Форум ''Интернет и Право''

Пытаюсь я как-то зайти на один сайт, ввожу в браузере адрес, а антивирус кричит: "файл содержит троянскую программу" аля загрузчик трояна.

Вопросы: есть  ли в данной ситуации нарушение нашего законодательства (если есть, то какого) со стороны владельца сайта (или другого лица)? Есть ли  способы (если есть, то какие) заставить владельца сайта убрать троянскую программу со своего ресурса?

Таки нашего или вашего?

А почему вы решили, что сайтовладелец его туда поместил?

Да, есть.
Уголовный Кодекс, статья "Распространение вредоностных программ для ЭВМ"...

Поддерживаю Николая Николаевича. Наиболее вероятно, что сайт инфицировали. Недавно сталкивался с подобной попыткой китайских товарищей. Владелец вовремя заметил атаку и переписку скриптов. 8)

Я имел в виду российское законодателство.


Я не решал, что сайтовладелец разместил вирус. Меня интересуют законные варианты потребовать от лица, ответственного за информацию на сайте (вне зависимости от того размещало оно вирус или нет) убрать его с сайта.

На сколько я понимаю для указанной Вами статьи УК необходимо, чтобы распространение было совершено с прямым умыслом. А если этого умысла нет? Как быть? Ведь люди могут заразить свои компы...

Проще простого. Напишите владельцу письмо об этом. Чего тут думать. Человеками нужно быть  8)

Draft дал вполне законный вариант. Я бы еще абуз хостеру кинул - во вменяемых конторах на них реагируют адекватно и могут прикрыть сайт пока его не вылечат.
Неважно есть прямой умысел или нет, есть 273 статья. Хотите бюрократии - идите в местный отдел милиции и пишите бумажку о том, что с сайта pupkind.ru распространяются вредоносные программы.
_{Потом не забудьте здесь выложить, что вам на это скажут местные стражи правопорядка :)}

Щас в меня будут кидать гнилыми помидорами.
ИМХО. Нарушения закона нет. Так как загрузчик трояна - это не троян. С таким же успехом скрипт может подгружать, скажем, флеш-анимацию.

Интересно, скрипт, осуществляющий загрузку трояна - это сведения о чем? ( Информация - это сведения о лицах, предметах, фактах, событиях, явлениях и процессах (ст. 2 Федерального закона «Об информации, информационных технологиях и защите информации» от 27 июля 2006 г. № 149-ФЗ)). ИМХО Скрипт информацией не является. Поэтому, лицо, ответственное за манипуляции с информацией на сайте, сделать со скриптом ничего не может - ему по статусу не положено.

Простейший пример: модератор и администратор форума. Может модератор манипулировать информацией на форуме? Может. Может ли модератор переписывать код движка форума, добавлять/удалять скрипты (моды)? Нет! Это вотчина администратора и тех.поддержки.

Кроме прямого умысла есть еще косвенный - при наличии доказательств о том что владелец сайта знал что у него рассадник. Хотя на месте владельца сайта конечно проще сказать что ничего не знал и жалоб на вирусы на сайте не получал.

Простите, по вашему мнению, владелец сайта знал что у него рассадник чего? Скриптов? Любой современный сайт написан на скриптах. Никто статистические страницы в html  не пишет.

Помидор номер один. Загрузчик трояна - это вредоносная программа. Если не верите, готов доказать. Выносите постановление, назначайте меня экспертом - и я вам напишу соответствующее заключение. Заметьте - помидор не гнилой, а вполне доброкачественный.

И в чем выражается её вредоносность?

"Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети"

Является ли скрипт программой? На этот вопрос можно, с долей уверенности, ответить утвердительно.
Производит ли он блокирование, модификацию, уничтожение или копирование информации? Нет. не производит. Он загружает другую программу (которая информацией, в определениях данных в  законодательстве, не является).  Нарушает ли он работу ЭВМ сети ЭВМ? Нет. Так как тогда (при нарушении работы ЭВМ или работы сети) он не смог бы выполнить свою основную функцию - загрузить троян пользователю.  Следовательно данный скрипт не является вредоносной программой.
:P

Пошто невинных наказать хотите? ;D

Несколько путаете понятия.  Сужу с сугубо технической точки зрения (с юридической спорить с Вами не имею никакого морально права):
- ни один браузер штатными средствами не позволяет загружать через себя исполняемый код (activeX и иже с ним не берем, они требуют прямого разрешения пользователем), следовательно для установки ПО используются уязвимости браузеров - эксплоиты или целые связки оных. Судя по материалам сего ресурса вредоносность эксплоитов признается бесспорной (хотя чисто технически лично я с этим категорически не согласен)
- Эксплоиты скрытно устанавливают программу-загрузчик, небольшую, написанную на компилируемом языке программирования: тот исследует обстановку машине на которую он попал, и, если она благоприятная (нет защитного ПО, или же исспользуются версии, средства для обхода которых есть в арсенале вредоносного ПО) тянет за собой основную нагрузку, и устанавливает собственно троян (при этом почти всегда происходит модификация системных файлов и реестра), если же нет - тихо удаляется, чтобы не выдавать очаг распространения заразы.
Возможно где-то ошибся в соотнесении технических и юридических терминов, но вроде примерно так.

Пишет, пишет. Хотя бы для того, чтобы в него было бессмысленно внедрять вредоносный код (читай - скрипты) при помощи всяких там программ типа "ftp checker/iframer". Если веб-страница изначально не содержала скриптов, то заражай-не заражай скриптами - все равно получишь фиг.

Так вот кто тут главный смутьян!

Очень рад, что это именно ИМХО.
В словах "загрузчик трояна - не троян" кроется свидетельство полного непонимания понятия "вредоносная программа". Дело в том, что нельзя приравнивать "троян"="вредоносная программа", помимо троянов к ВП относится еще много чего (те же вирусы). Так что в словах "загрузчик трояна - не троян" кроется полуправда, которая станет правдой при добавлении "но вредоносная программа".

А экзешники они тоже умеют и пароли воровать, и флеш анимацию показывать. Так давайте и экзешники ни в коем случае и ни при каких раскладах не будем считать вредоносными программами. Как такой поворот?

Можно подумать, что администратор не относится к числу людей, имеющих право и возможность манипулировать информацией.

Немножко подытожу по сути заданных мной вопросов.

Насчет нарушения законодательства: пока, кроме ст. 273 УК РФ (при наличии ВСЕХ остальных признаков состава указанного преступления) ничего в голову не приходит. Кого считать субъектом (создателя указанного ПО, владельца сайта, администратора сайта и т.п. ) и при каких условиях?

Насчет российского законодательства, ОБЯЗЫВАЮЩЕГО удалять с сайта вредоносное ПО, пока, как я понимаю, глухо. Опять же вопрос, кто обязан (если такое законодательство есть) удалять? (владелец сайта, владелец информации, администратор сайта, Вася Пупкин :) и т.п.)

Жду ваших ответов...
 

Еще немного информации.
Используемый мной антивирус - антивирус Касперского.
По его классификации найденное мной вредоносное ПО называется (относится к классу) Trojan-Downloader.HTML.IFrame.o

При поиске его описания на http://www.viruslist.com/ru/search?VN=Trojan-Downloader.HTML.IFrame.o&referer=kav Наблюдаем следующую картину: ... /Описания вредоносных программ / Троянские программы / Trojan Downloaders (троянский загрузчик) - каталоги сайта.
Можно сделать вывод о том, что по классификации Касперского Вредоносные программы включают в себя троянские программы. А те в свою очередь включают троянские загрузчики...
Опять же троянские загрузчики - это загрузчики с функциями троянов или загрузчики самих троянов?

Вопросов все больше... :)

Я вот о другом подумкал, а зачем автору топика такая информация? Может это  он закинул трояна на какой-нить сайт и теперь хочет создать проблемм для владельца сайта? Это тоже самое, что подбросить кому-нить пистолет, с которого предварительно кого-нить застрелили.

