобным функционалом, злоумышленники принялись предлагать услуги по анонимному доступу к Интернет через службу awmproxy.net. Стоимость этой услуги составляет $100 в месяц. Для повышения удобства работы пользователей киберпреступники разработали специальное расширение Firefox, позволяющее пользователям сервиса Awmproxy переключаться между проксированным и непроксированным трафиком через закладки в web-обозревателе.

Количество предоставляемых этой службой прокси-серверов постоянно меняется. Это связанно с тем, что количество зараженных машин, подключенных к Интернет, постоянно меняется. Их пользователи могут выключать компьютер на ночь, отправляясь на работу и пр.

Исследователь обнаружил на сайте службы проксирования код Google Analytics. Этот же код, UA-3816538, содержится еще на 6 web-сайтах, в том числе awmproxy.com (клон awmproxy.net). С помощью domaintools.com, Кребс нашел журнал регистрации домена awmproxy.com. Записи этого журнала указывали на то, что домен был зарегистрирован 7 февраля 2008 года жителем России с помощью адреса электронной почты fizot@mail.ru. Исследователь обнаружил еще один сайт, зарегистрированный на этот адрес - fizot.com.

Владельцем этого доменного имени на сайте регистратора указан Чингиз Галдзиев. С помощью поисковых систем Брайану Кребсу удалось найти блог Галдзиева на ЖЖ. На момент написания данной новости блог уже был удален, но Кребс утверждает, что на блоге пользователя Fizot было размещено 27 записей, одной из которых он описывал покупку машины с номерным знаком, вмещающим «число зверя» («666»).

Затем оказалось, что на YouTube существует учетная запись пользователя Fizot, на котором web-сайт Fizot.com указывается, как web-сайт пользователя. На этой учетной записи было помещено видео с автомобилем Porsche и номерным знаком, вмещающим «666».

Сам Чингиз Галдзиев заявляет, что он никоим образом не связан с awmproxy.net и советует обратиться к администрации сайта.

Записи на блоге можно найти здесь и здесь .