Сисадмин - Юрий Гиммельфарб

Исполнитель принимает на себя разработку комплекса программ «Учет заработной платы» для обеспечения деятельности Заказчика на базе персональных ЭВМ, именуемый далее Система.

Требования, предъявляемые к разрабатываемой Системе, изложены в техническом задании, которое является неотъемлемой частью настоящего Договора»

Распечатав два экземпляра договора, Сергей, не глядя, вытащил их из принтера и отдал директору на подпись. Зимний, также, не глядя, подмахнул договор своей размашистой подписью, шлепнул печать и бросился к двери, на ходу засовывая договор в папку для бумаг.

Офис его заказчика Олега Бугоркова находился в том же здании четырьмя этажами выше, но Андрей не стал ждать лифта и пулей, перепрыгивая через две ступеньки, вбежал в офис компании «Алмис».

– Директор у себя? – тяжело дыша и вытирая пот со лба, спросил Зимний.

– Да, Андрей Александрович, у себя и ждет вас, – миловидная секретарша Леночка быстро встала и распахнула перед Зимним дверь директорского кабинета.

Войдя в кабинет, Зимний поднял руку в знак приветствия, подошел к Бугоркову и, не произнося не слова, протянул ему договор.

Взяв экземпляр договора из рук запыхавшегося Андрея, Бугорков водрузил на нос очки и погрузился в чтение. Но, едва прочитав несколько строчек, он вначале разинул рот от удивления, остолбенело поднял глаза на Андрея, а затем, спустя несколько секунд, захохотал.

– Ты чего? – удивился Андрей.

Олег не отвечал. Он хохотал, бился в истерике, и, будучи не в силах произнести ни единого слова из-за душившего его дикого смеха, корчился в кресле и лишь тыкал пальцем в договор. Зимний взял бумагу из трясущихся рук Бугоркова и прочитал:

«Договор на оказание научно-идиотских услуг

ООО «Алмис», именуемое далее Заказчик, в лице Директора Бугоркова Олега Викторовича, трахающего на основании Устава и ООО «Центр дебильных вонючих технологий и телекоммуникаций», именуемое далее Исполнитель, в лице Директора Тупого Андрея Александровича, сморкающего на основании Устава, заключили хреновый Договор о нижеследующем:

Исполнитель принимает на себя разработку комплекса программ «Учет идиотской платы» для обеспечения деятельности Заказчика на базе мерзких ЭВМ, именуемый далее Система.

Требования, предъявляемые к хреновой Системе, изложены в дебильном задании, которое является вонючей частью долбаного Договора»

И дальше все шло в том же духе: такая же несусветная околесица.

Выругавшись, Зимний резко развернулся и пулей кинулся к выходу. За его спиной слышался хохот Бугоркова.

– Твою мать! – заорал Зимний, ворвавшись в офис. – Это что такое? Что за идиотские шуточки? Ты что напечатал?

Прочитав всю эту немыслимую бредятину и придя в себя от душившего его хохота, Сергей быстро сообразил, в чем дело. Какой-то «троян», засев в оперативной памяти, при выводе текста на печать, просто-напросто менял прилагательные в тексте на нехитрый набор своих прилагательных, оставляя сам текст нетронутым. Пользователь, набирая текст, читал, как правило, не бумажный, а электронный вариант. Случайный набор прилагательных давал сногсшибательный эффект при прочтении.

Вспомнив этот случай, Сергей не смог сдержать улыбки. А что если у этого трояна в данном случае иная задача: перехватить работу программы и по определенным счетам при запросе выписки добавить в выписку одну запись? Хм-м, а что, вполне может быть… Но тогда размер тела этого трояна должен быть значительным. Хотя, погоди-ка… А что если данные с перечнем счетов хранятся не в теле этого трояна, а отдельно? Если хранить данные отдельно, то брать данные он будет из сторонней таблицы и тогда размер его будет мизерным и кроме антивирусного монитора его никто и ничто не обнаружит – разве что случайно. Но в банке наверняка установлен входной антивирусный контроль и гарантированно ведется антивирусный мониторинг: не дебилы же банковские программисты, в конце-то концов: это же азы, элементарные основы компьютерной безопасности! Как же в таком случае этот троянец смог обойти защиту? Почему антивирусный монитор не обнаружил постороннюю процедуру в оперативной памяти компьютера?