1.У нас на форуме уже есть одна девушка которая требует деньги с форумчан за свои консультации. Прекращайте эту порочную практику.
2.Николай Николаевич, Вы ведь прекрасно знаете, что никакое постановление, я, по роду своей деятельности, вынести не могу.

А Вы, может быть, являетесь владельцам сайта, на котором лежит троян. И сейчас боитесь, что найдут законный способ Вас наказать...
Давайте не будем здесь углубляться в предположения по поводу мотивов, побудивших меня начать эту тему форума.

В любом случае "топором" можно и дров нарубить, и старуху-проценщицу по голове тюкнуть. Что из этого выбрать, каждый решает для себя сам.

Николай Николаевич! И что Вы докажете тем, что загрузчик трояна - вредоносная программа? Если из квартиры гражданина ведётся огонь по прохожим, это ещё не значит, что стреляет именно этот гражданин. Сайт - он, по определению, "открытая квартира". Более того, если Вам как эксперту задать вопрос: может ли загрузчик быть установлен на сайт не владельцем сайта, Вы вынуждены будете ответить: да, такое возможно.

Большинство пишет на скриптах с использованием БД, имхо (если речь идет о профессиональных сайтах, а не баловстве на народе). Но я лично юзая html по совокупности различных факторов. Естественно, для форумов и прочего интерактива используются скрипты. Но там, где они не нужны, чистый HTML.

Антон прав, только идти лучше сразу в Управление "К".

Всем кто считает, что загрузчик трояна на сайте является вредоносной программой вопрос - Файл autorun.inf является вредоносной программой или нет?

Файл autorun.inf является частью дисковой оболочки, т.е. прогораммы, обслуживающей дисковое меню. Если в ОС стоит опция автоплей, то пользователь, который её установил, знает о том, что вставка диска запустит дисковую оболочку. Если эта опция ставится в винде по умолчанию, то сама винда является вредоносной программой.

autorun.inf например, запускает вредоносные программы - дисковых червей.

Ага, а Аутглюк - почтовых червей когда-то запускал. Уязвимость была связана тоже с каким-то автоматическим запуском. Т.е. штатным элементом программы. Корпорация Майкрософт создаёт и распространяет вредоносные программы?

http://www.nhtcu.ru/stat/stat006.html

Название: Дисковые черви - новое поколение компьютерных вирусов
Автор: Юрин Игорь Юрьевич

Если бы всего год назад меня спросили о том, какой тип компьютерных вирусов сейчас наиболее распространен, опасен и актуален, я бы без раздумий назвал сетевых червей. Все прекрасно помнят большие и малые эпидемии, вызывавшиеся почтовыми червями.

Однако к 2007 году ситуация изменилась коренным образом. Почтовые черви стали встречаться все реже, а их место заняли другие вирусы - распространяющиеся на сменных носителях. Для их именования я предлагаю использовать термин "дисковый червь" (Disk-Worm), поскольку, во-первых, они не заражают существующие файлы, а создают свои собственные, во-вторых, объектами их интересов являются дисковые накопители.

Дисковые черви работают по следующему алгоритму. Впервые запустившись на заражаемом компьютере, они стремятся прочно обосноваться на нем. Для того, чтобы обеспечить себе постоянное присутствие в системе, они копируют себя на всех имеющихся в системе дисках либо в корень диска, либо в папку со стандартным именем, создают в корне диска файл autorun.inf, чтобы обеспечить автозапуск вируса при открытии этого диска средствами "Проводника" ОС Windows. В некоторых случаях вирусы могут прописываться в папки автозапуска или в соответствующие ветки реестра, чтобы получать управление при старте операционной системы, не дожидаясь открытия дисков пользователем.

