Читаем Особенности киберпреступлений в России: инструменты нападения и защиты информации полностью

….[PHONE: UNKNOWN PHONE

26.200 чтение 217.172.190.216 80

PHONE: UNKNOWN PHONE

79.191 запись 217.172.190.216 80

.

79.191 запись 217.172.190.216 80

79.191 запись 217.172.190.216 80

<.

79.191 запись 217.172.190.216 80

….[

141.188 открытие static-ip-188-138-125-230.inaddr.ip-pool.com 80

142.187 запись static-ip-188-138-125-230.inaddr.ip-pool.com 80

GET /audio/ HTTP/1.1 Host: 188.138.125.230 User-Agent: Mozilla/5.0 (X11;

U; Linux i686; ru; rv:1.9b5) Gecko/2008050509 Firefox/3.Ob5 Accept:

text/html Connection: close

142.200 чтение static-ip-188-138-125-230.inaddr.ip-pool.com 80

HTTP/1.1 403 Forbidden Server:

149.187 открытие 37.48.80.68 80

150.187 запись 37.48.80.68 80

GET /audio/ HTTP/1.1 Host: 37.48.80.68 User-Agent: Mozilla/5.0 (X11; U;

Linux i686; ru; rv:1.9b5) Gecko/2008050509 Firefox/3.Ob5 Accept: text/

html Connection: close

152.200 чтение 37.48.80.68 80

HTTP/1.1 200 OK Date:

153.187 открытие static-ip-188-138-125-230.inaddr.ip-pool.com 80

153.187 запись static-ip-188-138-125-230.inaddr.ip-pool.com 80

GET /audio/ HTTP/1.1 Host: 188.138.125.230 User-Agent: Mozilla/5.0 (X11;

U; Linux i686; ru; rv:1.9b5) Gecko/2008050509 Firefox/3.0b5 Accept: text/

html Connection: close

155.200 чтение static-ip-188-138-125-230.inaddr.ip-pool.com 80

HTTP/1.1 403 Forbidden Server

158.187 открытие 217.172.190.216 12379

164.186 запись 217.172.190.216 12379

.

164.187 запись 217.172.190.216 12379

164.187 запись 217.172.190.216 12379

<.

164.187 запись 217.172.190.216 12379

….[

165.187 запись 217.172.190.216 12379

<.

165.200 чтение 217.172.190.216 12379

P:…PHONE: UNKNOWN PHONE

167.200 чтение 217.172.190.216 12379

PHONE: UNKNOWN PHONE

209.184 открытие localhost 123

209.184 запись localhost 123

……k.l&r

220.183 запись 217.172.190.216 12379

.

220.184 запись 217.172.190.216 12379

227.183 запись 217.172.190.216 12379

<.

227.183 запись 217.172.190.216 12379

Анализ сетевого трафика программы выявил обращение к ресурсам, с которыми программа в скрытом от пользователя режиме осуществляет обмен информацией (рис. 2.23).

Таким образом, при изучении обнаруженного экземпляра вредоносной программы представляется возможным точно определить местонахождение управляющего сервера и серверов архивирования данных.

Незаконная деятельность преступной группы лиц, осуществлявших услуги по установке такой шпионской программы, была пресечена в 2016 году силами сотрудников Управления «К» БСТМ ВМД России и следственным управлением УМВД России по Ленинскому району Московской области.

Рис. 2.23. Анализ сетевого трафика вредоносной программы

Между тем данный тип программ пользуется популярностью, поэтому рекомендуется внимательнее относиться к устанавливаемым приложениям, остерегаться подаренных мобильных телефонов и не оставлять телефон без присмотра.

Установка программы происходит за считанные секунды. С целью проверки своего телефона на возможное незаконное проживание в нем вредных программ следует установить антивирусное программное обеспечение, которое широкодоступно, в том числе и в бесплатном варианте. Для надежной проверки лучше обращаться к профессионалам.