Американский исследователь связывает с TDSS жителя Санкт-Петербурга

image

Теги: ботнет, вирус, TDSS

Брайан Кребс нашел связь между гражданином России и службой проксирования, которая работает через TDSS.

Независимый исследователь в области информационной безопасности Брайан Кребс (Brian Krebs) опубликовал две записи в своем блоге, в которых путем логических рассуждений связывает жителя Санкт-Петербурга с одной из опаснейших вредоносных программ, существующих на сегодняшний день - TDSS.

Напомним, что TDSS - это вирус с руткит-составляющей, который используется для управления зараженными компьютерами. Исследователи ИБ уже много лет пытаются уничтожить ботнет, управляемый с помощью этой программы. Последняя стабильная версия вируса TDL4 получила полную поддержку работы с 64-битной архитектурой процессора и способна удалять около 20 вредоносных программ, способных составить TDSS конкуренцию в удаленном управлении компьютером.

Согласно аналитическому исследованию сотрудника Лаборатории Касперского Сергея Голованова, среди компонентов, устанавливаемых TDSS, присутствует библиотека «socks.dll», позволяющая удаленным пользователям заходить в Интернет через компьютер жертвы.

Контролируя огромное количество компьютеров с подобным функционалом, злоумышленники принялись предлагать услуги по анонимному доступу к Интернет через службу awmproxy.net. Стоимость этой услуги составляет $100 в месяц. Для повышения удобства работы пользователей киберпреступники разработали специальное расширение Firefox, позволяющее пользователям сервиса Awmproxy переключаться между проксированным и непроксированным трафиком через закладки в web-обозревателе.

Количество предоставляемых этой службой прокси-серверов постоянно меняется. Это связанно с тем, что количество зараженных машин, подключенных к Интернет, постоянно меняется. Их пользователи могут выключать компьютер на ночь, отправляясь на работу и пр.

Исследователь обнаружил на сайте службы проксирования код Google Analytics. Этот же код, UA-3816538, содержится еще на 6 web-сайтах, в том числе awmproxy.com (клон awmproxy.net). С помощью domaintools.com, Кребс нашел журнал регистрации домена awmproxy.com. Записи этого журнала указывали на то, что домен был зарегистрирован 7 февраля 2008 года жителем России с помощью адреса электронной почты fizot@mail.ru. Исследователь обнаружил еще один сайт, зарегистрированный на этот адрес - fizot.com.

Владельцем этого доменного имени на сайте регистратора указан Чингиз Галдзиев. С помощью поисковых систем Брайану Кребсу удалось найти блог Галдзиева на ЖЖ. На момент написания данной новости блог уже был удален, но Кребс утверждает, что на блоге пользователя Fizot было размещено 27 записей, одной из которых он описывал покупку машины с номерным знаком, вмещающим «число зверя» («666»).

Затем оказалось, что на YouTube существует учетная запись пользователя Fizot, на котором web-сайт Fizot.com указывается, как web-сайт пользователя. На этой учетной записи было помещено видео с автомобилем Porsche и номерным знаком, вмещающим «666».

Сам Чингиз Галдзиев заявляет, что он никоим образом не связан с awmproxy.net и советует обратиться к администрации сайта.

Записи на блоге можно найти здесь и здесь.


или введите имя

CAPTCHA
Басист Бараев
08-09-2011 19:22:35
новый раздел "детективная история" на скелабе
0 |
Басист Валера
08-09-2011 19:23:07
*секлабе ручки то трясутся.....
0 |
имя
08-09-2011 19:37:26
это дьявольский ботнет
0 |
Эдик-Лимоновец
09-09-2011 11:11:30
Совершенно нормальный ботнет как и русток. Учитесь - напишете такой-же лет эдак через 5-6.
0 |
у
10-09-2011 02:03:33
Автор труЪ-вируса так по-ламерски прокололся? Сомнительно.
0 |
ёпть
12-09-2011 14:09:41
"Американский исследователь" - громко-то как. Я вообще хренею над американским менталитетом. Чувак порылся в интернете 15 минут - и вот он уже исследователь! Два самолета в башни врезались - всё, конец света, атака на америку, война, аааа, мы все умрём.
0 |