Взять в аренду ботнет TDSS/TDL-4

Тема в разделе "Новости информационной безопасности", создана пользователем Mila, 13 сен 2011.

  1. Mila
    Оффлайн

    Mila Команда форума Основатель

    Сообщения:
    4.970
    Симпатии:
    13.601
    Кибермошенники создали онлайн-магазин, который предлагает арендовать машины ботнета TDSS/TDL-4.

    Последняя версия агента TDSS включает в себя компонент, который превращает зараженные машины в прокси, подключенные к awmproxy.net.

    AWMproxy, принимающий оплату через PayPal, MasterCard и Visa, взимает плату в размере $3 за день и $300 за неделю с будущих подпольных баронов, которым не хватает ума для того, чтобы получить своих собственных зомби. Сайт даже предлагает дополнение к бразузеру Firefox, делающее процесс еще проще.

    Дополнение можно использовать для анонимного ползанья по интернету с чужого IP-адреса либо для осуществления кибер-атак, пишет в своем блоге специалист по безопасности Брайан Кребс. Таким образом владельцы зараженных систем, с чьих компьютеров посылались угрозы или рассматривались изображения с издевательствами над детьми, оказываются не в ладах с законом без своего на то ведома.

    TDSS/TDL-4 является одним из самых изощренных современных ботнетов. Вредоносное ПО использует технологии, позволяющие скрыть их присутствие на зараженных системах.

    Кребс провел расследование, касающееся электронного магазина. Код Google Analytics, внедренный в магазин, позволил Кребсу обнаружить сайты с идентичным кодом. AWMProxy была создан в феврале 2008 с адреса fizot@mail.ru, этот же адрес использовался для поддержки других вредоносных сайтов, включая pornxplayer.com и fizot.com.

    Ныне несуществующий сайт fizot.com был зарегистрирован на Шингиза Галдзиева из Санкт-Петербурга (Россия). Кребс обнаружил, что адрес fizot@mail.ru был привязан к блогу на LiveJournal, в котором обсуждались такие вопросы, как жизнь в Санкт-Петербурге, заработок баснословных денег, владение "Porsche" с номером "666". Fizot также давал ссылку на видео на YouTube, на котором Порш с номером Н666ХК рассекал по стоянке около торгового центра.

    Кребс пришел к выводу, что Шингиз "имел лишь косвенное отношение" к людям, стоящим за электронным магазином TDDS, гораздо интереснее выяснить кто на самом деле руководит этим ботнетом. В ответ на расследование Кербса Fizot удалил все посты в блоге LiveJournal и видео на YouTube. При входе на страницу его блога появляется сообщение о том, что он продал AWMproxy некоторое время назад.

    Вскоре после того, как статья была опубликована, сайт Кребса и его провайдера подверглись DoS-атаке. Специалист по безопасности предполагает, что атака имела отношение к ботнету TDSS/TDL-4, однако у него пока нет этому доказательств. Сайт Кребса был впоследствии восстановлен.


    источник
     

Поделиться этой страницей