Александр Захарченко

Продолжение истории с "полицейским" троянцем DIRT. Похоже, что название необычайно удачно согласуется с содержимым.

«Как вы яхту назовете, так она и поплывет»
«Приключения капитана Врунгеля».

14 марта, вслед за традиционно уничижительным сообщением британского The Register, на сайте Cryptome появился троянец D.I.R.T., якобы используемый правоохранительными органами США для получения компьютерных доказательств. Стало ли это результатом хакерской атаки, или за утечкой материалов стоит какая-то игра разработчика — Codex Data Systems (CDS) — по большому счету значения не имеет. Неуловимый Джо наконец-то попался. Теперь любой желающий может самостоятельно оценить уровень интеллектуальной высоты технологий, стоящих на страже правопорядка.

Поскольку оригинальная версия привязывается к HASP-ключу, добрые хакеры тут же предложили «исправленный» вариант, избавляющий от необходимости ожидать милости от CDS. AVP Касперского не находит в оригинальном дистрибутиве ничего подозрительного. Установка с отключенным антивирусным монитором проходит без проблем. После этого сканер обнаруживает на диске троян PSW.JOHAR (рис. 1). Ну вот и познакомились.

Рис. 1. Здесь хранится код троянца.

Прицепить троянца можно к EXE, DOC и XLS файлам. За отдельную плату активируется вставка в презентации PowerPoint (PPT). Интерфейс командного центра далек от «интуитивных» стандартов Microsoft, но прилагаемой инструкции вполне достаточно, чтобы разобраться.

CDS рекламирует свою разработку, как уникальную шпионскую технологию, позволяющую сыщикам, вопреки известной русской пословице, без труда отлавливать свою рыбку в мутноватом виртуальном мире. «После того, как вы отослали по электронной почте в виде вложения файл-жучок, ничего не остается делать, как расслабиться и ожидать прихода информации на заданный адрес».

Однако, AVP, не знакомый с тонкостями достижений заморской киберполиции, пинком под зад выкидывает с почтового ящика e-mail, сварганенный по рецепту Codex. Похоже, мы имеем дело с реинкарнацией нашумевшей авиационной технологии “stealth”. Американские конструкторы доказали, что утюги тоже могут летать, притом, что столь же умные западные радары не хотят признавать их за самолеты. Так и немецкий AntiVir на DIRT не реагирует.

Впечатление еще более усиливается после вынужденного отключения антивирусного монитора, решительно не дающему развернуться «жучку» из Нью-Йорка. Только тогда троянец смог внедриться в систему. Ничего оригинального. В каталоге WINDOWS появилось два файла DESKTOP.EXE и DESKTOP.DLL. Там же храниться LOG с перехваченной информацией. В Реестре появляется запись, обеспечивающая автоматический старт DESKTOP.EXE (рис. 2).

Рис. 2. Msconfig покажет откуда запускается “desktop”.

В списке процессов «суперскрытный» шпион тоже как на ладони (рис.3). TaskInfo выявляет все его связи.

Рис. 3. Менеджер задач показывает троянца.

Разбираться с тем, как CDS внедряет свою троянскую клячу в DOC и XLS желание пропало. Осталось проверить технологию AntiSec, обеспечивающую для DIRT прозрачность межсетевых экранов (firewall). После вышесказанного без удивления воспринимается тот факт, что жучок присутствует в любом списке установленных соединений. Будет это простая утилита tcpview Марка Руссиновича, или экраны AtGuard, Outpost либо какой-нибудь другой.

AtGuard все же пострадал. Если включен режим обучения, то троянец изменяет правила для RuleAssistant так, чтобы по умолчанию для DESKTOP.EXE разрешалось SMTP-соединение. Фрагмент LOG-файла выглядит так:

23.03.2002 17:03:11.054 The RuleAssistant is initializing. 
The present default action is to “permit” communications. 
Details:Outbound TCP connection 
Remote address, service is (0.0.0.0,smtp)
Process name is “C:\WINDOWS\DESKTOP.EXE” 

Хотя в обычном режиме все запросы нормально блокируются, но дедушке видимо пора на пенсию. К тому же, его без проблем можно вообще выключить через реестр. Для Outpost Firewall проблем пока не возникает (рис. 4).

Рис. 4. «Крот на связь не вышел».

Единственный вывод, который можно сделать после такого анализа, блестяще получился у киношного Чапаева: «Наплевать и забыть!». Хотел бы я видеть того клоуна, который заплатит 200 тысяч долларов за эту программу.

На одной из своих презентаций кодексмены продемонстрировали, как легко они расшифруют письма террористов и спасут тысячи жизней. На практике же от всей шпионской мощи Америки не оказалось никакого проку. Кроме, конечно, перехвата коммерческой информации и подглядывания за союзниками. На том же сайте Cryptome можно найти разнообразную информацию по «Эшелону» и другим достижениям разведывательной мысли.

Сегодня происходит срочная ревизия законодательства, развязывающая правосудию руки, уши и глаза. Планируется, что компьютерные доказательства будут в суде столь же весомы, как и свидетельские показания. ФБР добилось существенного прогресса в деле легализации виртуальных улик и DIRT является одним из вероятных претендентов на этот успех. Для массового внедрения уже готова технология H.O.P.E., рассылающая DIRT-«жучки» при посещении сайтов. Бесплатно ее можно изучить на примере NIMDA. Не знаю, как с DIRT, но другие вирусы точно будут использовать этот трюк очень широко.

Однако, перед тем как тащить в суд добытую с помощью троянцев информацию, стоило хотя бы прочитать лицензионное соглашение. В нем в принципе отсутствуют какие-либо гарантии. Никакая информация от CDS или ее партнеров не может восприниматься даже как намек на них. Продукт, конечно, не коммерческий, но очень странно, что даже для судебного присутствия НЕ гарантируется, «что услуги будут непрерываемыми или свободными от ошибок или, что любая информация, программное обеспечение или другие материалы, доступные по этой услуге, не содержат вирусов, червей, троянских коней или других вредных компонент». Отличный свидетель! «Отличается умом и сообразительностью». Прямо клятва на Библии наоборот.

Подумаешь, «перепутает» троянец направление и сначала закачает в «мишень» криминальные файлы, а потом сообщит о них. Ошибка, не более. А то еще смешнее, начнет информировать подозреваемых о ходе сбора улик против них. Так, мелкая неприятность. Разве может она подорвать доверие к виртуальному правосудию? Может быть проще перейти на принцип: «Сейчас я разберусь как следует и накажу кого попало» ?

Неудивительно, что ФБР успешно обнаружило «шутника-террориста» Карла Мюллера, вымышленный герой которого собирался «обрушить самолёт прямо на Пентагон». А вот, что упало на Пентагон 11 сентября, подчиненные Роберта Мюллера будут искать еще долго. Как говорил в романе Юлиана Семенова, третий, гораздо более известный Мюллер, — Генрих: «Контрразведчик должен знать, как никто другой, что верить в наше время нельзя никому — порой даже самому себе». Тем более парням из Codex.