Security Lab

Ужасная История!

Ужасная История!

Несколько дней назад я получил "интересное" так сказать письмо (ну, а точнее, ужасное)... Сначало подумал, что это глупая шутка тк история была и правда... странная... Вот так, читайте и наслаждайтесь работой наших правоохранительных органов (в веселой стране мы живем, господа!)

Stalsen

Несколько дней назад я получил "интересное" так сказать письмо (ну, а точнее, ужасное)... Сначало подумал, что это глупая шутка тк история была и правда... странная...

Вот так, читайте и наслаждайтесь работой наших правоохранительных органов (в веселой стране мы живем, господа!): 

--------------------------

Где-то в марте, а получил по мылу письмецо. С прикреплённым файликом. Всё бы хорошо, только файлик ехе-шный. А как говориться - обжегшись на клеще (Klez.h) и на SFX-архив дуть будешь. Отцепил файло, в FAR-е его F4. Изучаю. Странное файло. Имеет строку Borland TurboBasic v.1.0. Любопытный архивчик. Ну так как не первый раз ... женат, то дебаггером файло посмотрел и всё ясно. Троян. Имитирует SFX-архив, типа распаковывается чего-то, а сам тем временем грохает содержимое папок Office и Windows, затем сам себя. И писано всё на BASIC-е. Ну ладно. Стер мессагу, а файло оставил себе. Это меня и сгубило в последствии. А следствие было хреновым. В апреле изучая содержимое некоторых ftp-шек, скачал оттуда несколько исходников к новым вип=русам. Любой мало-мальский знакомый с ИНЕТом человек знает, что таких сайтов море. И добыть исходник практически любого виря - элементарно. Вопрос только во времени. А зачем мне исходники? Дело в том, что я работаю админом и программером в одном из филиалов ОАО "Газпром". Коллектив маленький. Компов ещё меньше. Соответственно ставка программера - одна. И всё приходится делать самому. Сеть администрировать, smtp-шный и dns серверы админить, проги имеющиеся латать и баги в них устранять. Нет-нет база кирдыкнулась, поднять надо. Ну и всё такое. Разуммется приходится с вирями воевать. А противника надо знать. Если только на AVP уповать, то ничего толкового не получится. Для изучения вирей и нужны исходники. Логично? Логично. Так во-о-о-от ... Среди скачанных исходников вирей оказался один на BASIC-е. Глянул... Так вот он знакомец и припоминаю события трехнедельной давности с письмом. Поглядел. Примитив. Заремил злобные команды, нашел в ИНЕТе Microsoft Quick Basic 4.0 (своего компилятора БЭЙСИКа не было), откомпиллил и исходник и обезвреженный. Сравнил их с тем, что мне приходило. Разные. Вот фигня какая. Оказывается QBASIC не умеет всё лепить в один файл. Часть команд из библиотечки берёт BRUN40.exe. Ладно. Полез искать Borland TurboBasic 1.0. Нашел откомпиллил им. Сравнил - идентичность полная. В общем поразвлекался так и забыл об этом. В начале мая зашел у меня разговор с моих знакомым о вирях. Я ему этот случай рассказал. Он говорит - дай посмотреть, нет проблем. Ну и ему по мылу кидаю всё, что у меня по нему есть. Исходник, ехе-шники вредоносный и обезвреженный. Изучай типа. В письме подробненько объясняю, что дескать этот файл не запускать - кирдык будет, а этот можно, он типа демоверсии. Обезвреженный уже. Послал и послал. Лучше бы не посылал. А за пару дней до этого произошли такие события. Моя жена является представителем от компании УралСвязьИнформ (УСИ) в нашем городе. Но не просто представителем, а в узкой специализации. Она занимается информационным сопровождением Систем КонсультантПлюс. И есть у неё конкуренты - Телеком Плюс. Конкуренты серъёзные, строят пакости, отбивают клиентов и всё в таком духе. У жены силёнок и полномочий бороться с ними маловато. Я думаю себе. Так. Кто может бороться? Только УСИ. Так может предложить им свои услуги. Типа - я отбиваю у Телекома клиентов в вашу пользу, а вы мне денежку за это. Как отбиваю? Способов много. Можно спамом побаловать. Так как Телеком получает обновления к Консультанту по мылу, спам им очень не по душе придется. Можно ещё чего-нибудь поинтереснее придумать с их компами. Можно просто пообщаться со знакомыми программёрами клиентов Телекома, а те склонят руководство к переходу от Телкома к УСИ. Средства практически легальные и законом не запрещены. Ну написал я письмо в УСИ со своего рабочего ящика (на работе он у меня), не скрываясь ни от кого, указал свое имя и место работы. Описал им всё. В ответ тишина. Игнор так игнор. Нет проблем. И забыл об этой затее.

