Panda Software: недельный отчет о вирусах и вторжениях (42 неделя 2005 года) -
В этом недельном отчете от компании Panda Software будут рассмотрены четыре хакерских утилиты: Application/WeatherBug, AKeyLogger, ActiKeyLogger и SvrAny.A и два червя: Mytob.KN и Sdbot.FJA

Application/WeatherBug - это программа, показывающая в системном лотке погоду и температуру выбранного района, а также прогноз погоды на несколько дней вперед и рекламу. Application/WeatherBug устанавливает панель инструментов, названную Application/Myway, создает записи в реестр Windows и создает несколько файлов.

AKeyLogger и ActiKeyLogger - это два приложения, выполняющие ряд действий на зараженном компьютере, включая следующие:

• Запись нажатий клавиш, что позволяет им использоваться для получения паролей и другой конфиденциальной информации, которая затем отправляется по электронной почте.
• Они могут запускаться в скрытом режиме, при этом их не видно после установки. Если они запущены в видимом режиме, в системном лотке отображается иконка.
• Они остаются резидентными в памяти.
• Они могут быть настроены на запуск при каждой загрузке Windows.
• Они создают несколько файлов в подпапке директории Program Files.

Четвертая хакерская утилита, рассматриваемая сегодня, SvrAny.A, способна управлять службами из командной строки. Ее действия включают запуск исполняемых файлов как служб, а также запуск, блокирование, создание и удаление служб.

Первый червь в сегодняшнем отчете - Mytob.KN, распространяющийся по электронной почте в варьирующемся сообщении. После установки он подключается к IRC-серверу и ожидает команд удаленного контроля.

Mytob.KN завершает процессы, принадлежащие различным утилитам безопасности, таким как антивирусные программы и брандмауэры, а также процессы других вредоносных программ. Он также запрещает доступ к определенным веб-страницам, в основном принадлежащим антивирусным компаниям. На компьютерах с Windows XP Service Pack 2 он отключает брандмауэр, встроенный в эту операционную систему.

Завершает сегодняшний отчет червь Sdbot.FJA, эксплуатирующим уязвимости LSASS, RPC DCOM, Workstation Service и Plug and Play для распространения через Интернет.

Sdbot.FJA подключается к нескольким IRC-серверам для получения команд удаленного контроля. Он может скачивать и запускать файлы, получать пароли Outlook и Internet Explorer, хранимые в защищенном хранилище, запускать и останавливать службы Windows, и т.д.

Для более подробной информации об этих и прочих компьютерных угрозах, посетите Вирусную энциклопедию Panda Software. 

Panda Software: вирусы для игровых консолей: новый повод для беспокойства пользователей? -
Антивирусная лаборатория компании Panda Software обнаружила появление вредоносных кодов, специально разработанных для двух широко используемых игровых консолей. Троянцы Format.A и Tahen (версии A и B) разработаны для заражения Sony PSP (PlayStation Portable) и Nintendo DS соответственно.

Три этих троянца являются исключительно опасными, поскольку удаляют критически важные файлы, а в случае с PSP могут привести к негодности консоли. Для своего распространения Format.A имитирует утилиту, разработанную для запуска неподписанного кода на консолях PSP. Троянцы Tahen, c другой стороны, имитируют самодельные приложения для Nintendo DS. Однако если пользователь пытается установить их, они перезаписывают определенные области firmware (ПО, встроенного в определенное аппаратное обеспечение) на консоли Nintendo DS и устройствах G6, XGFlash, SuperCard и GBAMP (позволяющих записывать на картриджи программное обеспечение для запуска на консоли).

С первого взгляда ситуация кажется серьезной проблемой, которая может непоправимо отразиться на этих дорогих устройствах. Однако, если владельцы консолей используют их, придерживаясь инструкций производителей, шансы заражения практически равны нулю. Луис Корронс, директор лаборатории PandaLabs, сомневается, что эти вредоносные коды получат массовое распространение: "Игровые консоли не разработаны для использования ПО третьих сторон. Чтобы эти вредоносные коды проникли в консоли, пользователям надо добровольно запустить приложение из несанкционированного источника. Помните, что, как и в случае с ПК, скачивание и запуск ПО из сомнительных источников всегда является серьезным риском для безопасности".