Все большее количество устройств снабжаются флэш-памятью. Помимо обычных флэш-накопителей, это мобильные телефоны, цифровые фотоаппараты, MP3-плееры, цифровые диктофоны. Все эти устройства подключаются к компьютеру, при этом в системе появляется новый сменный диск. Если компьютер заражен активным дисковым червем, на этот сменный носитель сразу же копируются файлы червя. При подключении зараженного диска к компьютеру, на котором не отключен автозапуск сменных дисковых накопителей, дисковый червь запускается и заражает компьютер.

В настоящее время в России идет настоящая эпидемия дисковых червей. Список лидеров выглядит следующим образом: Trojan.Win32.VB.aqt, Virus.Win32.Perlovga.a, Email-Worm.Win32.VB.cs, Worm.Win32.VB.dz, Virus.VBS.Small.a (имена даны по классификации "Антивируса Касперского").


Trojan.Win32.VB.aqt

Другие названия - TROJ_VB.BDN (Panda Antivirus), Trojan.Recycle (Doctor Web), FakeRecycled (McAfee).

Написан на языке Visial Basic. Известны две версии, имеющие одинаковый размер в 20480 байт, не упакованы. Распространяется с лета 2006 года. Несмотря на префикс названия "Trojan" (по классификации "Антивируса Касперского"), распространяется как вирус. На зараженных компьютерах присутствует в файле с именем "ctfmon.exe" - одноименным с системным файлом ОС Windows, имеющим такую же иконку. При заражении дисков размещает себя в папке "Recycled" с атрибутом "скрытая" (т.е. маскируется под "Корзину"), а в корне диска создает файл "Autorun.inf" (размер 103 или 121 байт). На системном диске файл вируса располагается по адресу "Recycled\Recycled\ctfmon.exe", на других дисках - по адресу "Recycled\ctfmon.exe". В папке "Recycled" также создаются файлы "desktop.ini" (содержит классовый идентификатор, также предназначенный для маскировки под "Корзину") и "INFO2". В файле "Autorun.inf", создаваемом на системном диске, допущена ошибка. Дополнительно файл копируется в папки автозапуска в профилях пользователей. Также запуск вирусного файла осуществляется при обращении к расшаренному зараженному диску по сети. Визуально присутствие вируса определяется по невозможности открыть из "Проводника" диски (выдается сообщение "отказано в доступе"), в контекстном меню дисков появляется пункт "Open(0)", который установлен как действие по умолчанию при двойном щелчке мышью на диске.


Virus.Win32.Perlovga.a

Имеет размер 1211 байт, упакован MEW. Распространяется с весны 2006 года. На зараженных компьютерах присутствует в файле с именем "copy.exe" в корне диска, там же создает файл autorun.inf. Другие создаваемые файлы: host.exe (Trojan-Dropper.Win32.Small.apl) в корне диска, svchost.exe (Trojan-Dropper.Win32.Small.apl) и xcopy.exe (Virus.Win32.Perlovga.a) в папке ОС Windows, temp1.exe (Virus.Win32.Perlovga.b) и temp2.exe (Backdoor.Win32.Small.lo) в папке system32 в папке ОС Windows.

Trojan-Dropper.Win32.Small.apl имеет размер 70207 байт, внутри содержит два файла, детектирующиеся как Virus.Win32.Perlovga.b (имеет размер 35350 байт, упакован MEW) и Backdoor.Win32.Small.lo (имеет размер 2085 байт, не упакован, содержит внутри адрес "hnmy.3322.org", при компиляции на компьютере автора троянской программы располагался в папке F:\ftp и имел первоначальное название ftp.exe).

Визуально присутствие вируса определяется по тому, что в контекстном меню дисков появляется пункт "Autoplay", который установлен как действие по умолчанию при двойном щелчке мышью на диске.


Email-Worm.Win32.VB.cs

Написан на Visual Basic, упакован UPX 1.93, имеет размер 19456 байт. На момент составления описания не детектировался антивирусами, с конца марта 2007 года начал детектироваться "Антивирусом Касперского". Помимо функций дискового червя размножается как обычный компаньон-вирус. Несмотря на префикс названия "Email-Worm" (по классификации "Антивируса Касперского"), по электронной почте рассылает только ссылку на файл в сети Интернет.