Все эти события выглядят абсолютно невинно и Вы наверняка не доумеваете, а в чем криминал. А тут началось самое интересное. Прошло полтора месяца....

28 июня 2002г. ко мне на работу приезжают сотрудники ФСБ. Изымают хард из рабочего компа. Берут меня, везут ко мне домой. Показывают постановление на обыск. Изымают комп, модем, дискеты, компашки. Сгребли всё и уехали. Оказывается дело уголовное против меня возбуждено. По факту. Не по заявлению, а по факту. Ну следствие разумеется. Комп на экспертизу. Экспертиза говорит, что я оказывается послал виря в УСИ. Да вы что, опупели? Читаю заключение эксперта. Там сказано, что я используя программу The Bat! послал в УСИ вирус Trojan.Killfiles.c Вот это номер! А с чего вы взяли? Оказывается у меня в компе есть такое письмо. И не только письмо, а переписка из 15 мессаг. Меня с УСИ. Где я подробно обсуждаю факт отправки мной виря. И распечатка исходника виря имеется. Смотрю, а это тот красавчик, которого я у себя выловил. Я в отказ. Письма не писал, исходник взял там-то и там-то. Мне не верят. В экспертизе куча ошибок и противоречий. Одни предпроложения. Приведу цитату, см. вложенный файл 9004.jpg п.1. То есть, если есть модем и учетная запись подключения к ИНЕТу, то это однозначно указывает на то, что именно с данного компа был отправлен вирь. Нормальный вывод? В принципе не удивительно. Экспертиза проводилась в здании ФСБ. Когда я туда приехал, ждал эксперта. Приехавший эксперт, когда шел по коридору ФСБ перездоровался с половиной встретившихся ФСБ-шников. Так, любопытно, думал я. Когда мы зашли в кабинет, где стоял мой комп, то эксперт повернувшись ко мне сказал - пиши чистосердечное признание и не будем время терять. Я поинтересовался, кто он, следователь или эксперт? Тот ничтоже сумняшиеся начал копаться в моём компе. Исходник и саму прогу он нашел в течении 15 секунд. И не через "Поиск". А просто зашел в папку, там подпапка, он в неё, потом ещё в подпапку. Там файл. Вот это вредоносный файл, заявил эксперт. Парадоксально. Даже я в своем компе не смог бы её найти так быстро. Так как уже не помнил, куда его записывал. Сам эксперт таковым не является. Он директор по развитию ООО "Рейд-квадрат". Которая в свою очередь не является экспертным учреждением. Но он признан экспертом по постановлению следователя. Пишу жалобу на экспертизу в прокуратуру. Те посмотрели заключение, посмотрели на мои возражения. И сказали, что экспертиза содержащая СТОЛЬКО ошибок и противоречий, не может считаться обоснованной и обязали следователя провести вторую. Вторая прошла в другой организации, которая так же не была экспертным учреждением, а эксперты не имели аттестации на право проведения подобного рода экспертиз. Их экспертное заключение было ПЕРЕПЕЧАТАНО с предыдущего. До запятой, до орфоргафических ошибок. Только исправили те ошибки на которые я указал. Я понял, что обжаловать экспертизы смысла нет. ДО суда, нет. Так как они просто будут устранять ошибки. Кстати они умудряются при исправлении ошибок наделать новых. Ну и всё в таком духе. При окончании следствия, меня ознакамливают с делом и всеми вещ.доками. Я соответственно не препятствую и ознакамливаюсь. Смотрю в свой комп... и что я вижу? В компе имеются файлы созданные ПОСЛЕ даты изъятия компа у меня. Это что значит? Что в него что-то записывали и его содержимое изменялось. И ЭТО вещ.док? Маразм!!! Смотрю на мессаги которые мне ФСБ импортировало в The Bat! Уроды! В строке X-Mailer стоит CommuniGate Pro Web Mailer. То бишь отправлены мессаги ВЭБ-ом. А при чем тут "Летучая"? Смотрю в исходники. В тексте экспертизы один текст, а на харде текст исходников другой. Не на много разница. На пару команд. Так. Значит и исходники правили, олухи. Прошло одно заседание суда, 17 февраля 2003. Оказывается, опись компа свелась к переписи серийных номеров и моделей. Содержание харда НЕ описано, не снята контрольная сумма с него. Хард описан так. См. файл 9003.jpg И это опись? Разумеется после его описи при понятых, понятые ушли, а коробки с моим железом остались вскрытые на попечение ФСБ. И что туда можно записать? ВСЁ !!! Тайны МинОбороны, а потом обвинить меня в шпионаже.