Говоря о тенденциях развития вредоносных кодов для игровых консолей в будущем, Корронс не верит, что они станут серьезным поводом для беспокойства. "В настоящее время мы можем с уверенностью заявить, что вредоносные коды, подобные этим, продолжат появляться, учитывая то, что инструкции по их созданию легкодоступны в Интернете. Шанс, что появится вредоносный код, представляющий серьезную угрозу для пользователей этих устройств, в большинстве своем будет зависеть от функций, которые разработчики включат в будущие версии этих продуктов, а также от внедрения ими соответствующих мер безопасности".

Практические советы для предотвращения атак троянцев на игровую консоль:

• Не вставляйте UMD-диски, носители информации для PSP или картриджи DS, которые не были записаны авторизованным разработчиком.
• Не устанавливайте внешних коммуникаций (USB, IrDA или WiFi) с ненадежными консолями или компьютерами, способными передать нежелательную информацию.
• Не пытайтесь запускать приложения от неавторизованных разработчиков на консоли.
• Если же вы все-таки хотите установить программный пакет на консоль, его необходимо предварительно проверить на компьютере с надежным и обновленным антивирусом.

Panda Software выпустила для своих пользователей обновления, способные обнаруживать и уничтожать этих троянцев в файлах, которые могут быть установлены на игровую консоль.

Для более подробной информации об этих и прочих компьютерных угрозах, посетите Вирусную энциклопедию Panda Software. 

Microsoft выследила "пастухов" зомби-сетей
Специалистам Microsoft удалось выявить ответственных за рассылку миллионов спамовых писем с зомби-компьютеров, сообщает
(http://news.com.com/Microsoft+takes+on+spam+zombies/2100-7349_3-5917817.html)
сайт News.com.

Тим Крэнтон (Tim Cranton), директор Microsoft по программам обеспечения интернет-безопасности, сообщил, что корпорацией еще в августе был подан иск против неизвестных, подозреваемых в рассылках миллионов спам-сообщений с зомби-сетей.

Чтобы выяснить, кто конкретно стоит за рассылками "зомби-спама", специалисты Microsoft провели собственное расследование, в течение трех недель наблюдая за специально созданной ради этого зомби-машиной.

По словам Крэнтона, эксперты были поражены объемами спама, которые могут проходить через один зомбированный компьютер - за три недели к нему дистанционно обращались 5 миллионов раз и пытались использовать для рассылки 18 миллионов спамовых писем, рекламирующих свыше 13 тысяч веб-сайтов.

Мусорную почту, рассылаемую с "экспериментальной" зомби-машины, Microsoft блокировала на выходе, а трафик зомби и сообщения, которые машина пыталась разослать, эксперты проанализировали и сопоставили с другими спамовыми письмами, поступающими на адреса Hotmail. В результате были выявлены 13 различных источников спам-рассылок. Полученные результаты приложены к судебному иску.

Всего за неделю до заявления Microsoft власти Нидерландов арестовали
(http://www.viruslist.com/ru/news?id=171877287) трех человек, подозреваемых в создании и использовании зомби-сети, объединяющей около
1,5 миллионов ПК. Крэнтон отмечает, что этот арест и усилия Microsoft в борьбе с ботнетами - всего лишь "капля в море", поскольку число существующих зомби-машин исчисляется десятками миллионов.

Судить нельзя помиловать
Молодой англичанин, отославший 5 миллионов электронных писем на адреса компании, в которой ранее работал, привлечен к суду. Однако в Великобритании, судя по всему, нет закона, который нарушил обвиняемый, сообщает
(http://news.zdnet.co.uk/internet/security/0,39020375,39234848,00.htm)
ZDNet.

Полиция обвиняет юношу, имя которого не разглашается, в том, что его "email- бомба" из 5 миллионов сообщений могла заблокировать
работу почтового сервера компании. Фактически, действия мстительного юнца можно классифицировать как одну из форм DoS-атаки. Однако в британском законодательстве просто отсутствует статья, которая ставит такие атаки вне закона.

Дело в том, что Computer Misuse Act (CMA) был принят в 1990-м году, когда о DoS-атаках речи еще не было. Технологии за 15 лет шагнули далеко вперед, а законодательство осталось прежним.

В результате, в Великобритании еще не было ни одного случая наказания собственно за осуществление DoS-атак. На основании существующего закона молодого человека могут обвинить либо в "недозволенном доступе", либо в "недозволенной модификации компьютерных материалов".

Предполагается, что защита будет оспаривать обвинения, аргументируя невиновность подсудимого тем, что электронные письма, даже в количестве 5 миллионов, не могут модифицировать данные на сервере.