Ладно, это все досужие рассуждения. По крайней мере, теперь понятно, что искать и где искать. Если кто-то и проник в банковскую систему извне, то сделать это можно только через почтовый сервер. Посмотрим на почтовом сервере, который управляет и обеспечивает работу системы «Клиент-Банк». Так, где ты у нас, родной? Вот ты где, красавец! Ну-ка иди к папочке! Посмотрим, как ты управляешь нашими денежками…

Сергей начал осторожно просматривать содержимое этого сервера. Все нормально, антивирусная программа установлена, мониторинг производится, так что все в ажуре! Опаньки, секундочку, а это что за ерунда на постном масле? Антивирусная защита есть на все – даже почтовые базы в режиме он-лайн сканируют, параноики! – только оперативная память остается полностью вне любого антивирусного контроля! Ну, дают, красавцы удалые! Значит, в оперативной памяти почтового сервера может находиться любой компьютерный триппер – и никто в банке даже и не почешется! Надо просмотреть содержимое оперативной памяти этого компьютера.

Точно! Вот и разгадка, вот он, троянец, сидит в оперативной памяти, как у себя дома! Причем, забавно: он размещается именно по тем адресам памяти, к которым обращается и программа «Клиент-Банк». О как! Н-да, меня терзают смутные сомнения…

– Вот ты где! – победно воскликнул Сергей. В его голосе прозвучала радость исследователя, решившего сложную задачу. – Вот ты мне и попался, троянец бесхвостый! Дай-ка, дружище, я тебя к себе скопирую для исследования!

Скопировав себе на компьютер найденного «трояна», Сергей довольно улыбнулся. Классно, ай да Серега, ай да сукин сын! Но работы еще – непочатый край: надо понять, что этот троян там делает конкретно и какие вредоносные действия выполняет. А чего тут мудрствовать лукаво? Надо запустить его у себя и посмотреть, чего он делает.

Сергей отключил антивирусный мониторинг на своем компьютере, запустил найденного неизвестного троянца на выполнение и стал отслеживать обращения. Но – странное дело! – вредоносная программа тут же выгрузилась из памяти и прекратила работу. Очень странно. Погоди-ка, сам же говорил, что эта зараза может обращаться к какому-то файлу, в котором будет храниться таблица этих расчетных счетов, которые и были хакнуты! Надо еще раз поискать. Хотя, в данном случае – что искать? Иголку в стоге сена? Но попробовать все равно надо.

Хотя, постой. А если запустить контекстный поиск по диску одного из тех счетов, которые этот кибер-гопник хакнул? Это побыстрее получится.

Результат не заставил себя долго ждать. Через несколько минут Сергей нашел маленький текстовый файл.

– Ну вот, – сказал сам себе Сергей. – Все на месте. Теперь повторим операцию.

Сергей снова запустил троянца на выполнение и стал ждать. Теперь же, при появлении на диске списка счетов, найденный зловред не выгрузился из памяти. Создалось впечатление, что ничего не происходило. Сергей запустил антивирус. Тут же на экране появилось сообщение: «В оперативной памяти компьютера обнаружен неизвестный вирус!». В порядке эксперимента Сергей отключил проверку оперативной памяти и снова запустил антивирус. На этот раз никакого сообщения не появилось.

– Вот, Костя, тебе и ответ на твой первый вопрос, а именно: как эти гады данный взлом провернули, – вслух сказал себе Сергей. – Остается теперь только выяснить самую малость: надобно понять, кто же это такой умный у тебя в банке работает?

Так, подумал Сергей, пора временно остановиться и позвонить Косте. На данном этапе без него тут не разобраться. По крайней мере, теперь есть, что докладывать. Первый и очень важный результат есть.

Часы показывал около половины первого ночи. Сергей взял в руки телефон, подаренный Костей, и нажал кнопку вызова. После первого же сигнала в трубке раздался знакомый голос с характерной хрипотцой: очевидно Костя ждал звонка.

– Обойдемся без имен, – вместо приветствия сказал Костя. Теперь он не любезничал, от игривого тона не осталось и следа. Теперь он говорил коротко и жестко. – Никакой лирики, никаких имен, излагай только факты. Что успел накопать?

– Значит так, – в тон ему без приветствия начал Сергей. – Факты следующие. Я пока ответил только на первый, но зато на самый главный вопрос: понял, каким образом была осуществлена данная хитроумная операция. Докладываю: взлом был произведен с одного компьютера и это компьютер значится в твоей сети под именем SYS_ADMIN. Разумеется, имен ваших компьютеров я не знаю – да и откуда у меня может быть такая информация? – но, рассуждая логически, предполагаю, что, скорее всего, это компьютер твоего системного администратора. Это было сделано при помощи неизвестного троянца, который сидит в оперативной памяти этого компьютера. Но по сети он не распространился.