Лаборатория Касперского раскрыла, пожалуй, крупнейший в истории "коробочный вирус". То есть, коммерческий вредоносный продукт, который разрабатывается и распространяется отдельной почти полноценной компанией. Червь известен как Adwind. Это троянец, который впервые был обнаружен еще в 2013 году. Поначалу вирусу не придали большого значения, но затем случаи заражения стали учащаться. К концу 2015 года Лаборатория Касперского зарегистрировала 440 тысяч жертв Adwind. Иногда он выступал под разными именами, например, Alienspy или Sockrat, но продукт во всех случаях оставался прежним. Заподозрив в столь быстром распространении руку некоего крупного игрока, эксперты лаборатории начали собственное расследование. И результаты оказались весьма неожиданными.

"В настоящий момент это выглядит, действительно, как такой софтверный стартап. Причем, там, по нашим оценкам, разработчик — всего один человек. Да, может быть он привлекает аутсорсеров на какие-то мелкие задачи, но это один и тот же человек, который уже 4 года делает эту штуку. И сейчас у него есть веб-сайт с системой подписки, различные тарифные планы варьируются, ты можешь подписаться на 2 недели либо на год получить подписку, различный набор сервисов предоставляет в рамках подписки. То есть, он продает не просто один троянец — он продает сервис", — подчеркивает главный антивирусный эксперт Лаборатории Касперского Александр Гостев.

В пакет вредоносных решений входит даже мультисканер собственной разработки, который позволяет проверить, будет ли троянец обнаруживаться программным обеспечением.

Adwind — платформа, которую покупатель может модифицировать. Если одна версия уже "устарела" и попала в антивирусные базы, то ее можно поправить и тут же, на месте, проверить, работает ли это. Кроме того, троянец бесконечно переписывается и распространяется кустарно — в Сети можно с легкостью найти "ломанные" версии. По подсчетам лаборатории Касперского, только официальных подписчиков у стартапа — около двух тысяч. Отдельно стоит сказать о распространении вируса. Поскольку производитель, судя по всему, находится в Мексике, троянец начал свой путь в испаноязычных странах. И это ему здорово помогло.

"Мы всегда говорим о том, что есть три основные экосистемы киберпреступности. Есть китайская, есть русскоязычная и есть, собственно, испаноязычная. И каждая из них является довольно, скажем так, первые две, российская и китайская, являются крайне закрытыми. То есть, они все вращаются внутри себя и людям со стороны туда попасть практически невозможно. Иностранцев, грубо говоря, в русской киберпреступности не будет. С испаноязычной ситуация несколько другая. Они — довольно открытое комьюнити, они ведут свою деятельность довольно публично. Мы отслеживали историю Adwind по одному из их форумов, на котором, собственно, вся история создания и разворачивалась", — рассказывает Александр Гостев.

Вирус, оформленный как простое, доступное приложение, да еще и с инструкцией по эксплуатации — этакий "троянец для чайников" — благодаря общительным испанцам получил широчайшее распространение. Каждый покупатель может приобрести его с нужным набором модулей для решения своих, индивидуальных задач. В итоге, программа быстро завоевала сторонников там, где желающих вступить на киберпреступный путь было много, а талантливых программистов — мало. За испанцами Adwind переняли арабоязычные злоумышленники. А за ними, фактически, новую жизнь получили мелкие кибермошенники, которые совсем уж было исчезли с "большой дороги" — нигерийские спаммеры.

"То есть, вот этот весь нигерийский спам, который всегда был в виде просто писем. Эти же самые нигерийцы нынче освоили использование вредоносных программ. То есть, вышли на новый уровень развития. И теперь они атакуют организации по всему миру, засылая им вот этот конкретный троян", — предупреждает эксперт Лаборатории Касперского Александр Гостев.

Возникает законный вопрос: если дистрибуция Adwind ведется так открыто, а занимается ей один человек, почему его до сих пор не могут поймать? В Лаборатории Касперского считают, что это проблема уже не технологическая, а юридическая. В большинстве стран преступником является только тот человек, который непосредственно осуществляет атаку. А разработчики и продавцы вирусов — формально перед законом чисты. Поэтому Adwind живет и приносит своим авторам доходы, которые те, скорее всего, вкладывают в разработку. Российские антивирусные эксперты предупреждают, что об Adwind в ближайшее время мы еще так или иначе обязательно услышим.