Компьютерра - Компьютерра PDA N105 (02.04.2011-08.04.2011)

• упор на способы деятельности, важные для информационного общества;

• централизованный анализ использования и эффективности.

Итак, печатный учебник – это "сегодня". Учебник на диске – "завтра". Сетевой учебник – "послезавтра". Можно ли из "сегодня" перейти в "послезавтра"? Да, если послезавтрашний ресурс найдёт применение (может быть, не окончательное) уже сегодня.

Так вот, появись такой сетевой учебник сегодня, он уже был бы востребован сильнее, чем учебник на диске. Несколько категорий пользователей уже созрели для такой работы. Это олимпиадные и "углублённые" дети, спецклассы крутых компьютеризованных школ, абитуриенты и даже небольшая прослойка учителей. Но чтобы сетевой учебник выиграл у печатного, он должен быть лучше и интересней. Это возможно.

При создании печатных учебников надо искать компромисс между отражением нескольких категорий материалов. Прежде всего, это базовый, программный материал. Если его изложить лаконично, можно обойтись небольшим объёмом учебного текста для зазубривания. Обычно объяснение базового материала требует большого объёма учебного текста и серьёзных усилий по его усвоению. Наконец, есть материалы, вызывающие интерес, пробуждающие эмоции, способствующие воспитанию. Увы, на них обычно не хватает ни места, ни учебного времени. В сетевом учебнике "поместится" всё.

И в печатном учебнике, и в учебнике на диске от обнаружения ошибки (или попросту двусмысленности, неудачного оборота) до её исправления уходят годы. В сетевом всё можно уложить в дни. И перечисленное – ещё не все достоинства сетевого учебника.

А почему такого учебника ещё нет? Ой, сколько надо ещё обсудить... А какая организация сможет создать линейку (линейки) таких учебников, пробить их министерский статус и обеспечить финансирование работ? Как окупится эта работа, какова её бизнес-модель? Какой софт будет использовать такой продукт? Как сделать первый шаг и как обеспечить окончательный переход на такие учебники?

Но, несмотря на все эти неясности, сетевые учебники надо начинать делать уже сегодня...

Автор: Юрий Ильин

Опубликовано 07 апреля 2011 года

Причина тишины - не совестливость спамеров. 16 марта 2011 года корпорация Microsoft совместно с правоохранительными органами нескольких стран провела масштабнейшую операцию и заблокировала многочисленные контрольные серверы ботнета. Поскольку операция осуществлялась скоординированно, получилось, что ботнету снесли все головы разом. Это не был поход одиноких Геракла и Иолая против Лернейской Гидры, скорее - набег целого отряда лесорубов с бензопилами.

Rustock уходит в режим радиомолчания не впервые. Его уже пытались искоренить в 2008 году, потом он по каким-то причинам притих на рубеже 2010-2011 годов. Оба раза тишина продолжалась недолго. Замолк ли он навсегда в этот раз? Пока непонятно. Факт, однако, в том, что с ним расправились на совесть. Даже если его владельцам однажды удастся поднять ботнет на ноги, это будет не так уж просто.

Возможно, стоит подвести некоторые итоги. Rustock и сам по себе - явление интересное.

Название Rustock придумали сотрудники антивирусной фирмы Symantec. Так окрестили пойманную 13 января 2008 года вредоносную программу. Впрочем, автору (или авторам?) Rustock имя пришлось по вкусу - вот какая строка обнаружилась в одной из следующих версий программы.

Фрагмент с "визитной карточкой" раньше выглядел иначе: папки "Rustock" не было, только "Spambot".

С тех пор прошёл не один год, но об авторах и владельцах Rustock по-прежнему нет достоверных сведений. По косвенным признакам выходит, что их родным языком был русский. Об этом можно судить, например, по упоминанию mail.ru и yandex.ru в коде или по говорящему названию бета-версии Rustock.b - huy32.sys. Кроме того, основателем злополучного хостинга McColo, на котором располагался первый контрольный центр Rustock, был "русский хакер" по имени Николай (только это о нём и известно).

В "Лаборатории Касперского" практически уверены, что Rustock - российское произведение. По словам ведущего антивирусного эксперта компании Сергея Голованова, спам-бизнес - практически полностью русский, к тому же именно так, как был написан Rustock, руткиты пишут только выходцы из СНГ.

Руткит - это основа Rustock. Троянец устанавливает его на компьютер жертвы первым делом. Руткит позволяет использовать заражённую машину в качестве скрытого прокси-сервера, который действует на случайно выбранном TCP-порту. Кроме того, программа предпринимает попытки связаться с серверами ftp.skystockfinance.cc, https.enjoyfit2006.biz и www2.firemonk2006.com для подгрузки дополнительных файлов и конфигурационной информации. Мало того, через TCP-порт 25 она могла обращаться к SMTP-хостам mxs.mail.ru, smtp.yandex.ru и maila.microsoft.com.

В июле 2008 года с разницей в несколько дней Symantec отрапортовал о ещё двух разновидностях троянца - Rustock.Aи Rustock.B, причём по поводу второй было заявлено, что она использует усовершенствованный руткит для установки себя в систему и сокрытия своего присутствия. Обе версии были способны рассылать спам с заражённого компьютера.

А потом появились слухи о Rustock.c.

Его очень долго не могли обнаружить. Настолько долго, что всё чаще звучали голоса: а не миф ли это, ваш Rustock.c? Может, его просто не существуют, а антивирусы гоняются за химерой?

"Химера", к сожалению, оказалась самой что ни на есть реальной, всамделишной пакостью. Первой новую версию вредоносной программы обнаружила российская антивирусная компания "Доктор Веб". Тут и выяснилось, что создатели Rustock прекрасно понимали, что они делают и какие средства будут применяться против их детища. Все версии спамбота были сходны между собой по функциональности, но у Rustock.c оказался самый хитрый механизм для игры в прятки.

Во-первых, этот троянец заражает драйверы и сам реализован в виде драйвера уровня ядра. Во-вторых, он использует полиморфизм и обфускацию кода, чтобы затруднить анализ. Вдобавок, Rustock.c самым активным образом противодействует отладке, в том числе нарушает или блокирует работу отладчиков, а также имеет функцию самозащиты, противодействующую модификации кода во время исполнения.

Ещё один метод маскировки: Rustock.c то и дело "меняет партнёров". Сначала он заражает один драйвер, затем другой, а первый вылечивает. Мало того, он фильтрует обращения к заражённому файлу и подставляет оригинальный файл вместо заражённого. Наконец, как отмечают в "Доктор Веб", троян перехватывает системные функции "неклассическим методом". Каждая копия руткита привязывается к заражённому компьютеру на аппаратном уровне, так что на других машинах та же копия работать, скорее всего, не будет.

Когда стало очевидно, что Rustock.c не является ни мифом, ни фикцией, за ним началась активная охота. По версии "Лаборатории", распространением Rustock.c, скорее всего, занималась киберпреступная группировка IFrameBiz, у которой есть собственный ботнет, состоящий из компьютеров, уже заражённых троянцами Tibs, Harnig, Femad, LoadAdv и другими. Большая часть участников IFrameBiz, скорее всего, проживает в России.