По словам эксперта, который, как полагают, будет выступать со стороны защиты, отправление электронных писем на почтовый сервер не модифицирует сам сервер, поскольку задача сервера состоит как раз в том, чтобы принимать письма, приходящие на определенный домен. Отправление сообщений, не содержащих вредоносных программ, не является нарушением закона (CMA).

Возможно, история мстительного юноши с его "email-бомбой" подтолкнет британцев к принятию нового закона, учитывающего технические
возможности злоумышленников.

Путин заявил, что в России не ограничивают свободу Интернета
Президент России Владимир Путин заявил, что в России не предпринимается ничего для ограничения свободы всемирной компьютерной сети Интернет.

"Сейчас в России функционируют более 3 тыс теле- и радиокомпаний и 47 тыс печатных изданий, очень активно и абсолютно свободно развивается Интернет, что представляет определенные проблемы и вызывает некоторые вопросы, думаю, не только в нашей стране, но и в Европе", - сказал глава российского государства на пресс-конференции.

"Но, несмотря на эти вопросы, в России не предпринимают ничего для ограничения свободы Интернета", - подчеркнул он.

В.Путин сообщил, что на переговорах в Нидерландах "много времени" было уделено вопросам политической стабильности и становления демократии в России. "Мы подробно говорили о внутриполитической ситуации в России, о сути новой системы приведения к власти губернаторов через выборы в местных парламентах, - уточнил он. - Я рассказал о планах по укреплению многопартийной системы, изменениях по формированию парламента через партийные списки, рассказал о планах по децентрализации власти, о передаче полномочий в местные органы и на муниципальный уровень, рассказал о планах экономической поддержки средств массовой информации".

Sony использует хакерские методы для антипиратской защиты

Марк Руссинович, владелец блога Mark's SysInternals Blog, опубликовал обширный материал, в котором рассказал об обнаружении, мягко говоря, нежелательного ПО на своём компьютере, представлявшего, по сути, полноценный rootkit, сообщает compulenta.ru.

Словом rootkit обозначают, как правило, набор средств, которые призваны скрывать последствия взлома и прятать от всевозможных антивирусов и других диагностических средств файлы, папки, ключи системного реестра и прочее "хозяйство" оставленное злоумышленником в системе на будущее.

Сам Марк Руссинович является автором программы для обнаружения rootkit'ов - RootkitRevealer. Собственно, в ходе тестирования этой утилиты, он и обнаружил, что на его компьютере завелась некая непонятная "живность".

"Учитывая, что я весьма осторожен при использовании интернета, и ПО устанавливаю только из надёжных источников, я понятия не имел, где я мог подцепить настоящий rootkit, и если бы не подозрительные названия файлов, я грешил бы на ошибки в коде RKR", - пишет Руссинович.

Перечисленные RKR файлы (ссылка ведёт на изображение) были скрыты от API Windows, и Руссиновичу пришлось потратить некоторые усилия, чтобы, во-первых, снять маскировку, а во-вторых, чтобы выяснить происхождение этих файлов.

В итоге обнаружились следующие странные обстоятельства. Во-первых, стало очевидно, что источник rootkit'а - DRM-программы, приехавшие вместе с новым, защищённым от копирования диском, выпущенным Sony Entertainment (в данном случае это был диск от Sony/BMG - "Get Right with the Man" за авторством дуэта Van Zant).

На соответствующей странице на Amazon.com, через который Руссинович и купил диск, указывалось, что диск снабжён DRM-средствами, но не указывалось, какими.

Изучив файлы, Руссинович пришёл к выводу, что производителем этих DRM-средств выступает компания First 4 Internet, с которой, оказывается, у Sony подписан контракт.

Во-вторых, Руссинович обнаружил, что деинсталлировать этот rootkit "нормальными" средствами невозможно.

"Вот тут я рассердился", - отметил Руссинович. После чего он начал истреблять файлы и соответствующие ключи системного реестра вручную... в результате чего его CD-привод перестал работать.

Оказалось, что разработка First 4 Internet "закапывается" в святая святых Windows, - HKLM\System\CurrentControlSet\SafeBoot, т.е. её драйверы загружались даже в Safe Mode. Когда эти драйверы были удалены, CD перестал отзываться.

"А вот теперь я был в бешенстве", - пишет Руссинович. и продолжает: "Windows поддерживает "фильтрацию", что позволяет одному драйверу устанавливаться выше или ниже другого, так, чтобы видеть и модифицировать I/O-запросы, нацеленные на фильтруемый драйвер. Из своего опыта работы с драйверами, фильтрующими аппаратные драйверы я знал, что если удалить образ фильтрующего драйвера, Windows не сможет запустить фильтруемый. Я открыл менеджер устройств, нашёл там характеристики CD-ROM и обнаружил скрытый драйвер - Crater.sys: зарегистрированный в качестве нижнего фильтра", - пишет Руссинович.

