Вирус Backdoor.Proxybox написал хакер из России, личность которого устанавливается. К такому выводу пришли специалисты разработчика антивирусного ПО Symantec, которые три года исследовали вирус. Компания сообщает, что эксперты отталкивались от счетов киберпреступника в платежных системах на некоторых сайтах, торгующих сомнительным ПО.

Специалисты компании смогли собрать данные о структуре и размерах ботнета, ежегодно поражающем сотни тысяч компьютеров, и рассчитывают, что эта информация в конечном итоге поможет установить личность автора вируса. Symantec поясняет, что прокси-серверы обычно используются для доступа к контенту, распространение которого ограничено определенным географическим регионом, или для обеспечения анонимности. Похожее предложение от сервиса Proxybox предлагает обеспечить доступ к тысячам серверов всего за 40 долларов в месяц. Эксперты заинтересовались, как можно предоставить такую услугу по столь скромной цене.

Symantec сообщает, что расследование началось с восстановления программного кода Backdoor.Proxybox (реверс-инжиниринга), которое показало, что вирус состоит из трех частей: модуля скрытной загрузки (дроппера), основной части вредоносного ПО (модуля "полезной нагрузки") и руткита. Специалисты компании выяснили, что дроппер устанавливает на компьютер основную часть вредоносного ПО в качестве службы, копируя его исполняемые файлы в систему и встраивая руткит. Он, в свою очередь, защищает файлы вируса при помощи новейших средств, позволяющих обойти сканирование. При включении зараженного компьютера подгружается динамическая библиотека, работающая как низкоуровневый прокси-сервер и подключающая устройство к ботнету. За время наблюдения в течение последних нескольких месяцев специалисты установили, что оператор ботнета старается круглосуточно поддерживать постоянный объем на уровне примерно 4 тысяч активных пользователей.

Во всех рекламных объявлениях, которые развесил по Сети российский хакер, имелась ссылка на один из четырех сомнительных веб-сайтов, так или иначе связанных с прокси и распространением вирусов (proxybox.name, vpnlab.ru, avcheck.ru и whoer.net). Страницы связаны между собой перекрестными баннерами, а в качестве адреса поддержки на них указан один и тот же аккаунт в ICQ. Некоторые порталы предоставляют платные услуги, за которые предлагается платить через WebMoney, Liberty Reserve и RoboKassa. Symantec начала изучать счета платежных систем и обнаружила, что все они ведут к человеку с украинским именем, живущему на территории России. Для того, чтобы получить дальнейшую информацию о его личности, компания сотрудничает с компетентными правоохранительными органами.