Возникает вопрос - как на меня вышли и при чём тут я и чья-то переписка? Запросто. Кагда я послал свою мессагу о сотрудничестве в УСИ, они её не стерли. А сохранили. Далее. Потом , через пару дней им приходит как и мне письмо с вирем. Такой же как и мне пришёл. Они решили, что это я обиделся на их молчание. Хотя мне это было пофигу. Я просто забыл об этом. Едем далее. Она пытаются выявить злодея. Как? Видимо через свои каналы. Поставили фильтр на своем smtp-шнике на данный вирь. А тут через пару дней я его шлю своему приятелю. Оба на! По стечению обстоятельств, провом у друга был УСИ. Они смотрят, ха! И исходничек прилагается. Значит 100% я создатель и злодей. Они начинают узнавать, а кто отправитель. По IP выходят на меня. Это же просто. IP, модемный пул, телефон, адрес. Где работает? Ага! И тут определяется, что оказывается я писал в УСИ письмо на счет конкурентной борьбы. Значит точно я. УСИ сотрудничает с ФСБ. Все ФСБ-шники ходят с халявными сотиками, которые им предоставил УСИ. За это ФСБ оказывает услуги для УСИ. Те им шепнули, что есть такой злодей, а остальное дело техники. Есть один нюанс. В то время, когда было отправлено в УСИ письмо с вирем, меня в ИНЕТе не было. Что подтверждено расшифровочными ведомостями по моему телефону. Кто был настоящим отправителем виря и вел переписку с УСИ, никто не выяснял. Зачем? Есть же я.

Сейчас у меня только одна головная боль. Надо провести анализ экспертных заключений. Официальный. Что бы доказать, что они не состоятельны. Выводы притянуты за уши. Ошибки и противоречия не позволяют считать выводы экспертов обоснованными. Но куда бы я не обращался, все как только слышат слово ФСБ, включают заднюю и от проведения анализа отказываются. Что делать? Кто может провести такой анализ. Я сам уже нашел более 10 ошибок, но мне суд на слово не верит. По тому что нифига в этом не понимает. Нужна официальная бумага о техническом анализе."

С Уважением.
Александр Порублев.
Инженер-программист ООО "Пермтрансгаз"
филиал ОАО "Газпром"
----------------------------- "Экспертиза":

Фото 1

Фото 2

-----------------------------

Вот так вот... Сегодня 6 Апреля. 3 дня до суда. Может кто-нибудь сможет дать какие-нибудь советы? Тогда пишите ему на мэйл:

Programmer

после 14-00 - pom@permonline.ru

 

Бэкап знаний создан успешно!

Храним важное в надежном месте

Синхронизируйтесь — подпишитесь