Чтобы удалить фильтр, пришлось снова обращаться к системному реестру, более того, - с полномочиями Local System, - поскольку иначе этот фильтр оставался недоступным.

После этого обнаружился ещё один ключ реестра, ответственный за драйвер Cor.sys (Corvus), верхний фильтр для канала устройств IDE. После удаления этого ключа и перезагрузки CD-ROM снова работал.

По словам Руссиновича, впечатления остались самые прискорбные. Помимо того, что эти средства DRM вели себя как откровенно вредоносный софт, не позволяли себя удалить обычными средствами и норовили ещё и поломать систему, выяснилось, что даже в неактивном состоянии - когда защищённый диск не воспроизводится - программа постоянно сканирует систему, отъедая 1-2% процессорной мощности.

Обычному пользователю не удастся не только избавиться от этой программы без потерь, но и обнаружить её. При этом в пользовательском соглашении, по утверждениям Руссиновича, ни слова не сказано про то, что из себя представляет разработка First 4 Internet и как она себя ведёт.

"Это тот самый случай, когда Sony заходит со своими средствами DRM слишком уж далеко", - заканчивает свою статью Марк Руссинович.

Дело Левина: недостающее звено
В марте 1995 года в британском аэропорту был арестован житель Санкт-Петербурга Владимир Левин. Ему было предъявлено обвинение в хищении более $10 млн. из американского банка Citibank - после того, как в разных странах мира его сообщники с разной степенью успеха пытались получить эти деньги. С разной, значит - некоторые получили, некоторые не получили, а некоторые были арестованы при попытке - а спустя два года сам Левин был выдан в США и приговорен судом Нью-Йорка к трем годам тюрьмы и штрафу в размере $240015. Так или иначе, этот человек попал во все известные редакции списка <зала хакерской славы> и надолго остался самым знаменитым русским хакером.

Несколько озадачивал лишь тот факт, что человек, именуемый в прессе гениальным хакером, программистом, математиком и биотехнологом, был известен в соответствующих кругах как хакер не больше, чем как математик, программист или биотехнолог. А его предыдущая работа лучше всего описывалась, как ни странно, словом <эникейщик>. Что, конечно, можно отнести к недюжинному таланту конспирации, но, как говорят, попытки ФБР привлечь его в качестве консультанта по информационной безопасности выявили его полную некомпетентность в этих вопросах. То есть, концы с концами, все же, не очень сходятся.

Сейчас, когда прошло больше десяти лет с момента описываемых событий, может показаться странным, что <человек, похожий на Арканоида>, решил поведать миру эту пропахшую нафталином историю. Почему? А почему бы и нет. Все же в первый раз - от первого лица. Интервью, как формат, мне совершенно не подходило, потому что желание рассказать правду и желание сделать интересную новость могут совпасть только в том случае, если объединены в одном человеке. С определенного момента и до недавнего времени на общение с журналистами у меня был установлен <заградительный тариф>. Тем не менее, я возвращаюсь к этой истории, - не потому, что мне нечего больше написать интересного, - как раз надеюсь, что эта тема не последняя, хотя обещаю, что далее буду рассматривать предметы менее сканндальные, но более практически полезные читателю, - а потому, что считаю нужным восстановить недостающее звено.

Опасаюсь ли я за свою репутацию? Ведь принято считать, что серьезные фирмы, занимающиеся информационной безопасностью, не берут на работу бывших хакеров - по принципиальным соображениям. Да, десять лет назад и я считал, что эти принципиальные соображения - этического свойства, либо клановая солидарность и боязнь конкуренции под прикрытием этики. Теперь-то я знаю, что соображения эти сугубо практичны, и имеют мало общего с вопросами, например, доверия, но более подробно об этом в другой раз. Что же касается легальной стороны вопроса, то напомню, что по действовавшему на 1994 год российскому законодательству человек, от лица которого ведется этот рассказ, невинен, как младенец, да и мало того, - его идентичность какой-либо физической персоне ещё требуется доказать, даже если бы его было в чем обвинить. Срок давности по американскому Computer Fraud and Abuse Act (если даже его как-то исхитриться применить) ограничивается пятью годами. Максимум - восемью для террористов.

