Вместе с заявленными услугами подписчики Proxybox получали бэкдор. В Symantec отмечают, что цена $40 за предоставляемый комплект сервисов невысока, а потому злоумышленникам удалось привлечь и включить в ботнет «сотни тысяч» клиентов. Постоянный размер сформированного ботнета поддерживается на уровне около 40 тыс. активных компьютеров.
В Symantec отмечают российское происхождение авторов Proxybox и ботнета.
Во всех рекламных объявлениях российского хакера — владельца Proxybox — есть ссылка на один из принадлежащих ему четырех веб-сайтов, каждый из которых связан с распространением вредоносного ПО: это предоставляющий доступ в интернет через прокси proxybox.name, предоставляющий услуги VPN vpnlab.ru, антивирусный сайт avcheck.ru и сервис по предоставлению услуг тестирования прокси whoer.net.
Все четыре сайта перекрестно связаны между собой баннерами. В качестве контакта на всех них указан один и тот же номер ICQ. Платные услуги, предлагаемые на этих сайтах, можно оплатить через одни и те же платежные системы: WebMoney, Liberty Reserve и RoboKassa.
В результате изучения счетов платежных систем, ассоциированных с этими сайтами, специалисты Symantec обнаружили, что они связаны с жителем России, носящим украинское имя. Другая информация об этом пользователе недоступна, однако, как подчеркивают в Symantec, эксперты компании активно сотрудничают с правоохранительными органами стран, имеющих отношение к этим серверам управления.
Хакеры подключали своих клиентов к бот-нету: 1 комментарий