Кибермошенники создали онлайн-магазин, который предлагает арендовать машины
ботнета TDSS/TDL-4.

Последняя версия агента TDSS включает в себя компонент, который превращает
зараженные машины в прокси, подключенные к awmproxy.net.

AWMproxy, принимающий оплату через PayPal, MasterCard и Visa, взимает плату в
размере $3 за день и $300 за неделю с будущих подпольных баронов, которым не
хватает ума для того, чтобы получить своих собственных зомби. Сайт даже
предлагает дополнение к бразузеру Firefox, делающее процесс еще проще.

Дополнение можно использовать для анонимного ползанья по интернету с чужого
IP-адреса либо для осуществления кибер-атак, пишет в своем блоге специалист по
безопасности Брайан Кребс. Таким образом владельцы зараженных систем, с чьих
компьютеров посылались угрозы или рассматривались изображения с издевательствами
над детьми, оказываются не в ладах с законом без своего на то ведома.

TDSS/TDL-4 является одним из самых изощренных современных ботнетов.
Вредоносное ПО использует технологии, позволяющие скрыть их присутствие на
зараженных системах.

Кребс провел расследование, касающееся электронного магазина. Код Google
Analytics, внедренный в магазин, позволил Кребсу обнаружить сайты с идентичным
кодом. AWMProxy была создан в феврале 2008 с адреса fizot@mail.ru, этот же адрес
использовался для поддержки других вредоносных сайтов, включая pornxplayer.com и
fizot.com.

Ныне несуществующий сайт fizot.com был зарегистрирован на Шингиза Галдзиева
из Санкт-Петербурга (Россия). Кребс обнаружил, что адрес fizot@mail.ru был
привязан к блогу на LiveJournal, в котором обсуждались такие вопросы, как жизнь в
Санкт-Петербурге, заработок баснословных денег, владение "Porsche" с номером
"666". Fizot также давал ссылку на видео на YouTube, на котором Порш с номером
Н666ХК рассекал по стоянке около торгового центра.

Кребс пришел к выводу, что Шингиз "имел лишь косвенное отношение" к людям,
стоящим за электронным магазином TDDS, гораздо интереснее выяснить кто на самом
деле руководит этим ботнетом. В ответ на расследование Кербса Fizot удалил все
посты в блоге LiveJournal и видео на YouTube. При входе на страницу его блога
появляется сообщение о том, что он продал AWMproxy некоторое время назад.

Вскоре после того, как статья была опубликована, сайт Кребса и его провайдера
подверглись DoS-атаке. Специалист по безопасности предполагает, что атака имела
отношение к ботнету TDSS/TDL-4, однако у него пока нет этому доказательств. Сайт
Кребса был впоследствии восстановлен.



Оставить мнение