Читаем Компьютерра PDA N105 (02.04.2011-08.04.2011) полностью

При создании печатных учебников надо искать компромисс между отражением нескольких категорий материалов. Прежде всего, это базовый, программный материал. Если его изложить лаконично, можно обойтись небольшим объёмом учебного текста для зазубривания. Обычно объяснение базового материала требует большого объёма учебного текста и серьёзных усилий по его усвоению. Наконец, есть материалы, вызывающие интерес, пробуждающие эмоции, способствующие воспитанию. Увы, на них обычно не хватает ни места, ни учебного времени. В сетевом учебнике "поместится" всё.

И в печатном учебнике, и в учебнике на диске от обнаружения ошибки (или попросту двусмысленности, неудачного оборота) до её исправления уходят годы. В сетевом всё можно уложить в дни. И перечисленное – ещё не все достоинства сетевого учебника.

А почему такого учебника ещё нет? Ой, сколько надо ещё обсудить... А какая организация сможет создать линейку (линейки) таких учебников, пробить их министерский статус и обеспечить финансирование работ? Как окупится эта работа, какова её бизнес-модель? Какой софт будет использовать такой продукт? Как сделать первый шаг и как обеспечить окончательный переход на такие учебники?

Но, несмотря на все эти неясности, сетевые учебники надо начинать делать уже сегодня...

Автор: Юрий Ильин

Опубликовано 07 апреля 2011 года

Причина тишины - не совестливость спамеров. 16 марта 2011 года корпорация Microsoft совместно с правоохранительными органами нескольких стран провела масштабнейшую операцию и заблокировала многочисленные контрольные серверы ботнета. Поскольку операция осуществлялась скоординированно, получилось, что ботнету снесли все головы разом. Это не был поход одиноких Геракла и Иолая против Лернейской Гидры, скорее - набег целого отряда лесорубов с бензопилами.

Rustock уходит в режим радиомолчания не впервые. Его уже пытались искоренить в 2008 году, потом он по каким-то причинам притих на рубеже 2010-2011 годов. Оба раза тишина продолжалась недолго. Замолк ли он навсегда в этот раз? Пока непонятно. Факт, однако, в том, что с ним расправились на совесть. Даже если его владельцам однажды удастся поднять ботнет на ноги, это будет не так уж просто.

Возможно, стоит подвести некоторые итоги. Rustock и сам по себе - явление интересное.

Название Rustock придумали сотрудники антивирусной фирмы Symantec. Так окрестили пойманную 13 января 2008 года вредоносную программу. Впрочем, автору (или авторам?) Rustock имя пришлось по вкусу - вот какая строка обнаружилась в одной из следующих версий программы.

Фрагмент с "визитной карточкой" раньше выглядел иначе: папки "Rustock" не было, только "Spambot".

С тех пор прошёл не один год, но об авторах и владельцах Rustock по-прежнему нет достоверных сведений. По косвенным признакам выходит, что их родным языком был русский. Об этом можно судить, например, по упоминанию mail.ru и yandex.ru в коде или по говорящему названию бета-версии Rustock.b - huy32.sys. Кроме того, основателем злополучного хостинга McColo, на котором располагался первый контрольный центр Rustock, был "русский хакер" по имени Николай (только это о нём и известно).

В "Лаборатории Касперского" практически уверены, что Rustock - российское произведение. По словам ведущего антивирусного эксперта компании Сергея Голованова, спам-бизнес - практически полностью русский, к тому же именно так, как был написан Rustock, руткиты пишут только выходцы из СНГ.

Руткит - это основа Rustock. Троянец устанавливает его на компьютер жертвы первым делом. Руткит позволяет использовать заражённую машину в качестве скрытого прокси-сервера, который действует на случайно выбранном TCP-порту. Кроме того, программа предпринимает попытки связаться с серверами ftp.skystockfinance.cc, https.enjoyfit2006.biz и www2.firemonk2006.com для подгрузки дополнительных файлов и конфигурационной информации. Мало того, через TCP-порт 25 она могла обращаться к SMTP-хостам mxs.mail.ru, smtp.yandex.ru и maila.microsoft.com.

В июле 2008 года с разницей в несколько дней Symantec отрапортовал о ещё двух разновидностях троянца - Rustock.A и Rustock.B, причём по поводу второй было заявлено, что она использует усовершенствованный руткит для установки себя в систему и сокрытия своего присутствия. Обе версии были способны рассылать спам с заражённого компьютера.

А потом появились слухи о Rustock.c.

Его очень долго не могли обнаружить. Настолько долго, что всё чаще звучали голоса: а не миф ли это, ваш Rustock.c? Может, его просто не существуют, а антивирусы гоняются за химерой?