Американский исследователь связывает с TDSS жителя Санкт-Петербурга
Независимый исследователь в области информационной безопасности Брайан Кребс (Brian Krebs) опубликовал две записи в своем блоге, в которых путем логических рассуждений связывает жителя Санкт-Петербурга с одной из опаснейших вредоносных программ, существующих на сегодняшний день - TDSS.
Согласно аналитическому исследованию сотрудника Лаборатории Касперского Сергея Голованова, среди компонентов, устанавливаемых TDSS, присутствует библиотека «socks.dll», позволяющая удаленным пользователям заходить в Интернет через компьютер жертвы.
Контролируя огромное количество компьютеров с подобным функционалом, злоумышленники принялись предлагать услуги по анонимному доступу к Интернет через службу awmproxy.net. Стоимость этой услуги составляет $100 в месяц. Для повышения удобства работы пользователей киберпреступники разработали специальное расширение Firefox, позволяющее пользователям сервиса Awmproxy переключаться между проксированным и непроксированным трафиком через закладки в web-обозревателе.
Количество предоставляемых этой службой прокси-серверов постоянно меняется. Это связанно с тем, что количество зараженных машин, подключенных к Интернет, постоянно меняется. Их пользователи могут выключать компьютер на ночь, отправляясь на работу и пр.
Исследователь обнаружил на сайте службы проксирования код Google Analytics. Этот же код, UA-3816538, содержится еще на 6 web-сайтах, в том числе awmproxy.com (клон awmproxy.net). С помощью domaintools.com, Кребс нашел журнал регистрации домена awmproxy.com. Записи этого журнала указывали на то, что домен был зарегистрирован 7 февраля 2008 года жителем России с помощью адреса электронной почты fizot@mail.ru. Исследователь обнаружил еще один сайт, зарегистрированный на этот адрес - fizot.com.
Владельцем этого доменного имени на сайте регистратора указан Чингиз Галдзиев. С помощью поисковых систем Брайану Кребсу удалось найти блог Галдзиева на ЖЖ. На момент написания данной новости блог уже был удален, но Кребс утверждает, что на блоге пользователя Fizot было размещено 27 записей, одной из которых он описывал покупку машины с номерным знаком, вмещающим «число зверя» («666»).
Затем оказалось, что на YouTube существует учетная запись пользователя Fizot, на котором web-сайт Fizot.com указывается, как web-сайт пользователя. На этой учетной записи было помещено видео с автомобилем Porsche и номерным знаком, вмещающим «666».
Сам Чингиз Галдзиев заявляет, что он никоим образом не связан с awmproxy.net и советует обратиться к администрации сайта.
Записи на блоге можно найти здесь и здесь .
www.securitylab.ru