Авторы вредоносного ПО всегда стараются скрыть, кто они такие на самом деле, верно? Неверно — даже среди нынешних киберпреступников, которых интересует лишь нажива, находятся такие, кто раскрывает информацию о себе. Удивительно, но вот правдивая история про то, как злоумышленник «представился», чтобы «получить компенсацию» у «Лаборатории Касперского» за проводимые ей антивирусные исследования.
Недавно мы заинтересовались новым сервисом для авторов вредоносных программ — [avtracker точка info]. Это онлайн-служба, позволяющая отслеживать деятельность производителей антивирусов. Главная страница [avtracker точка info] содержит описание сервиса по защите вредоносных программ от анализа со стороны антивирусных исследователей, а также призыв организовывать DDoS-атаки против антивирусных компаний:
Рисунок 1: текст с главной страницы [avtracker точка info]
Более того, наши коллеги-исследователи любезно предоставили нам сетевой запрос, который применялся для передачи информации владельцу ресурса [avtracker точка info]. Этот запрос использовался специальной шпионской программой, которую он распространял среди антивирусных лабораторий. После запуска на компьютере шпионская программа связывалась со своим хозяином и передавала ему информацию о зараженной машине. Мы поработали с этим запросом и заменили имя пользователя и параметры системы на попадавшиеся под руку строки.
Данные службы WHOIS личность владельца ресурса раскрыть не помогли — домен [avtracker точка info] был зарегистрирован анонимно. В этом нет ничего удивительного: киберпреступники обычно регистрируют домены анонимно, чтобы их было труднее вычислить.
До сих пор в этой истории не было ничего странного — обычный день из жизни антивирусной компании. Но вдруг — сюрприз! — владелец сервиса для авторов вредоносного ПО связался с нами сам и раскрыл информацию о себе. Более того, он потребовал заплатить ему 2000 евро в качестве компенсации ущерба, якобы понесенного им в результате нашей попытки «сломать» его новую игрушку.
На момент написания этого текста мы располагали упомянутой выше шпионской программой, которая содержала следующее сообщение в своем коде, указывающее на того же человека, что с нами связался:
Рисунок 2: сообщение от киберпреступника в коде шпионской программы
Конечно, мы собрали все необходимые данные и направили их нашему юристу, который предпримет соответствующие шаги. Если бы все киберпреступники так же охотно шли на контакт, как этот, жизнь антивирусных компаний была бы гораздо проще.
Комментарии (6)
старые сверху
«дерево»
Сергей Голованов22 окт 2009, 18:45
|
|
-1 |
|
|
у... жесть какая... Так он еще и сообщил что имеет обношение к разработке буткита? Ему совсем хана Ж)
|
|
SetupNick22 окт 2009, 20:33
|
|
|
1 |
|
|
У человека явно проблема с общественным признанием. Это порядком выводит из себя, когда ты такой великий, а тебя не замечают. Бедняга...
|
|
Татьяна Никитина22 окт 2009, 23:28
|
|
|
0 |
|
|
Насколько я поняла, отслеживая новости, вирусописатели частенько оставляют в коде послания для исследователей. Большинство из них - язвительные, с неуставной лексикой. Реже встречаются вполне вежливые пассажи или просто приветствия. В начале октября эксперты McAfee, изучая некое семейство зловредов, обнаружили очередной привет от их автора и тщеславную просьбу "назвать эту фиговину YYY" (простите, пришлось употребить эвфемизм вместо "звездочек") - http://www.avertlabs.com/research/blog/index.php/2009/10/06/please-call-my-virus-this/
|
|
Станислав Бурлуцкий25 окт 2009, 17:15
|
|
|
0 |
|
|
Наверняка он буткит не писал, возможно кто-то третий лишний влез во всю эту тему и написал эту чушь.
|
|
|
Татьяна Никитина29 окт 2009, 16:52
|
|
|
0 |
|
|
Re: он буткит не писал
Оказывается-таки писал - http://voices.washingtonpost.com/securityfix/2009/10/former_anti-virus_researcher_t.html. Молодого программиста-фаната, обиженного антивирусным сообществом, зовут Питер Кляйснер, и проживает он в Австрии.
|
|
Sapphire07 дек 2009, 09:51
|
|
|
0 |
|
|
Я не мог пройти мимо имени Whistler, этот парень асс при взламывании некоторых антивирусов. Он кстати создал программу оффлайн обнавления Нод32 антивирусов, им я сам пользуюсь, и не раз его лично блогадорил за помощь)))
так что враги нам иногда и помогают;)
|
|
|
Также в аналитике
В веблоге
|
RSS-каналы
