Более того, наши коллеги-исследователи любезно предоставили нам сетевой запрос, который применялся для передачи информации владельцу ресурса [avtracker точка info]. Этот запрос использовался специальной шпионской программой, которую он распространял среди антивирусных лабораторий. После запуска на компьютере шпионская программа связывалась со своим хозяином и передавала ему информацию о зараженной машине. Мы поработали с этим запросом и заменили имя пользователя и параметры системы на попадавшиеся под руку строки. Данные службы WHOIS личность владельца ресурса раскрыть не помогли — домен [avtracker точка info] был зарегистрирован анонимно. В этом нет ничего удивительного: киберпреступники обычно регистрируют домены анонимно, чтобы их было труднее вычислить. До сих пор в этой истории не было ничего странного — обычный день из жизни антивирусной компании. Но вдруг — сюрприз! — владелец сервиса для авторов вредоносного ПО связался с нами сам и раскрыл информацию о себе. Более того, он потребовал заплатить ему 2000 евро в качестве компенсации ущерба, якобы понесенного им в результате нашей попытки «сломать» его новую игрушку. На момент написания этого текста мы располагали упомянутой выше шпионской программой, которая содержала следующее сообщение в своем коде, указывающее на того же человека, что с нами связался:

Конечно, мы собрали все необходимые данные и направили их нашему юристу, который предпримет соответствующие шаги. Если бы все киберпреступники так же охотно шли на контакт, как этот, жизнь антивирусных компаний была бы гораздо проще.