This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

一个普通IT人帮助赶僵尸网络的网络犯罪

by Bob Burls on January 4, 2013 | Leave a comment

Filed Under: Botnet, Featured, Law & order, Malware

资深网络犯罪的的研究员鲍勃树瘤回顾上一个勤奋的IT人帮助的情况下定罪的僵尸主控机了数十万美元。

当局发现是谁在背后恶意软件攻击,这是不够的。为了确保一个成功的信念,这也是必要的受害者报告 ,构成犯罪的发生。

如下面的案例证明,任何成员的计算机使用公共可能是重要的一块拼图,有助于使网络犯罪分子的倒台。

IT人的口袋里保护。图片从ShutterStock

特别是积极的恶意软件在2006年11月来到苏格兰场的计算机犯罪部门的通知。恶意软件的问题IRCBot,Sophos作为W32/Vanebot-R检测到的蠕虫状。

仔细检查发现的恶意软件,它使用各种传播媒介传播:

  • MS SQL服务器的“保护”的弱口令
  • 网络共享
  • 一个关键的安全微软Server服务中的漏洞可能允许远程执行代码( MS06-040
  • 即时通讯

运行时分析发现,恶意软件连接到一个IRC服务器在域mang.smokedro.com。

连接到一个IRC服务器的恶意软件

域名注册对smokedro.com的表现为:

约翰·德斯特
第23街2307Ë
巴拿马城
佛罗里达州32405
美国

gunit@gmail.com

(请注意,所有的谷歌电子邮件帐户需要有一个最低的六个字符的用户名 - 这样的事实,即关联的电子邮件地址与domaim只有5个品牌,它立即可疑)

然而,有一个问题,即需要以被克服之前可以发起调查。

该恶意软件还没有通过的指控警方的通知,并以立案调查,这是必要的,以确定是否已分发给了恶意软件,并已释放到野外。

因此,警方联系了恶意软件,在SophosLabs的专家,问任何客户的恶意软件被击中。

Sophos的证实,它已收到从客户网站的恶意软件样本,并在其中一家公司的IT专业人士(“克里斯” - 不是他的真名)开始了接触。

因此,“克里斯”联络警方,并描述了该恶意软件影响了他的公司的网络。

“Chris”的一个全球性的制造公司工作,一个在英国及欧洲各国,以及美国。该恶意软件已经遍布影响网络股份公司的欧洲网络和产生的网络流量的高发病率。

IT专业,好运气,除了事件日志中保留副本的恶意软件。直到此时,事件没有向当局报告任何犯罪的受害者。

遭受的恶意软件的公司,声称其在欧洲的网络,它已经感染了相当数量的计算机上。

Police officer, courtesy of Shutterstock作为的smokedro.com的服务器域名已被注册在美国,英国警方开始调查,在美国没有权力。

因此,美国特勤局的正式通知,涉及美国和英国当局开始联合调查。

这件事构成1990年在英国属于滥用计算机法“第3条的罪行,一台计算机的未经授权的修改。

在这种情况下,美国联邦法律的适用是违反“条例”第18“美国法典”第1030(A)(5)故意造成财产损坏受保护的计算机。

一位美国特勤局特工发出了正式请求,域名注册商的注册人是一个21岁的男子名叫罗伯特·马修·宾利巴拿马城,佛罗里达州,谁提供的注册电子邮件地址包含的名称lsdigital的@和在什么样的帐单联系蒸发在Gmail是他的真实姓名。

服务的其他要求,包括联邦认股后,特勤局能够确认,宾利LSDigital的。

它也揭示了宾利和美元的收入,广告公司,总部设在荷兰,联属公司将其易受感染的计算机上的软件之间的通信。

宾利显然是感染计算机的参加一个广告联系计划,从中获利。

美元的收入

“美元的收入高支出每安装和互联网流量转换成实际收入的任何国家。有没有更好的方法来转换你的流量转化为金钱!”

什么是广告子公司计划吗?

联盟广告公司支付少量的钱,每次他们的广告软件程序在计算机上安装。

一个人签署为51001340,发送一个独特的广告绑他们的会员参考。

通常包括广告程序下载并安装免费的程序,它是有吸引力的最终用户的邀请。

每一个广告程序的计算机上安装的成员引用传递的广告公司及联属公司支付的金额取决于上的位置介于0.30美元和0.01美元的电脑。

美元的收入支付每台计算机在不同的国家,

这种相对少量的钱积累更多的独特的子公司广告软件程序的安装已安装。

例如,如果一1000强大的计算机的僵尸网络内的每台计算机直接安装的联盟广告,僵尸网络的拥有者将获得1000的安装费,根据被感染计算机的地理位置。

所以,如果在加拿大的所有受感染的计算机,例如,僵尸网络的拥有者将获得200美元。

这种类型的从属关系活动被看作是货币化的僵尸网络的第一款车型之一。

荷兰电信监管机构OPTA在2007年, 并处罚金美元的收入100万欧元的 2200万台计算机上安装广告软件。

“克里斯”的认真的努力的IT人在这个时候,受害公司,做了一个正式的犯罪指控,不仅保留了证据保持的IRCBot副本,但曾协助识别的范围伤害该恶意软件所造成的。

作为见证了他的反病毒软件的日志档案,对它们进行分析,并确定整个公司的网络传播的恶意软件的传播,因为它是可能的。这个信息是至关重要的,在确定的恶意活动的影响和范围。

联合警视厅的电脑罪案组和美国特勤局调查得出的结论是:

  • 罗伯特·本特利注册的域名mang.smokedro.com的,这是一个IRC服务器配置和控制的僵尸网络。
  • 受感染的计算机连接到IRC服务器在mang.smokedro.com暗中指示安装广告软件,从美元的收入,编码与宾利的成员参考。
  • 宾利得益于非法付款的美元收入

美元的内存转储

2008年3月6日,罗伯特·马修宾利承认犯有串谋触犯计算机诈骗和计算机诈骗,相反标题18美国法典“第1030,被判处41个月监禁,并告诉支付金额为65,000美元的罚款。

关于奔特力公司的信念新闻稿

此帐户是最好的例子,如何在IT行业,安全厂商和执法机构合作,共享信息和协同工作,以便将罪犯绳之以法。

永远不要低估当局报告计算机犯罪的重要性 - 即使你怀疑犯罪者可能远在海外的基础。您的报告可以使所有的差异。

延伸阅读:

裸安全衷心感谢从佛罗里达州的美国联邦检察官办公室和美国特勤局的这篇文章北区的协助。

警务人员IT人的口袋里保护 ShutterStock图片。

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <pre> <q cite=""> <strike> <strong>

About the author

Bob Burls is a UK-based IT Security consultant who has extensive experience in Computer Incident Response, the investigation of malicious code and other aspects of internet abuse following over a decade of serving as a Detective on the Metropolitan Police Computer Crime Unit, the NHTCU and the PCeU.