Интересные новости появились в продолжение истории о троянских программах SMS-блокерах (Winlock и т.д.). Данный зловред (вернее, его многочисленные варианты) блокировали работу Windows и требовали отправки SMS на платный короткий номер для снятия блокировки. Этакий модный сейчас интернет-рэкет.

Итак, дело дошло до Генеральной прокуратуры, негодяев подозреваемых локализовали, изолировали (вроде бы) и скоро будут судить в Москве.

Всего «доход» мошенников оценивается в 790 тыс.руб. (25К у.е.). Помимо этого, был нанесен и непрямой ущерб: неизвестное количество домашних и корпоративных машин было убито, что иногда требовало полной переустановки софта и восстановления данных с бэкапа.

Но я не совсем о факте раскрытия, арестах и прочем. Я о результатах, вернее — о возможных вариантах завершения этого дела.

Итак, это далеко не первое «компьютерное» дело в России. Да, воруют, да, иногда ловят. Да, иногда судят. И судят, как и в этом случае, не только по «компьютерной» 273-й статье УК РФ («Создание, использование и распространение вредоносных программ для ЭВМ»), но и по более «взрослым» статьям, например «Мошенничество», ст. 159 , по которой можно и до десятки схлопотать, если «группой лиц» и «в особо крупном размере».

Так вот, если в случае преступлений подобного масштаба (сотни тысяч рублей), совершенных «в реале», преступников ждёт гарантированная отсидка — то вот с компьютерными преступлениями всё наоборот весьма и весьма шоколадно. Не знаю, чем там «мотивируются» судьи, но часто и за гораздо более серьёзные суммы киберкриминал в России (да и не только) получает весьма щадящие условные сроки (например, дело об ATM-трояне). Или судьям жаль «компьютерных мальчиков», или они не считают настоящими «интернет-деньги», а интернет-преступность не считают преступностью — не знаю... Только вот что-то мне подсказывает, что дело опять закончится «условно-досрочным ничем». И ко мне снова придёт А. со словами «мы, похоже, не тем бизнесом занимаемся», а опера и следователи привычно выматерятся и пойдут пить водку... (кстати, демотивация у них полная после условных сроков, которые получают их «подопечные»).

Вот я и думаю открыть тотализатор и начать принимать ставки. На тему — чем именно закончится суд над Винлокерами.

1. Ничем. Оправдают.
2. Два года условно.
3. Три года условно.
4. Один год отсидки.
5. Два+ года отсидки.

Я ставлю на троечку.

P.S.: А сегодня пришло продолжение истории. В рамках расследования этого уголовного дела к делу привлекается и «крупнейший контент-провайдер».

P.P.S.: Новости продолжают приходить с каждой минутой и теперь история приобретает более впечатляющий размах. В Москве были арестовано 10 человек. Злоумышленники действовали около года и, по оценкам сотрудников милиции, получили незаконный доход, превышающий более 500 млн рублей.

Конкурс «обфускации» вредоносного кода под названием Race to Zero, который должен пройти на хакерской конференции Defcon в августе этого года, уже вызвал жаркие споры.

Как мне кажется, любое действие либо этично, либо неэтично... и я убежден, что «ради удовольствия» создавать новый вредоносный код, способный обойти антивирусную защиту, неэтично.

Мы — антивирусные эксперты — всегда против создания вредоносного кода по каким бы то ни было причинам. Единственным разумным оправданием создания вредоносного ПО в тестовых целях когда-то можно было считать следующий аргумент: «нам надо создать новые варианты кода, чтобы подробно изучить способы атаки».

Но ребята, давайте смотреть правде в глаза: сегодня мы сталкиваемся с тысячами новых вариантов вредоносных программ. У нас более чем достаточно «живого» вредоносного кода, пригодного для анализа и изучения с целью улучшения технологий защиты от вредоносного ПО. Поэтому, даже если этот аргумент когда-то можно было принять: «ну, может быть, только один раз, ничего страшного, если уж так надо», то в 2008 году он уже НЕ может быть оправдан.

Утверждение, что «сигнатурный антивирус умер, надо искать эвристические, статистические и поведенческие методы обнаружения новых угроз» — это просто дешевый пропагандистский трюк. Уже несколько лет никто — вообще никто — в антивирусной индустрии не рассчитывает только на сигнатурные методы. А звучит заявление авторов «конкурса» так, словно большинство антивирусных сканеров провалят их «тесты», потому что обойти сигнатурные сканеры и статические эвристики не проблема.

Для тысяч электронных мошенников посыл ясен: «даёшь обфускацию кода!» Этот «конкурс» стимулирует их к поиску и разработке новых технологий обфускации. А поскольку они и так этим занимаются, то они просто еще поднажмут. Благодарности за это от нас вы не услышите: антивирусным лабораториям такой стимул не нужен, им и так есть чем заняться.

Наиболее позитивно настроенные граждане называют этот «конкурс» формой тестирования продуктов. Неверно!

Тестирование антивирусных продуктов, как и любое другое тестирование ПО, осуществляется профессионалами, такими как, например, Андреас Клементи, Андреас Маркс или редакция Virus Bulletin на основе справедливых, этичных и научно-обоснованных правил. Вот так всё делается в приличных антивирусных кругах.

