| ||||||||||||||||
| ||||||||||||||||
| ||||||||||||||||
Настоящий DIRT Продолжение истории с "полицейским" троянцем DIRT. Похоже, что название необычайно удачно согласуется с содержимым. «Как вы яхту назовете, так она и поплывет» 14 марта, вслед за традиционно уничижительным Поскольку Рис. 1. Здесь хранится код троянца. Прицепить троянца можно к EXE, DOC и XLS файлам. За отдельную плату активируется вставка в презентации PowerPoint (PPT). Интерфейс командного центра далек от «интуитивных» стандартов Microsoft, но прилагаемой инструкции вполне достаточно, чтобы разобраться. CDS рекламирует свою разработку, как уникальную шпионскую технологию, позволяющую сыщикам, вопреки известной русской пословице, без труда отлавливать свою рыбку в мутноватом виртуальном мире. «После того, как вы отослали по электронной почте в виде вложения файл-жучок, ничего не остается делать, как расслабиться и ожидать прихода информации на заданный адрес». Однако, AVP, не знакомый с тонкостями достижений заморской киберполиции, пинком под зад выкидывает с почтового ящика e-mail, сварганенный по рецепту Codex. Похоже, мы имеем дело с реинкарнацией нашумевшей авиационной технологии “stealth”. Американские конструкторы доказали, что утюги тоже могут летать, притом, что столь же умные западные радары не хотят признавать их за самолеты. Так и немецкий Впечатление еще более усиливается после вынужденного отключения антивирусного монитора, решительно не дающему развернуться «жучку» из Нью-Йорка. Только тогда троянец смог внедриться в систему. Ничего оригинального. В каталоге WINDOWS появилось два файла DESKTOP.EXE и DESKTOP.DLL. Там же храниться LOG с перехваченной информацией. В Реестре появляется запись, обеспечивающая автоматический старт DESKTOP.EXE (рис. 2). Рис. 2. Msconfig покажет откуда запускается “desktop”. В списке процессов «суперскрытный» шпион тоже как на ладони (рис.3). Рис. 3. Менеджер задач показывает троянца. Разбираться с тем, как CDS внедряет свою троянскую клячу в DOC и XLS желание пропало. Осталось проверить технологию AntiSec, обеспечивающую для DIRT прозрачность межсетевых экранов (firewall). После вышесказанного без удивления воспринимается тот факт, что жучок присутствует в любом списке установленных соединений. Будет это простая утилита tcpview AtGuard все же пострадал. Если включен режим обучения, то троянец изменяет правила для RuleAssistant так, чтобы по умолчанию для DESKTOP.EXE разрешалось SMTP-соединение. Фрагмент LOG-файла выглядит так: 23.03.2002 17:03:11.054 The RuleAssistant is initializing. The present default action is to “permit” communications. Details:Outbound TCP connection Remote address, service is (0.0.0.0,smtp) Process name is “C:\WINDOWS\DESKTOP.EXE” Хотя в обычном режиме все запросы нормально блокируются, но дедушке видимо пора на пенсию. К тому же, его без проблем можно Рис. 4. «Крот на связь не вышел». Единственный вывод, который можно сделать после такого анализа, блестяще получился у киношного Чапаева: «Наплевать и забыть!». Хотел бы я видеть того клоуна, который заплатит 200 тысяч долларов за эту программу. На одной из своих презентаций кодексмены продемонстрировали, как легко они расшифруют письма террористов и спасут тысячи жизней. На практике же от всей шпионской мощи Америки не оказалось никакого проку. Кроме, конечно, перехвата коммерческой информации и подглядывания за союзниками. На том же сайте Сегодня происходит срочная ревизия законодательства, развязывающая правосудию руки, уши и глаза. Планируется, что компьютерные доказательства будут в суде столь же весомы, как и свидетельские показания. ФБР Однако, перед тем как тащить в суд добытую с помощью троянцев информацию, стоило хотя бы прочитать лицензионное соглашение. В нем в принципе отсутствуют какие-либо гарантии. Никакая информация от CDS или ее партнеров не может восприниматься даже как намек на них. Продукт, конечно, не коммерческий, но очень странно, что даже для судебного присутствия НЕ гарантируется, «что услуги будут непрерываемыми или свободными от ошибок или, что любая информация, программное обеспечение или другие материалы, доступные по этой услуге, не содержат вирусов, червей, троянских коней или других вредных компонент». Отличный свидетель! «Отличается умом и сообразительностью». Прямо клятва на Библии наоборот. Подумаешь, «перепутает» троянец направление и сначала закачает в «мишень» криминальные файлы, а потом сообщит о них. Ошибка, не более. А то еще смешнее, начнет информировать подозреваемых о ходе сбора улик против них. Так, мелкая неприятность. Разве может она подорвать доверие к виртуальному правосудию? Может быть проще перейти на принцип: «Сейчас я разберусь как следует и накажу кого попало» ? Неудивительно, что ФБР успешно |
|
| ||||||||||||||||
|