前幾日美國司法部宣布惡名昭彰的SpyEye銀行惡意軟體作者 – Aleksandr Andreevich Panin(又名Gribodemon或Harderman)已經為製造和散佈SpyEye而認罪。趨勢科技在這次的調查中扮演關鍵角色,和美國聯邦調查局合作這個案子很長一段時間。各團體都花費相當大的力氣來讓此次調查活動可以圓滿結束。
我們的調查
Panin的共犯之一是Hamza Bendelladj,,他的暱稱是bx1。Panin和Bendelladj都參與建立和設置各SpyEye網域和伺服器,這也是趨勢科技獲得這對犯罪伙伴資訊的來源。雖然SpyEye的建立僅僅有很少的文件公開,我們還是仍然能夠拿到這些文件並取得文件中的資訊,其中包括(比方說)伺服器控制者的電子郵件地址。
我們將這些設定檔所取得資料和我們在其他地方所收集到的資料進行關聯。例如我們潛入各個已知Panin和Bendelladj會訪問的地下論壇。只要閱讀他們所貼出來的文章,他們會在不經意間透露像電子郵件地址、ICQ號碼或Jabber號碼等資訊,這些都是可能揭露他們真實身份的資料。
例如,我們發現了C&C伺服器lloydstsb.bz也和SpyEye程式和設定檔有關。解密過的設定檔包含了代碼bx1。該伺服器上的設定檔也包含了電子郵件地址。第二個設定檔(也用了bx1)被發現含有virtest的登錄憑證 ,這是網路犯罪份子所使用的偵測測試服務。所有的資料都被趨勢科技用來幫助美國聯邦調查局找出他的真實身份。
圖一、設定檔
接下來在地下論壇的貼文顯示Bendelladj和SpyEye的關連比他所公開宣稱的還要更深入:
圖二、地下論壇貼文
下圖顯示出各種不同網站、電子郵件地址和Bendelladj所使用惡意軟體間的關聯:
圖三、此圖顯示各網站、電子郵件地址和惡意軟體間的關係