微软数字部门已经确定了Kelihos僵尸网络背后的肇事者之一，该僵尸网络于去年9月被取消。更多信息浮出水面，将嫌疑人确定为俄罗斯安全软件开发公司的前雇员。

微软在向美国东区美国地方法院提起的修正投诉中称，被告Andrey N. Sabelnikov对用于感染数千台计算机的恶意软件进行了编码，并使用该恶意软件来控制，操作和扩展Kelihos僵尸网络。弗吉尼亚

微软数字部门高级律师理查德·多明格斯·博斯科维奇(Richard Domingues Boscovich)于1月23日在正式的Microsoft博客中写道，导致公司进入Sabelnikov的其他证据是由9月原始投诉中提到的一些被告提供的。 10月，与两名被告Dominique Alendader Piatti和dotFREE Group达成和解。

据Boscovich称，Sabelnikov还从Piatti和dotFREE Group注册了3,723个“ cz.cc”子域，并滥用了这些子域来操作和控制僵尸网络的垃圾邮件发送活动。微软没有在其博客文章中提供有关Sabelnikov的任何其他信息，只是他是俄罗斯公民。

Sophos高级技术顾问Graham Cluley写道，目前居住在俄罗斯的Andrey Sabelnikov的公开LinkedIn个人资料显示，他在2005年至2008年期间是Agnitum的高级开发人员和产品经理，Agnitum是一家以防火墙软件闻名的俄罗斯安全公司。 ，在Naked Security博客上。Agnitum开发和销售OutPost Antivirus Pro，Windows防病毒产品和用于Windows PC的个人防火墙。

Cluley写道：“没有暗示Agnitum与指控有关，或暗示其安全软件(包括防病毒产品)以任何方式受到损害。”

似乎Sabelnikov也曾在另一家俄罗斯安全软件公司Retunil工作。Retunil的Virtual System Pro创建Windows系统的克隆作为虚拟机。

Damballa研究副总裁Gunter Ollmann表示，移除操作对僵尸网络产生了“有限的影响”。奥尔曼说：“很明显，要使僵尸网络成功删除，必须将操作员自身作为目标并从方程式中删除。”

微软与卡巴斯基实验室和其他公司合作，收集了Kelihos背后的证据和信息，这促使司法部于9月突袭关闭了命令和控制服务器。然而，根据Boscovich的说法，由于仍然有数千台计算机感染了该恶意软件，因此此案“还没有结束”。只要这些机器保持在线状态，僵尸网络就始终有可能被复活。

奥尔曼说，即使执法当局设法“定位，逮捕分子并把他们扔进无法上网的牢房”，受害人仍然容易受到其他有可能篡夺这些受害人控制权的人的攻击。

Kelihos被认为是小型僵尸网络，受其控制的计算机约为41,000台，但每天负责处理近40亿封垃圾邮件，其中包括股票欺诈，成人内容，非法药品和恶意软件。根据Ollmann的说法，Damballa观察并证实，仅在北美，就有大约10,000名受害者以及大约四分之一的受害者机器仍然受到感染。

博斯科维奇写道，微软仍然“致力于”从这些拆除行动中收集到的数据，以“帮助更好地武装”安全公司保护客户免受威胁。微软在1月11日于福特汉姆大学举行的国际网络安全会议上讨论了其计划，将从捕获的僵尸网络和其他来源获得的威胁数据分发给外国政府，执法机构，计算机紧急响应小组和私营公司。

合作伙伴可以使用实时源来查找通常是僵尸网络活动一部分的恶意软件感染，或者将主机数据与各种Internet骗局中的信息(例如点击欺诈)相关联。例如，从Kelihos僵尸网络中收集的数据包括受感染系统的IP地址，区域Internet注册表分配的自治系统编号以及Microsoft的Smart Data Network服务提供的信誉数据。

Boscovich写道：“我们的目标是将信息和工具有效地交付那些可以帮助保护无辜计算机用户的信息和工具。”