– Профессор, а по каким признакам мы будем искать следы этого червя «Fanny»? – спросил Егор. – Ведь наша задача пока выглядит, как в сказке: «Пойди туда, не знаю куда, найди то, не знаю что!»
– Хороший вопрос, да еще заданный вовремя, зря не пропадает! – отшутилась Латышева. – Только боюсь, майор, что этот дедушка «Fanny» уже давно на пенсии и на инспектируемом объекте нам следует искать следы его продвинутых внуков и правнуков, таких, например, как «Angler». Этот новейший набор эксплойтов может использовать шифрование и сам умеет обнаруживать опасные для него антивирусные средства. А его вредоносные программы работают прямо в оперативной памяти, даже без записи на жестких дисках.
– Я вчера прочитал в одном IT-журнале, – прервал Егор своего учителя, – что «Лаборатория Каспера» впервые обнаружила модули, которые позволяют перепрограммировать операционную систему жестких дисков 12 основных мировых производителей. Поэтому, зловредный «троян», однажды попав в ОС жесткого диска, во-первых, не может быть с него удален даже в случае форматирования жесткого диска. А во-вторых, он создает там себе «тихую гавань» в виде секретного хранилища информации.
– Майор, вы растете прямо на глазах, раз начали читать такие журналы! Но эта ваша информация нам вряд ли пригодится, ибо у нас пока нет средств обнаружения подобных «секретных хранилищ». Надеюсь, что из Центра нам дошлют подходящую информацию вдогонку. А иначе, нам придется это выяснять самим и прямо на месте. И не исключено, что «врукопашную»…
Когда Буцефал и Росинант прибыли на объект, Латышева приказала рассредоточиться в заранее подготовленных флешках-укрытиях с контролем доступа вне охраняемого периметра. И затаиться обоим в режиме строгого радиомолчания на длительное время, чтобы собрать первичную информацию об окружающей виртуальной сетевой обстановке.
Заранее установленное стационарное сетевое оборудование уже собрало массу статистики и подготовило спектральные портреты типовых рабочих режимов обмена инспектируемого объекта открытой информацией с внешним миром. Именно обнаруженные недавно «Каспером» отличия этих частотных радиопортретов от типовых статистических данных и вызвали тревогу спецслужб. А потом и заставили обратиться к нам в Центр как к профессионалам антивирусной сетевой безопасности.
Особое внимание Латышева уделила серверам так называемых межсетевых экранов, которые управляют допуском извне в охраняемые домены и размещаются на выходах из доменов в мировую паутину. Своего Буцефала Латышева разместила в искусственном укрытии вблизи одного из таких выходов. А Егор со своим Росинантом замаскировался в малоприметном месте внутри RAID-контроллера сервера. Таким образом, вместе они могли держать под непрерывным наблюдением пограничную зону канала связи с обеих сторон межсетевого экрана.
Вот уже более половины дня провели инспекторы в засаде в режиме строгого радиомолчания,