Итак, начнем сначала: что представлял из себя мир в 1994 году? С точки зрения обывателя все было примерно так же с виду, как сейчас: был Интернет, персоналки, электронная почта, web, был даже Microsoft Office и даже бета-версия Windows 95, известная тогда, как .

Серьезные отличия были в том, чего не было видно. Например, хотя все уже тогда видели все тот же Microsoft Office, самым популярным офисным пакетом тогда был не он, а Digital All-In-One. Это вы его не видели, т.к. это - корпоративное решение. А самой большой сетью был, как ни странно, вовсе не Интернет, а совокупность сетей X.25. Насколько большой? Настолько, что всего лишь один платный информационный сервис в этой сети - Dialog- предоставлял доступ к базам данных, по объему примерно в двадцать раз превосходившим суммарный объем всего публичного Интернета на тот момент. Что до России, то карта узлов Sprint - одного из операторов X.25 на конец 1994 года выглядела заметно более внушительной, чем карта российского Интернета ещё двумя годами позже.

Занимаясь поиском интересных ресурсов в сетях X.25, - а предварительные данные для этого были подготовлены неплохие, благодаря публикации Skylar'а в журнале Phrack #42 - было практически невозможно не обратить внимания на Citibank, занимавший там отдельную сеть вне географической нумерации! Несомненно, он и стал одним из главных объектов интереса для хакеров со всего мира.

Все было бы гораздо менее интересно, если бы Global Finance Technology Division of Citicorp не придумали зачем-то организовать BBS для своих целей; туда допускались новые пользователи с минимальными правами. Однако, получить доступ к администраторским паролям, позволявшим переводить <кредит> на использование расширенных сервисов, включая чаты между пользователями и возможность обмениваться файлами, было делом тривиальным, да и вообще особенно серьезно никто этим ресурсом не занимался; помнится, человек, похожий на Тему Лебедева, поступил иначе, - зарегистрировал пользователя от имени Citibank Antartica и получил расширенный доступ <на легальном основании>.

Собственно, возможность легкой коммуникации с каждым любопытствующим, бродящим по сети Citibank'а, и позволила организовать ту уникальную исследовательскую группу, о которой я всегда буду вспоминать с некоторой ностальгией и утечка информации из которой привела к скандальному делу.

Затем основные события переносится в Mid-Range Data Center, Wall St. 111 Напомню, что времена были другие, и техника была тоже другая; практически ни у одного из членов группы не было постоянного доступа (не говоря уж о том, чтобы иметь его в личном пользовании) к компьютеру с операционной системой VMS, которая использовалась на большинстве интересных нам объектов. Поэтому мы завели себе учетные записи на компьютерах администраторов и разработчиков в MRDC, чтобы иметь возможность спокойно экспериментировать с программным обеспечением. Я даже в любимый Star Trek играл, собрав и запустив его <на той стороне>. Т.к. значительная часть этих компьютеров была <коллективного пользования>, никто и не обращал внимания на ещё одного пользователя, который, вроде как, пользуется терминальным сервером в помещении банка и никому особенно не докучает, тем более, что многие из сотрудников переходили на другие системы, продолжая использовать свои старые машины только для корпоративной и локальной почты. А что на самом деле именно эта почта, часто содержащая пароли и инструкции доступа к десяткам других систем, была ценнейшей находкой для любого хакера, - обычно никто и не думал: Максимум маскировки, который применялся - имитация системного симбионта в VMS, чтобы не отсвечивать лишний раз в списках пользователей, да коррекция дат модификации файлов.

Результаты получились впечатляющие: в руках аналитической группы оказалась подробнейшая информация об устройстве внутренней сети, включая планы развития, размещение техники по этажам и помещениям - и доступ ко многим ключевым узлам - не только ближайшего небольшого фрагмента сети, но и многим другим по всему миру, а при определенном навыке и везении - возможность подключения к существующим терминальным соединениям с теми компьютерами, которые были защищены более надежно системами одноразовых паролей (впрочем, не слишком распространенными в банке). Более чем достаточно для любого вида атаки. Без преувеличения можно сказать, что в некоторых деталях архитектуры сети мы ориентировались лучше, чем многие работники банка - я сам был свидетелем того, как они звонили модемом в другой сегмент сети, хотя туда можно было попасть, набрав две команды на незащищенных даже простейшим паролем маршрутизаторах.

