ИЗ ОТЧЕТА ЛАБОРАТОРИИ КОТОВСКОГО, СОВМЕСТНО С ВЕДУЩИМ ЭСТОНСКИМ ИНТЕРНЕТ-АГЕНТСТВОМ СЕКЬЮРИТИ-ПУККУС. ДЛЯ СЛУЖЕБНОГО ПОЛЬЗОВАНИЯ. 4 Июля XXXX a.s. Лаборатория Котовского сообщает: обнаружен особо опасный вирус I-Worm.NewApocalypsis. В результате проведенного анализа, эксперты лаборатории выяснили, что вирус содержит в себе следующие функции: - троянскую функцию сбора реквизитов доступа к платежным системам; - функцию работы с web-страницами, используя Microsoft Internet Explorer любой версии; - скрипты для работы с платежными системами, а именно для перевода денег с одного счета на другой; - скрипты для регистрации бесплатных почтовых ящиков; - скрипты для поиска специфических web-страниц, форумов и чатов через все известные поисковые системы; - скрипты для анализа публикуемых списков уязвимостей в программном обеспечении. Вирус хранит в своем теле все украденные реквизиты доступа к счетам пользователей платежных систем. Вирус имеет модульную структуру и представляет из себя набор исходных текстов на языке C#. Вирус содержит несколько сотен темплейтов и списки ключевых слов, на основе которых генерирует и отсылает, а затем получает и анализирует e-mail сообщения, которыми может обмениваться через зарегистрированные им почтовые ящики. По ключевым словам, сходным с "programmer" и "job", вирус ищет в сети форумы и оставляет там сообщения о разовых заказах на модификацию неких исходных текстов. Затем, посредством специального модуля, вступает в короткую переписку с ответившими на объявление программистами, предлагая им пройти так называемое тестирование - вирус высылает текст задачи, ответом на которую является однозначно определенное число или слово. В случае неправильного ответа переписка заканчивается, а ответившему правильно вирус предлагает весьма щедрую оплату за несложную работу. Программисты, по неведению согласившиеся на это предложение, получают аванс, а также набор неких файлов: исходные тексты случайно выбранного модуля вируса, набор технической документации и файл "todo", который содержит в себе описание необходимых модификаций. Задачей программиста является реализовать все описанное в файле "todo", записав при этом в тот же файл свои собственные пожелания по развитию модуля; необходимым образом дополнить техническую документацию, и придумать несколько задач, аналогичных пройденной программистом во время теста. Оплата производится электронными деньгами, украденными вирусом с инфицированных компьютеров. По непроверенным сведениям, перед тем как произвести оплату, вирус аналогичным образом связывается с другими, случайно им выбранными программистами, и предлагает оценить качество выполненной работы по 10-бальной шкале, а также произвести аудит исходного кода на наличие разного рода ошибок и троянских закладок. Также имеется информация, что в некоторых случаях вирус ставит задачей написать модули, реализующие одну или несколько недавно появившихся уязвимостей. Проанализировав поведение вируса на одном из своих компьютеров, специалисты из интернет-агентства Секьюрити Пуккус выяснили буквально следующее. Некоторые из вирусов I-Worm.NewApocalypsis объединены в небольшие P2P сети, или кластеры. В этом случае, каждый вирус, являющийся частью такого кластера, обладает копией всей информации других составляющих. Контекстом знаний вируса, составляющего кластер, является матрица, описывающая все, что знают другие элементы кластера, включая рекурсивную вложенность переменного уровня; по аналогии с вполне человеческим "я знаю, что ты знаешь, что он знает, ...". Таким образом, при внутрикластерном взаимодействии вирусов происходит множество проверок на допустимость действий, исходя из того, что вирусы обладают одним и тем же алгоритмом, базирующимся на имеющейся информации. Поскольку два взаимодействующих в пределах кластера вируса обладают одной и той информацией, их действия строго синхронизированы, и, в результате, кластеры защищены от любого внешнего информационного воздействия. По всей видимости, кластеры используются для синхронизации и обмена информацией о номерах украденных банковских счетов и кредитных карт, а также о качестве работы тех или иных использованных программистов или написанных ими вариантов вирусных модулей. Существует также мнение, что техническую поддержку некоторых вирусных модулей осуществляют одни и те же люди, что свидетельствует об укреплении взаимоотношений между вирусами и программистами; возможно также, что вирусные кластеры ведут друг с другом некое подобие войны за право пользоваться трудом наилучших программистов. В частности, один из штатных программистов агентства [censored] был пойман читающим в свое свободное время документацию к одному из модулей вируса, дальнейшая его судьба неизвестна. В настоящее время существует множество модификаций I-Worm.NewApocalypsis, и база антивирусных дополнений Лаборатории Кротовского содержит 31280 записей об этом вирусе. Вся информация, изложенная в этом докумете, является собственностью Лаборатории Кротовского, и засекречена в виду нависшей над миром угрозы ядерной войны. Разглашение карается по законам военного времени. С {НЕРАЗБОРЧИВЫЙ ПОЧЕРК} ОЗНАКОМЛЕН ДАТА ПОДПИСЬ