Ладно, это все досужие рассуждения. По крайней мере, теперь понятно, что искать и где искать. Если кто-то и проник в банковскую систему извне, то сделать это можно только через почтовый сервер. Посмотрим на почтовом сервере, который управляет и обеспечивает работу системы «Клиент-Банк». Так, где ты у нас, родной? Вот ты где, красавец! Ну-ка иди к папочке! Посмотрим, как ты управляешь нашими денежками…
Сергей начал осторожно просматривать содержимое этого сервера. Все нормально, антивирусная программа установлена, мониторинг производится, так что все в ажуре! Опаньки, секундочку, а это что за ерунда на постном масле? Антивирусная защита есть на все – даже почтовые базы в режиме он-лайн сканируют, параноики! – только оперативная память остается полностью вне любого антивирусного контроля! Ну, дают, красавцы удалые! Значит, в оперативной памяти почтового сервера может находиться любой компьютерный триппер – и никто в банке даже и не почешется! Надо просмотреть содержимое оперативной памяти этого компьютера.
Точно! Вот и разгадка, вот он, троянец, сидит в оперативной памяти, как у себя дома! Причем, забавно: он размещается именно по тем адресам памяти, к которым обращается и программа «Клиент-Банк». О как! Н-да, меня терзают смутные сомнения…
– Вот ты где! – победно воскликнул Сергей. В его голосе прозвучала радость исследователя, решившего сложную задачу. – Вот ты мне и попался, троянец бесхвостый! Дай-ка, дружище, я тебя к себе скопирую для исследования!
Скопировав себе на компьютер найденного «трояна», Сергей довольно улыбнулся. Классно, ай да Серега, ай да сукин сын! Но работы еще – непочатый край: надо понять, что этот троян там делает конкретно и какие вредоносные действия выполняет. А чего тут мудрствовать лукаво? Надо запустить его у себя и посмотреть, чего он делает.
Сергей отключил антивирусный мониторинг на своем компьютере, запустил найденного неизвестного троянца на выполнение и стал отслеживать обращения. Но – странное дело! – вредоносная программа тут же выгрузилась из памяти и прекратила работу. Очень странно. Погоди-ка, сам же говорил, что эта зараза может обращаться к какому-то файлу, в котором будет храниться таблица этих расчетных счетов, которые и были хакнуты! Надо еще раз поискать. Хотя, в данном случае – что искать? Иголку в стоге сена? Но попробовать все равно надо.
Хотя, постой. А если запустить контекстный поиск по диску одного из тех счетов, которые этот кибер-гопник хакнул? Это побыстрее получится.
Результат не заставил себя долго ждать. Через несколько минут Сергей нашел маленький текстовый файл.
– Ну вот, – сказал сам себе Сергей. – Все на месте. Теперь повторим операцию.
Сергей снова запустил троянца на выполнение и стал ждать. Теперь же, при появлении на диске списка счетов, найденный зловред не выгрузился из памяти. Создалось впечатление, что ничего не происходило. Сергей запустил антивирус. Тут же на экране появилось сообщение: «В оперативной памяти компьютера обнаружен неизвестный вирус!». В порядке эксперимента Сергей отключил проверку оперативной памяти и снова запустил антивирус. На этот раз никакого сообщения не появилось.
– Вот, Костя, тебе и ответ на твой первый вопрос, а именно: как эти гады данный взлом провернули, – вслух сказал себе Сергей. – Остается теперь только выяснить самую малость: надобно понять, кто же это такой умный у тебя в банке работает?