Однако, мы не торопились. Хорошо представляя себе сложность и разнообразие систем защиты, мониторинга и аудита, с одной стороны, и не обладая организационным ресурсом для <оффлайновой> части операции (а в России, если помните, в 1994 году это автоматически означало связаться с, гм, <неприятными> людьми), <слить капусту> представлялось нам трудноосуществимым и малоцелесообразным. Вместо этого сеть использовалась как развлекательный ресурс - бесплатные звонки модемом или оплата X.25-соединения на любой адрес, - и много интересной техники. А это, скажу я вам, совершенно особенные ощущения. Все мы привыкли к демонстрируемой в фантастическом кинематографе <виртуальной реальности> - с помощью всяких штуковин от стереоочков до прямого подключения к глазному нерву. Лишнее оно, красивое, - но совершенно не необходимое. Достаточно суметь немного перестроить восприятие - и монохромные символы на мониторе дадут отличнейший эффект присутствия в том, что вряд ли можно адекватно визуализировать трехмерными картинками. Но я отвлекся. Кто бы мог подумать, что один из нас окажется таким придурком? Сейчас я понимаю, что это мой просчет, как организатора - то, что я доверил ценную информацию человеку, о котором в общем-то было понятно, что он мог ей злоупотребить, но у нас не было разграничений доступа, - нам казалось, что для успешной работы никакая информация лишней быть не может, - все же свои? Я не про Левина - Левин не был членом группы. Я про того, кто ему её продал за - тут журналисты не врут - сто долларов.

К вопросу о том, за что я не люблю журналистов. Я уже делал несколько попыток так или иначе рассказать эту историю - и каждый раз она была чудовищно переврана. В частности, особенно меня раздражает тот факт, что каждый (!) раз, когда мне случалось давать интервью, журналисты в конечной редакции - которую <по техническим причинам> <забывали> мне показать, решали <упростить> мой рассказ и представить дело так, что это я и был тем человеком, который продал Левину материалы исследовательской группы. Хотел бы сказать <бог им судья>, но, будучи далек от христианской религии, скажу - плюньте в рожу этой мрази. Подобное обвинение ставит под сомнение не только мой профессионализм, а даже наличие элементарного здравого смысла. Разумеется, я хорошо понимал цену этой информации, и ни о какой подобной сделке и речи быть не могло. Да, я ошибся и моя ошибка меня многому научила - но идиотом я не был никогда.

Что касается технической стороны взлома, то увы, тут я вынужден разочаровать читателя - все происходившее было, честно признаюсь, весьма low tech. То есть не было никакого анализа <вслепую> переполнений буфера в неизвестных программах без исходных текстов на экзотических архитектурах и прочего высшего пилотажа. Был системный подход и чуть-чуть везения. Некоторые вещи обнаруживались чисто случайно, как, например, имевшая очень большое значение для нас ошибка в ПО терминального сервера Emulex, позволявшая получить доступ к административной консоли, инициировав перезагрузку через послыку сообщения, содержавшего восьмибитные символы, с одного терминала на другой. А мы всего-то пытались поговорить через него между собой по-русски. Кстати, вполне возможно, что из всех собранных нами данных Левину было бы вполне достаточно перехвата сессий на этом терминальном сервере в Лондоне, да ещё одной ошибки в ПО терминального сервера 3Com в Нью-Йорке, через которые часто осуществлялся доступ операторов Citi Cash Management и прочих АРМ банка, к счастью, как правило, не требовавших никакого специального клиентского софта. В то, что Левин сотоварищи смогли бы разобраться в <сырых> структурах баз данных, используя прямой административный доступ, мне как-то не верится совершенно. Ну, ещё мог пригодиться пароль к дополнительному аутентификатору терминальных сессий из сети X.25, - это такое подобие аутентифицирующего firewall'а, - инструкции по его использованию мы получили <на блюдечке> почти в самом начале. IP-сети мы исследовали с помощью первого тогда бесплатного сканера ISS, - кстати, помнится, появление его коммерческой версии без исходников нас сильно озадачило - ну кому нужна такая штука, если к ней нельзя приделать свои тесты? Юниксовые пароли ломали crack'ом, - в общем, типичный инструментарий того времени.

А потом: Все закончилось. И самое странное, - что закончилось не так быстро. Дело в том, что пока мы изучали системы защиты, - Левин даже не задумывался об их существовании. И как при практически нулевой квалификации - а я знаю, о чем говорю, я видел спутниковые перехваты его терминальных сессий - он успел натворить крупных дел, для меня - до сих пор загадка. (Не спрашивайте меня, как ко мне попали эти данные, - иначе я никогда не смогу доказать, что человек, не имеющий ко всей этой истории никакого отношения, действительно не имел к ней никакого отношения). Вероятно, мы серьезно недооценивали степень безответственности и раздолбайства в самом банке и осторожничали сверх меры.

