Архивы: по дате | по разделам | по авторам

Две стороны "мерзавца"

АрхивКолумнисты
автор : Берд Киви   28.09.2009

В Интернете доступны исходные коды трояна, который создан для перехвата разговоров, ведущихся через Skype. Опубликованный троян к взлому защиты никакого отношения не имеет, он перехватывает и записывает сигналы в аудиотракте компьютера.

Аналитики антивирусного подразделения компании Symantec сообщили, что в Интернете доступны исходные коды трояна, который создан для перехвата разговоров, ведущихся через Skype (по идее, защищенных довольно сильной криптографией). Опубликованный троян, отмечают специалисты, к взлому защиты никакого отношения не имеет, он перехватывает и записывает сигналы в аудиотракте компьютера. Затем информация в зашифрованных MP3­файлах незаметно передается хозяину шпионской программы.

Насколько можно судить по коду, этот троян, получивший в Symantec имя Trojan.Peskyspy (можно перевести как «мерзкий шпион»), попадает в компьютер по традиционным каналам распространения вредоносного софта: с внешних носителей (компакт­дисков и USB­флэшек), по электронной почте и т.д.

В общих чертах работа Peskyspy выглядит следующим образом. Когда программа активирована, она встраивает свой поток в процесс Skype и перехватывает все аудиоданные, проходящие между приложением и звуковыми устройствами ПК, начхав на шифрование и протоколы, которые используются при передаче речевых данных на сетевом уровне. Входящие и исходящие звонки хранятся в отдельных MP3­файлах. Кроме того, согласно предварительному анализу антивирусной компании F­Secure, троян способен открыть на скомпрометированной машине «чёрный ход», который позволит передавать файлы с записями звонков на заранее определённый сервер, загружать обновлённые версии шпионской программы и уничтожать её в случае необходимости.

Поскольку перехваченные разговоры кодируются в формат MP3, по Интернету приходится передавать относительно небольшие файлы, что позволяет быстро управиться со сливом данных, не насторожив пользователя внезапно возросшей нагрузкой на канал связи. Впрочем, риск подхватить троян эксперты пока оценивают как мизерный (случаев распространения этого шпиона в «диком виде» ещё не отмечено). Тем не менее Symantec сочла необходимым предупредить: коль скоро исходный код программы стал общедоступен, создатели вредоносных программ теперь смогут легко встраивать функции перехвата разговоров в собственные творения.

Однако у этой истории есть и другая — можно сказать, «неофициальная» — сторона, представляющая ту же самую картину несколько в ином свете. Начнем с того, что исходные коды Skype­трояна не всплыли втихаря из злачных уголков сетевого андеграунда, а были открыто опубликованы автором программы на его сайте (www.megapanzer.com) под лицензией GPL. Причём создателем трояна является отнюдь не какой­нибудь подозрительный персонаж с сомнительным прошлым, а сисадмин и программист Рубен Унтерэггер (Ruben Unteregger), семь лет (вплоть до 2008 года) проработавший в швейцарской софтверной компании ERA IT Solutions. Эта фирма известна тем, что специализируется на деликатных заказах для корпоративных и государственных клиентов — как местных, так и из других стран. В частности, как показали недавние журналистские расследования, в ERA IT Solutions делали шпионские программы для перехвата VoIP­телефонии по заказу Федерального ведомства уголовной полиции Германии.

Унтерэггер, впрочем, комментировать сообщения прессы категорически отказывается, поскольку связан со своим бывшим работодателем строгими обязательствами о неразглашении, нарушение которых чревато суровым наказанием. Однако, будучи владельцем прав на разработанный в ERA IT Solutions продукт, он может открыто размещать его код в Интернете, дабы «подтолкнуть общество к разработке соответствующих защитных мер», как излагает свои мотивы сам автор трояна.

На сайте Унтерэггера опубликованы две версии программы (MiniPanzer и MegaPanzer). Обе созданы для Windows XP, однако без проблем работают с Windows 2000 или Vista и отличаются лишь набором дополнительных функций. Можно сказать, что MiniPanzer представляет собой минимизированную версию MegaPanzer (последняя оснащена средствами скрытой инсталляции и развитым графическим интерфейсом для интерактивного управления). Разработчик отмечает, что представленные им коды неполны. Там, например, отсутствует инструмент для организации «черного хода», а также система обхода файрволла. Они сами по себе довольно интересны, и Унтерэггер планирует опубликовать их исходники отдельно.

Выкладывая коды шпионской программы под лицензией GPL, программист подчеркнул, что никакие проблемы, связанные с нарушением копирайта, ему не грозят, поскольку ERA IT Solutions позволила разработчику сохранить авторские права на продукт. Рубен Унтерэггер считает, что благодаря его шагу троян проанализируют, антивирусные компании выявят для него соответствующие сигнатуры, а значит, вредоносное ПО, использующее эти наработки, уже не будет представлять опасности.

"Компьютерра" №33 (797)

© ООО "Компьютерра-Онлайн", 1997-2024
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.