Создатель печально известного ботнета ZeroAccess публикует легальный инструмент для отладки ядра Windows

Ботнет ZeroAccess впервые был обнаружен около 2009 года. Изначально он представлял собой руткит режима ядра, ориентированный на клик-фрод. Позднее злоумышленники адаптировали его для майнинга биткойнов. Сетевую известность ZeroAccess получил благодаря своей устойчивой одноранговой архитектуре и сложным техникам противодействия анализу. Интересно, что автор этой вредоносной программы параллельно занимался и легальной разработкой. В 2016 году исследователи с форума kernelmode.info, пытаясь идентифицировать создателя ботнета, обнаружили ряд его коммерческих проектов. Среди них было программное обеспечение для потокового вещания телевидения.

Уже в 2017 году он вновь заявил о себе на фриланс-биржах под новыми никами rbmm и alex short. Анализ этих псевдонимов позволил обнаружить его активные аккаунты на GitHub, Stackoverflow и в сообществе OSR Online. Позднее он также создал профили в LinkedIn, на YouTube и ведет авторскую колонку в блоге. В своих публичных профилях он указывает на причастность к разработке легальных проектов, таких как Protectimus и StartMenuX. Это косвенно свидетельствует о его переходе к легальной деятельности.

Главным предметом внимания исследователей стал отладчик режима ядра Windows. Еще в своих ранних предложениях услуг разработчик упоминал подобный самодельный инструмент, но тогда найти его не удалось. Первая версия, известная как Z-Dbg, была случайно обнаружена на Virustotal в 2018 году. По мнению экспертов, название Z-Dbg могло быть отсылкой к ZeroAccess. Вероятно, автор делился ранними версиями этого инструмента с ограниченным кругом лиц, что и привело к их утечке.

В 2025 году разработчик официально выложил обновленную версию отладчика в открытый доступ на GitHub под названием YDbg. В описании проекта указано, что YDbg - это 64-битный отладчик режима ядра для Windows, написанный на C. Инструмент поддерживает отладку по сети и через последовательный порт, а также работу с символами.

Публикация профессионального инструмента для отладки ядра бывшим создателем вредоносного ПО - редкое событие. Это указывает на возможную реформацию разработчика. По крайней мере, с момента его последнего публичного разоблачения в 2016 году исследователи не встречали новых образцов вредоносных программ, содержащих его характерные техники. Тем не менее, история ZeroAccess служит напоминанием о тонкой грани между глубокими экспертами в области системного программирования и создателями сложных угроз. Разработчики с навыками работы на уровне ядра операционной системы всегда будут востребованы как в области кибербезопасности, так и в криминальном андеграунде.

SHA256

• 04ad75c1e869f509851a628dac577678749e2c7058a2f1702ed781e753a9d06d
• 0a4f3c6bcf807f3d5c007226f1334703a5e6624b0c487fc901b8b9be14883356
• 0d1bec99333b8f92962e0768d3a281598117cfc1f99d5bad1be37ebaf1e95127
• 1764400cd10a69bcfd34b92673b463cee0ce83b4d27d38498a6afe2d0a4b920c
• 285e0ae748125a3f7ce0fc3915d1dac90c2a3095d1690c61823c19773fadb41b
• 2e3670c1c7ae810ee28f7213f35ecdcb8686a81716edafc1822ebcef10d9d343
• 301fd7692eafe3fbf5788c40f4f95e769f6d0c2078a6721d71b4a949f3558416
• 34eab4b64a57db265dda623a0734ebfaad89e09ccbb4331ca7cd40a2501603cc
• 3645c1707b6e7036d229aa7648242fe73d2423e5ee3b24840a8bb2b23759a66e
• 3895ef60b3979bc55e71562283d350c101c26226d2428b35cf58d115e782f5d4
• 49dda01e845877c07004f74316d40a2659c24daf06e751478bb4cd073db673af
• 643886b8d7246a4e48520ea97d4d7ff9ac0505b04bb661490ce527621e67c5d1
• 697e9dbc98cffd3ceb8c080cc9db85198e704a40dd77c4f0c6aad6d38021418b
• 69a6ab6caf8ed3a8cdf05a678994fe651bbc926a42a22efe2b13ccf5fd832b6e
• 6ab1247824d0e75a9a3fd34fd2b67c54900c261a511ba3893d6393e7eeaaac48
• 6c7e7a1c8eaad533f4c3b056565c55a3b300e660142df8b13790e05e46ea5f7b
• 76ae5b476597eebb2e70e871f2d9a556caf3a383abb91034b2d1f194c2aea08c
• 7b9ed3c76ae8c436504f73024ee723ed4ee9f7ece16e2a424cee0d559c70f542
• 811802cb56c81b355b8c619d9e43278540bcfc584ede1095c55faab33978ba05
• 82be99d169e78e4a0bd73231c845266af147db528f5a58106949a56f6c964311
• 8a7868e09d09fb67669a81456a8753e6cf255734efdb6853398dbc276e8b3aae
• 8fa7d7a2339b6e72f592f4da719eee499f2ed3f1eb2ddde7558c9e1238e0f809
• 9d56f4640afd9786202137e140508cab7ebc7cbbd1caf7403afb9cf1e50000bc
• a62670727e49377cbd70ab62bf1856f4f96499188dad116eae4936a7dbebe005
• ab7eb831fb018e1f7ef62091fb5e7e94afa1a883613dfd735ee79f54d055b5c5
• ad610954ab6aa27802e1c14d17d11c9e755a39d1e87d57d56988ed44fea78ef9
• bce355e35077e6d3787062df2b5601f18726c6f34b42accf412f0d0e8a2fc212
• c188ec7e2fdabae62f03433fea84503be7413616167eb021b4f5139588b888ac
• cd9685b3b2700d2140e51a62fe94f518aa7f94170e3ca529ac043b40ea86acc6
• cf08fb0c6fee8b6ee43676a68697aea4e968a4ed403eb21600f7fbd6f3b4cd54
• d02040fec884d7747e7a78d7822fb06e9255164ac8e11ef2251b0665279a4ffd
• d377f9cf63a38e0e76bf77db0b578158e89f3685e862d66c5fd3371bb269e9a7
• da5f004f82b4cc15a6c5bae2d74d62cfac2f6d53128129a8c9606c41c2cff49d
• e3faa45908a04fb5cdf4d4f6b860fd8c9ac487fc5f874ab37d0d79c15a370a78
• e42ed55a33ffe62bfbae3325523edbcc3b32d7d228f56797a0619562bde3cacf
• eccc1fe7290ce4e65fb327013d8b7a9a0689503f77a3c9d5f4d590f03e5076a2
• ed6f2c8b9402cb3fe684cccb4d47b2b244e171128f65f2b641394c3971ae908d
• ee316057df89da1b073d7daa038eb359233aedecfd8d594171fa12ce1fe7cf78
• ef66fcd070f36652c2f5d2813dde57678a6c542280a52fdf343afff3d6d31575
• f2848dcaa8ce4bcccfa2a2ee83bbbffa6b22106a65f8f720826b61b91544aaee
• f8be332e8b6ee09684d55319154c3e951d5daf8e22fcf0908d0ff6d135f4feca
• fa81ef35b2ef360a8ea3bcad508363b3ff88c241c4190813403419e64b5ddce3