ПО Backdoor.Proxybox в исследовании Symantec

Корпорация Symantec обнародовала результаты исследования вредоносного ПО Backdoor.Proxybox. Как полагают специалисты, автором этой программы является вирусописатель из России, в настоящее время в сотрудничестве с властями они пытаются установить его личность. В расследовании эксперты отталкиваются от используемых хакером счетов в платежных системах на ряде сайтов по продаже сомнительного ПО.

Вредоносное ПО Backdoor.Proxybox ежегодно поражает сотни тысяч компьютеров. Расследование позволило раскрыть детали преступления, включая информацию о структуре и размерах ботнета. Специалисты не без основания рассчитывают, что полученная информация позволит установить личность автора вредоносного ПО.

Обычно прокси-сервисы используются для доступа к содержимому, распространение которого ограничено рамками географического региона, или с целью сохранения анонимности. Поставщики подобных услуг присутствуют по всему земному шару. Так, существует предложение реселлеров сервиса Proxybox, позиционирующего себя в качестве официального российского поставщика услуг доступа к тысячам серверов всего за $40 в месяц. Это вызывает вопрос: как удается предоставлять доступ к такому количеству серверов по такой низкой цене.

В ходе расследования Symantec был проведен реверс-инжиниринг (восстановление программного кода на основе исполняемых файлов) вредоносного ПО Backdoor.Proxybox, показавший, что угроза состоит из трех основных компонентов: дроппера (модуля скрытной загрузки); основной части вредоносного ПО (модуля «полезной нагрузки») и руткита. Дроппер устанавливает на компьютер основную часть вредоносного ПО в качестве службы, копируя его исполняемые файлы в систему и встраивая руткит. Руткит пытается защитить модуль «полезной нагрузки» и другие файлы, связанные с данной угрозой, для обеспечения большей стойкости к средствам защиты, используя новейшие методы противодействия сканированию. Модуль «полезной нагрузки» представляет собой динамическую библиотеку, подгружаемую при старте компьютера, и функционирует как низкоуровневый прокси-сервис, включая скомпрометированный компьютер в состав ботнета, используемого для туннелирования трафика.

При старте компьютера модуль «полезной нагрузки» выходит на связь по «вшитому» в него адресу основного сервера управления и опрашивает ряд PHP-страниц для самоконфигурирования, регистрирует резервные серверы управления, проверяет скорость соединения и обеспечивает аутентификацию клиента. Основной сервер управления, в свою очередь, предоставляет клиенту список резервных серверов управления, проводит оценку производительности скомпрометированного компьютера и выдает пароль для аутентификации на прокси. Анализ сервера управления также выявил несколько общедоступных PHP-страниц, отражающих статистическую информацию о работе ботнета, равно как и учетные данные для подключения к базе данных.

Наблюдение за активностью сервера управления в течение нескольких последних месяцев позволило специалистам Symantec предположить, что оператор ботнета стремится круглосуточно поддерживать его объем постоянным на уровне примерно 40000 активных пользователей. Оператор использует различные варианты распространения вредоносного ПО, включая эксплойт-пак Blackhole. Интересно, что каждый С&С-сервер также предоставляет ботнет-клиенту URL-ссылку на резервный сервер управления в виде [http://]proxybox.name. Этот Web-адрес также был обнаружен в рекламных объявлениях подпольных форумов, таких как Antichat.ru (русскоязычный форум для продажи или обмена скриптами, прокси- и VPN-службами, установленным вредоносным ПО, и другими сомнительным услугами).

Во всех рекламных объявлениях данного российского хакера предоставляется ссылка на один из его четырех Web-сайтов. Все эти сайты так или иначе связаны с прокси и распространением вредоносного ПО: один из них предоставляет доступ через прокси (proxybox.name), другой – услуги VPN (vpnlab.ru), третий – услуги антивирусного сканирования (avcheck.ru), а четвертый – услуги тестирования прокси (whoer.net). Эти четыре сайта также связаны между собой перекрестными статичными баннерами. В качестве адреса поддержки на всех четырех сайтах автор указал один и тот же номер ICQ. Некоторые из этих сайтов предоставляют платные услуги, и варианты способа оплаты везде одинаковы: WebMoney, Liberty Reserve и RoboKassa.

Специалисты компании Symantec начали изучать счета платежных систем, ассоциированные с этими сайтами, и обнаружили, что все они ведут к гражданину с украинским именем, проживающему в России. Другая информация об этом пользователе WebMoney пока не доступна, однако Symantec продолжает сотрудничать с правоохранительными органами стран, имеющих отношение к этим серверам управления.