Сисадмин - страница 22

Так, подумал Сергей, пора временно остановиться и позвонить Косте. На данном этапе без него тут не разобраться. По крайней мере, теперь есть, что докладывать. Первый и очень важный результат есть.

Часы показывал около половины первого ночи. Сергей взял в руки телефон, подаренный Костей, и нажал кнопку вызова. После первого же сигнала в трубке раздался знакомый голос с характерной хрипотцой: очевидно Костя ждал звонка.

– Обойдемся без имен, – вместо приветствия сказал Костя. Теперь он не любезничал, от игривого тона не осталось и следа. Теперь он говорил коротко и жестко. – Никакой лирики, никаких имен, излагай только факты. Что успел накопать?

– Значит так, – в тон ему без приветствия начал Сергей. – Факты следующие. Я пока ответил только на первый, но зато на самый главный вопрос: понял, каким образом была осуществлена данная хитроумная операция. Докладываю: взлом был произведен с одного компьютера и это компьютер значится в твоей сети под именем SYS_ADMIN. Разумеется, имен ваших компьютеров я не знаю – да и откуда у меня может быть такая информация? – но, рассуждая логически, предполагаю, что, скорее всего, это компьютер твоего системного администратора. Это было сделано при помощи неизвестного троянца, который сидит в оперативной памяти этого компьютера. Но по сети он не распространился.

– Чего? – недоуменно спросил Костя. – Троянца? А что это хреновина с морковиной?

– Ну, как тебе объяснить, – замялся Сергей. – Это программа, которая, как правило, выдает себя за что-нибудь мирное и чрезвычайно полезное. Есть масса подобной дряни: например, интернет-трояны, которые либо дают доступ к компьютеру с другого компьютера без ведома пользователя, либо высылают по определенному адресу какую-либо информацию с компьютера-жертвы (как правило, чужие пароли). А в твоем случае, это управление системой «Клиент-Банк» – впрочем, я еще до этого не дошел. Хорошо, тогда встречный вопрос: ты знаешь, что такое «вирус»?

– Да, знаю, – нетерпеливо ответил Костя. – Но все равно не понимаю: что же у меня в банке-то завелось?

– Если тебе так будет легче, то давай, я буду употреблять термин «вирус», – снисходительно ответил Сергей. – Хотя, в данном случае это будет не совсем правильно, но я не возражаю. Хорошо, считай, что у тебя завелся вирус.

– Тогда сразу вопрос, – перебил Костя. – На всех компьютерах у нас установлены антивирусные программы. Причем, это было мое личное распоряжение в форме официального приказа по банку. Почему же программа не обнаружила этот вирус? Твою мать, какой кретин не выполнил мой приказ?!

– Ты погоди, не спеши, а лучше послушай. Это твое распоряжение на самом деле выполнено. Но выполнено формально. Тут есть два мелких, но весьма забавных обстоятельства. Во-первых, это вирус новый и распространения он не получил. Поэтому в базе данных антивирусной программы его просто нет. Уверен, что он был написан специально по чьему-то заказу и специально для вашего банка. Причем, именно для подобного взлома. Я пришел к этому выводу потому, что преступник слишком хорошо знал особенности работы именно вашей системы «Клиент-Банк» – а ты ведь сам говорил, что в каждом банке подобная система своя. Так вот, если этот вирус сидит в памяти компьютера, на котором нет системы «Клиент-Банк» – ничего не произойдет. Но все это далеко не самое главное. Этот вирус все равно был бы обнаружен вашими антивирусами: в подобных программах предусмотрен эвристический анализ операционной системы и поведенческий анализ загруженных приложений, поэтому он все равно был бы обнаружен. Тут имеется другое обстоятельство. А именно следующее: на этом компьютере был отключен мониторинг оперативной памяти, а этот вирус именно там и сидел. На всех других компьютерах контроль оперативной памяти был включен, а на этом – выключен. Вот в этом и фишка, вот почему я сказал тебе, что твой приказ формально исполнен, придраться тут не к чему!