«Конкурс» Race to Zero/DefCon:

• Проводится НЕ профессиональными тестерами — без комментария
• НЕ основан на справедливых правилах — до сих пор никаких публичных контактов с производителями антивирусного ПО не наблюдалось
• НЕ имеет научной основы — описание тестового стенда отсутствует как таковое
• И последнее — по порядку, но не по значению. Это НЕЭТИЧНО на все 100%. Писать вредоносное ПО — преступление. Вот и все.

Наконец, как насчет Федерального закона США о компьютерных преступлениях? И других законодательных актов? Этот «конкурс» вообще законно проводить на территории США? Агентство, отвечающее за борьбу с электронной преступностью, в курсе?

В общем, всё сводится к следующему: нужны ли публичные и неструктурированные «конкурсы тестирования» преступных технологий, проводимые людьми без соответствующей квалификации и репутации? Может быть, стоит провести «конкурс» ограбления банка в реальной среде для проверки банковских систем безопасности? Или «пробную» раздачу наркотиков в школах, чтобы проверить работу наркополиции?

До абсурда можно довести что угодно — в том числе анализ кода. Давайте вздохнем поглубже и займемся разработкой технологий защиты, а не «модификацией вредоносного кода ради удовольствия»!

Буквально несколько дней назад мы вернулись с конференции в Панаме, в ходе которой обсуждалась проблема кибер-преступности в Центральной Америке.

Хотя по внедренности интернета в повседневную жизнь лидирует Коста-Рика, наибольшее количество успешно реализованных атак приходится на Панаму.

Главным образом эти атаки были направлены против банков страны. Панама в данном случае является «лакомым кусочком» для преступников, благодаря тому, что в ней находится огромное количество банков, для которых созданы благоприятные условия, а также специальная коммерческая зона, деятельность которой не облагается налогами.

В нашей презентации мы рассказывали о том, что атаки сегодня зачастую имеют локальный характер. Иными словами, они создаются в определенной стране, для определенного контингента и, как правило, не выходят за пределы региона или даже отдельного госсударства. Таким образом, злоумышленники стараются минимизировать возможность быстрого детектирования угроз антивирусными компаниями.

Одна из таких атак была совершена 16 апреля, вскоре после нашего возвращения. Пользователям электронной почты в домене «pa» были разосланы спам-письма с предложением посмотреть почтовую открытку широко известного в Латинской Америке сервиса Gusanito.com. При клике на ссылку автоматически загружался файл 001002003.exe, который в свою очередь выполнял следующие операции:

Как видно, зловред добавлял в файл локальных DNS специальную запись IP для доменных имен банка BBV Panama. Можно также предположить, что автор этого вируса сам родом из латинской америки. В поле «title» записана фраза на испанском, которую можно было бы перевести как: «а вдруг не заметят».

Если же жертва данного зловреда — клиент указанного банка — в какой-то момент пробовала зайти на его страницу, автоматически открывался фишинговый сайт, в точности повторяющий оригинальный:

На данный момент Антивирус Касперского детектирует данный зловред как Trojan.Win32.Qhost.alc

Интересно, что спустя 3 дня с момента начала атаки и до сих пор данная угроза детектируется только 2-мя антивирусами, один их которых — Антивирус Касперского. Это подтверждает тот факт, что злоумышленники стараются ограничить распространение своих зловредов в пределах какой-то определенной территории и тем самым гарантировать невозможность их детектирования в течение длительного времени антивирусными компаниями.

Ох уж эти числа... Простые числа, магические числа, счастливые и несчастливые числа. Одни люди боятся чисел, другие не понимают их, третьи любят, четвертые попросту игнорируют. А я... я люблю числа, всегда прислушиваюсь к тому, как они звучат, и пробую на зуб.

В воскресенье мы летели из Нью-Йорка в Бостон. Наблюдая, как компьютер распечатывал мой посадочный талон и рассматривая числа на листочке, я понял, что день выдался особый. Число 13 в этот день было гвоздем программы.

13 — дата
13 — номер рейса: цифры 2 и 0 не в счет, они «гасятся» номером выхода
13 — время посадки в самолет

А КРОМЕ ТОГО:

В шестнадцатеричной системе счисления 3 + A — это то же самое, что в десятеричной 3 + 10 = 13.

Число 13 встречается на посадочном талоне четыре раза! Вот это да! Поразительно, что я выжил! Если вы верите, что число 13 приносит несчастье, то наверняка захотите узнать, как мне это удалось.

Не знаю — возможно, дело в том, что вылет был в 2.00 PM (в 14 часов). Или в том, что на дворе апрель 2008-го, и если сложить цифры месяца и года, получится 14. К тому же в этом году это был мой 14-й перелет, а вовсе не 13-й.

Так или иначе, я выжил, и в Бостоне завершаю поездку по США. Перелет номер 15 в этом году — завтра. Посмотрим, какие цифры будут сопутствовать ему.

