Цифровой журнал «Компьютерра» 2011 № 43 (91) (Журнал «Компьютерра») - страница 43

А из этого факта совершенно естественным образом вытекает неудобный вопрос: каким же таким хитрым образом должны быть устроены все общераспространённые антивирусные программы и экраны-файерволы сетевой защиты, что они столь дружно не замечают подобных правительственных троянцев-шпионов? Которые не только занимаются регистрацией информации, обрабатываемой компьютером, но и на регулярной основе выходят в интернет для её отправки следящей стороне...


Дополнительное исследование проблемы германским ИТ-изданием Heise Security показало, что антивирусные программы начали дружно реагировать на «троянца R2D2» (условно названного таким образом по фрагменту из строчки кода программы), лишь только после того, как о нём рассказали миру представители ССС. Хотя вполне очевидно, что программа эта отнюдь не новая и применяется властями давно.

Практически все ведущие производители антивирусов и файерволов предпочли на данный счёт отмолчаться (хотя и не секрет, что в их программах применяются некие «белые списки», которые никто толком не видел, однако именно они обеспечивают невидимость в работе, скажем, общераспространённых «противоугонных» средств типа CompuTrace — тоже в общем-то шпионов-бэкдоров по своей сути).

Самую содержательную реакцию на новость среди разработчиков антивирусов продемонстрировала, пожалуй, финская компания F-Secure. Именно из блога этой фирмы стали известны не только дополнительные факты про троянец-бэкдор под названием W32/R2D2.A, но и некоторые закулисные подробности о деятельности антивирусной индустрии.

На сайте F-Secure отмечено, что в отчёте ССС содержался анализ бинарных файлов DLL и драйвера ядра. Отсюда следует, что у аналитиков ССС, очевидно, не было доступа к программе-установщику бэкдора (который должен быть инсталлирован локально на компьютере жертвы). У компании F-Secure именно такой инсталлятор имеется, причём давно и не в одном экземпляре.

Файл установщика носит название «scuinst.exe», и впервые файл с таким названием в базах данных антивирусных компаний был отмечен 9 декабря 2010 года.

Имя файла-установщика является важным уже само по себе. Сочетание букв «scuinst» — это аббревиатура полного названия Skype Capture Unit Installer, то есть «установщик модуля захвата Skype». Именно под этим названием известна официально продаваемая на коммерческом спецрынке шпионская программа-троянец компании DigiTask.

В компанию F-Secure копия этой программы-установщика попала от известного веб-сервиса компьютерной безопасности virustotal.com. Оттуда же получили файл и многие другие поставщики антивирусов.