Вот, собственно, и все. После того, как Citibank закрыл вход из сетей X.25, звонить на прямые модемные входы в Нью-Йорке никто из нас не рискнул. Перед самым финалом я успел кратко пообщаться с одним из сисадминов MRDC, который наконец-то начал замечать <подозрительную> активность в сети, но ничего интересного мы друг другу сказать не успели. Да, - я надеюсь, что им попался таки на глаза оставленный мной документ с описанием, как решить их проблему с печатью на hp laserjet через DECnet.

Это, собственно, ровно треть истории. Другую треть знает Левин и его сомнительные друзья - если, конечно, они его сами не обманывали, после того, как он сделал свое дело, а последнюю - люди, занимавшиеся этим инцидентом в Citibank'е. Так что - куда делись те $400 тыс., которые так и не нашли, списали ли их под шумок и поделили и кто в этом участвовал - об этом я не имею ни малейшего понятия. Впрочем, об этом в сети есть достаточно предположений различной степени достоверности, и некоторые, на мой взгляд заслуживающие интереса, я привожу здесь в качестве ссылок, но давать какую-либо оценку этой информации я не могу, т. к. не владею предметом.

Да, и Интернет тут был совершенно ни при чем.

P.S.

Один из известных мне участников событий, как и я, продолжает заниматься информационной безопасностью, но тоже уже много лет в качестве . Его проекты весьма интересны, среди них - один из лучших персональных firewall'ов для Windows. Другой работает сейчас <простым> системным администратором, хотя тоже не то чтобы простым, а весьма успешным. Следы остальных затерялись, но я практически уверен, что полученный опыт им пригодился. Я не считаю, что история с Ситибанком - самое интересное в моей жизни. Думаю, более интересные вещи ещё впереди. И предпочитаю, чтобы люди работали со мной потому, что я хороший специалист, а не потому, что я <тот самый>.

Если же кто-то, несмотря на мои разъяснения, решит слишком активно ворошить прошлое, то напоминаю, что я, в общем-то, не я, и лошадь, конечно же, не моя.

А примерно за неделю до написания этой статьи мне пришлел SMS от одного знакомого, который немного в курсе событий и решил, что это сообщение меня позабавит: <А я в ситибанке с зубилом, молотком и болгаркой в руках. Б#я, один в серверной.>

автор ArkanoiD

1. +1 Net-Worm.Win32.Mytob.c 14,56%
2. New Email-Worm.Win32.Doombot.b 10,27%
3. -2 Email-Worm.Win32.Zafi.d 7,92%
4. +15 Net-Worm.Win32.Mytob.bi 6,80%
5. -1 Email-Worm.Win32.LovGate.w 5,27%
6. +2 Email-Worm.Win32.NetSky.q 3,66%
7. New Email-Worm.Win32.Doombot.d 3,27%
8. -3 Email-Worm.Win32.NetSky.b 3,08%
9. -2 Net-Worm.Win32.Mytob.bk 3,03%
10. -1 Net-Worm.Win32.Mytob.t 2,51%
11. +4 Net-Worm.Win32.Mytob.y 2,35%
12. +5 Net-Worm.Win32.Mytob.be 2,22%
13. -7 Net-Worm.Win32.Mytob.q 2,10%
14. -4 Net-Worm.Win32.Mytob.u 2,08%
15. -12 Email-Worm.Win32.Zafi.b 1,59%
16. New Email-Worm.Win32.Fanbot.f 1,46%
17. New Email-Worm.Win32.Bagle.dx 1,24%
18. New Trojan-Spy.HTML.Bayfraud.hn 1,22%
19. -8 Net-Worm.Win32.Mytob.r 1,20%
20. -8 Email-Worm.Win32.NetSky.aa 1,16%
21. Прочие вредоносные программы 23,01% 

Напомним, что в конце августа в Марокко и Турции были арестованы два лица по подозрению в создании червей семейства Mytob. В целом, октябрь 2005 оказался весьма <богатым> на новые вредоносные программы. Специалисты <Лаборатории Касперского> зафиксировали своеобразный рекорд, добавив за одну неделю в антивирусные базы более 1400 новых вирусов.