Управление глобальной компанией — далеко не самая простая работа. Постоянные путешествия, разные часовые пояса, города, гостиницы совсем не способствуют спокойной расслабленной жизни. С другой стороны, без этого нельзя создать компанию, нельзя быть в курсе всех мнений, нельзя донести нашу позицию до всех людей и рынков. Наконец, лично для меня, это просто интересно — посещать новые места, встречаться с разными людьми (и слушать их акценты), знакомиться с традициями других наций (и национальными кухнями :-)).

На прошлой неделе началось наше путешествие по восточному побережью США — с четырёх презентаций в Бостоне, которые привлекли внимание более 150 представителей американской IT-индустрии. Впереди посещение Вашингтона, Чикаго, Миннеаполиса, Орландо, Тампы, Атланты и Далласа. А затем — увидимся в Мексике! :-))

Как нам стало известно, на днях была арестована еще одна группа киберпреступников — на этот раз в Италии. За рассылку фальшивых писем итальянским пользователям в тюрьму попало более 150 человек. Общая сумма украденного фишерами — около 1 млн 250 тыс. евро.

Группа атаковала наиболее популярные итальянские банки, и некоторые из пользователей получали более 30 фишинговых писем от преступников ежедневно. Атаки стали настолько большой проблемой для Италии, что их даже обсуждали на телевидении (но, к сожалению, не на центральных новостных каналах).

Аресты стали результатом начавшегося в мае 2005 года расследования. Мы будем следить за этим делом, ожидая новостей и приговоров, и держать вас в курсе событий.

Полагаете, установка Linux на iPod — пустая трата времени? Если вы антивирусный аналитик, то нет — вы всего лишь подготавливаете устройство к тестированию на нём первого вируса для iPod.

Сам по себе вирус Podloso является не более чем доказательством того, что iPod теперь тоже можно заразить вредоносной программой. Вирус запускается с трудом, потому как содержит ошибки, которые иногда приводят к зависанию всей операционной системы.

Не думаю, что iВирусы станут причиной серьезных проблем в будущем. iPod существенно отличается от ПК и смартфонов. Владельцы iPod не устанавливают на свои плееры новые программы и не качают из Сети массу разнообразной информации, что уже существенно понижает возможность «подхватить» какую-нибудь заразу. Кроме того, за исключением безобидных мультимедийных файлов, с iPod нечего воровать.

Так что первый вирус для iPod является не более чем любопытной головоломкой для антивирусных экспертов.

Если вдруг в моём графике появляются свободные 10-15 минут, я иногда просматриваю свежий спам, который наш антиспам-фильтр отсекает от моего главного почтового ящика и складывает в специальный каталог (спамеры, кстати, могли бы и догадаться не слать спам на @kaspersky.com). Интересное чтиво, чего только там не встретишь. В основном, конечно, торговля (контрафактными) лекарствами и краденым софтом, часами, финансовые «разводки» и прочее, прочее, прочее (на английском и русском языках, спам по-японски и по-китайски я не понимаю :-) ).

И среди нового спама всё чаще попадаются письма с предложениями о совершенно непыльной работе — агентом по переводу денег через свой счёт от клиентов какой-либо компании на счета этой самой компании. Ниже — пример такого письма (текст — как в оригинале).

Или:

Налицо факт мошенничества — оплата товаров не напрямую на счёт компании, а через частный банковский счёт, т.е. участие в схеме отмывания денег, добытых преступным путём. Однако находятся те, кто умышленно или по природной доверчивости соглашается на оказание подобных услуг (на языке киберкриминала их называют «дропами», от английского «to drop»). Интересно, насколько законодательства разных стран подготовлены для борьбы с подобным пособничеством совершению преступлений?

Если верить Google Translate, то да! Причем, перевод срабатывает в обе стороны...

Я все думаю о той шумихе, которая поднялась в связи с комментариями Джима Олчина (Jim Allchin) о Vista и безопасности в интернете.

Еще раз подчеркну, что он НЕ говорил, что пользователю Vista не нужен антивирус. Он сказал, что в Vista стало больше защитных барьеров, — и это правда. Для примера он рассказал о своем семилетнем сыне, у которого в Vista установлены ограничения на пользование интернетом, — и это действительно серьезная защита, пока у сына нет электронной почты.

По его примеру я, наверное, куплю и установлю Vista на компьютер моей 65-летней матери. Она всегда посещает одни и те же веб-страницы и переписывается с одними и теми же людьми. Буду спать спокойно... пока хакеры не найдут в Vista уязвимость, через которую можно заражать удаленные компьютеры.

Но как быть с моими 15- и 18-летним сыновьями, которые очень активно пользуются интернетом, шлют невероятное количество сообщений, смотрят веб-страницы и болтают по ICQ? Даже не знаю, так ли уж много им даст Vista в плане повышения безопасности.

Как сказал один журналист, «было бы большой ошибкой считать, что Vista будет «пуленепробиваемой» в момент своего выпуска. Как бы хорошо ни поработали программисты Microsoft над безопасностью системы, вирусописатели и хакеры тут же бросятся искать в ней дыры — и найдут их.

Так что мы опять придем к хорошо знакомому порочному кругу «уязвимость-эксплойт-заплатка».