Вирусописатели проверяют свои разработки на VirusTotal


VirusTotalНа днях антивирусный сайт VirusTotal был использован не совсем по назначению и не совсем в благих целях.

Так вирусописатели использовали данный ресурс для обнаружения возможных уязвимостей в своих вредоносных кодах. Задумку злоумышленников разоблачил блогер Брэндон Диксон, который долгое время анализировал файлы, загружаемые на антивирусный сайт. Используя разработанный собственный алгоритм, блогеру удалось отличить файлы с вредоносным кодом. Детальный анализ показал, что некоторые хакеры постоянно проверяют на VirusTotal свои разработки.

Диксону удалось установить по названию файлов, датам и IP-адресам, что программы были написаны вирусописателями из Китая и Ирана. Например, одна из "постоянных" хакерских групп - это злоумышленники из Comment Crew, или APT1, которые спонсируются правительством Китая. Именно этих хакеров обвиняют во взломе сайтов издания The New York Times и портала корпорации Coca-Cola.

Также в список попали китайские хакеры NetTraveler, на счету которых атаки на ресурсы Далай Ламы и организаций, выступающих за независимость Тибета.

Окончательный результат анализа Диксона показал, что киберпреступники из Китая менее активны, по сравнению с иранскими хакерами. Например, хакеры Ирана за июнь 2014 года проверили на сайте VirusTotal более тысячи файлов, в то время как китайские хакеры ежегодно загружают на ресурс Google порядка 350-400 программ.

Стоит отметить, что изначально киберпреступники использовали всего 2-3 IP-адреса, однако вскоре стали регулярно их менять. Чтобы сделать процесс поиска и отслеживания хакеров более эффективным, Диксон опубликовал в своем блоге исходный код написанного алгоритма.


Обновлено (04.09.2014 10:38)