В вирусной двадцатке в очередной раз сменился лидер. И в очередной раз им стал Mytob.c. Скорее всего, именно этот червь станет самым распространенным вирусом по итогам всего 2005 года.

На втором месте расположился новичок двадцатки, представитель того самого <нового> поколения сетевых червей, о которых упоминалось выше, - Doombot.b. Данный червь очень похож на Mytob по своему функционалу. Он также совмещает в себе функции почтового червя и IRC-бота. Как и Mytob, он основан на исходных кодах червя Mydoom. Однако, ряд отличий в реализации многих важных компонентов червя заставляет считать его отдельным самостоятельным семейством. Необходимо отметить, что вариант .b был обнаружен 16 октября, а значит, смог добраться до второго места всего за две недели с момента обнаружения. Не исключено, что в ноябре он окажется лидером вирусной двадцатки.

Не менее впечатляющий рост продемонстрировал Mytob.bi. Занимавший в сентябре 19-ое место и уже фактически исчезнувший из поля зрения, в октябре он смог вернуть себе сразу 15 мест и оккупировать 4-ое. Причем в процентном отношении его показатель также весьма высок.

Из других интересных событий в первой десятке рейтинга отдельного упоминания заслуживает еще один представитель семейства Doombot - Doombot.d. Изначально он был классифицирован как Mytob.dc, однако наличие фирменной строки H-E-L-L-B-O-T-P-O-L-Y-M-O-R-P-H, присущей исключительно Doombot-ам, помогло в итоге восстановить истину. Вообще, подобные пограничные случаи весьма трудны для точной классификации, поскольку общий набор функций и структура программы у большинства подобных червей-ботов очень схожи. Что неудивительно - ведь, по большому счету, все они являются клонами червя Mydoom, которому скоро исполнится два года.

Это хороший пример того, что распространение исходных кодов вирусов зачастую наносит даже больший ущерб, чем выпуск в свет одного червя, созданного из этих кодов, - ведь при наличии исходного кода любой script-kiddie может очень быстро создать собственную разновидность червя путем простой модификации кода, даже не разбираясь досконально в тонкостях программирования.

В остальной части двадцатки внимания заслуживают три новых вредоносных программы, разместившиеся на местах с 16 по 18. Они все очень разные - и тем интересней. 16 место занимает еще один представитель <нового> поколения. Червь Fanbot.f, созданный опять-таки на основе Mydoom и бэкдора SdBot, пытается устроить заочную кибервойну с автором Doombot, о чем недвусмысленно свидетельствуют текстовые строки в теле вируса: .

Автор Fanbot также выражает свое недовольство действиями антивирусных компаний, назвавших этот вирус не так, как хотелось автору: .

Fanbot - довольно многочисленное семейство. В настоящее время нам известно 11 вариантов этого червя и, скорее всего, именно они и Doombot будут одними из наиболее активных вирусов в ближайшие месяцы.

Решили не отставать от общей тенденции и авторы червей Bagle. В сентябре было обнаружено более 20 новых вариантов. В октябре активность была снижена в пользу <качества> и обнаруженный 20 октября Bagle.dx смог все-таки стать заметным событием в вирусной статистике. Как всегда в случае Bagle, основной целью вирусописателей является не размножение червя, а установка на зараженные компьютеры троянских прокси-серверов для рассылки спама, а также программ для сбора адресов электронной почты. По нашему мнению, именно <благодаря> Bagle и его последним локальным эпидемиям и был вызван стремительный рост спам-рассылок по всему миру в последние недели.

Помимо рассылки обычных спам-писем, через зараженные компьютеры организовываются и фишинг-атаки. Одной из самых массированных атак октября стала рассылка Trojan-Spy.HTML.Bayfraud.hn, нацеленная на пользователей системы eBay. Именно данное письмо занимает 18 место в приведенной статистике, очередной раз напоминая об опасности фишинга.

Прочие вредоносные программы, представленные в почтовом трафике, составили значительный процент (23,01%) от общего числа перехваченных, что свидетельствует о достаточно большом количестве прочих червей и троянских программ, относящихся к другим семействам.

В двадцатке появилось пять новых вредоносных программ: Doombot.b, Doombot.d, Fanbot.f, Bagle.dx, Bayfraud.hn. Повысили свой рейтинг: Mytob.c, Mytob.bi, NetSky.q, Mytob.y, Mytob.be. Понизили свои показатели: Zafi.d, Lovgate.w, NetSky.b, Mytob.bk, Mytob.t, Mytob.q, Mytob.u, Zafi.b, Mytob.r, NetSky.aa.