Содержит текстовые строки:
This code by =M.Schmitt= i.BooM \ Version ED \
http://upload.caxapa.ru/archive.zip
http://Sitelong.narod.ru/archive.zip
D:\документы\26.04.2006\BAd Proj\SCHM\SCHM.e_\Project1.vbp
ot02_88@mail.ru

Деструктивные проявления:

В файлы doc, xls, rtf - записывает текст " ICQ: 409348016 Email: valeriys85@rambler.ru ", тем самым уничтожая документы.

В файлы jpg выборочно записывает bmp-картинку, представляющую собой белый квадрат размером 11x11 точек (содержит ее в собственном теле).

В файлы htm, html добавляет текст "A href="http://upload.caxapa.ru/archive.zip"> Посмотреть фото презентацию молодой девушки (+18)".

Записывает себя вместо exe-файлов, исходные файлы переименовывает в .dll с атрибутами Hidden. Не заражает файлы в папках "Program Files\Common Files", "WINDOWS", "WINNT".

Свое тело хранит в файлах:
С:\Media.scr (аналогично - в корне других дисков)
С:\Flashfoto.pif (аналогично - в корне других дисков)
С:\WINDOWS\system32\Windrv16\services.exe
C:\WINDOWS\system32\spool\svсhоst.exe (с и о - русские буквы)
C:\WINDOWS\system32\config\smss.exe (атрибут файла - Hidden)
C:\WINDOWS\system32\сtfmоn.exe (с и о - русские буквы, атрибут файла - Hidden, дата файла - 11.11.2003)
C:\WINDOWS\system32\SYSТЕM15.exe (Т и Е - русские буквы, дата файла - 04.08.2003)
Создает в корне дисков файл CDburn.exe и autorun.inf, в последний прописывает в секцию [autorun] строчку "open=CDburn.exe".

Использует файлы:
C:\WINDOWS\system32\sysrotdmo.sys (дата файла - 19.03.2000)
C:\WINDOWS\system32\msador15.dll (атрибут файла - Hidden, дата файла - 11.02.2000, содержит список почтовых адресов для рассылки спама)
msagor15.sys
Setup.scr

Изменяет ветки реестра:
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer

Рассылает себя по электронной почте пользователям mail.ru, inbox.ru, bk.ru, list.ru.
Темы и тексты писем (вместо @ стоит ссылка на archive.zip):
отчеты
вот, нашёл @ тут все отчёты, когда сможешь позванить?
для рассылки
Вот ссылка @ , незнаю видимо не туда послалась:))) приятного пользования.
ссылка
Игорёха, вот @ ссылка)) ..регистрационный ключ программы: 538DE-GT16K-510BC-337HD как приедешь в питер позвани...и ещё тебе привет от Машки.
документы
а что он просил? тут все отчёты, описания, документы вот @ ссылка, только описания без рисунков..если нужны эскизы напиши
тёлки
лёха посмотри презентацию..как тебе тёлочки??? отпишись когда домой собираешься. @ презентация
Саньку
Евгений идиот))
санёк, посмотри программку как тебя тёлочки?? @ ссылка )))))) позвани как сможешь. Привет от Насти
Re:Re: ZIP архив
не посылается по мылу, даю тебе ссылкой @ ссылка
люблю тебя)) скучаю очень
надеюсь понравится. даша
антохе
Здарова антоха, как и обещал даю ссылку на Вещь ;) @
Анютке
вот сонц ))) @
вот
Жека посмотри тока не говари что это не она.. @ archive.zip ...позвани когда приедешь в Москву :)

На адрес ot02_88@mail.ru отправляет письмо, содержащее следующие строки:
Зомби машина
Имя компьютера:
Имя пользователя:
\ED\

Противодействует запущенным программам NOD32, Kaspersky (AVP), Outpost, Regedit.


Worm.Win32.VB.dz (дополнение от 10.05.2007)

Написан на Visual Basic, упакован UPX 2.01, имеет размер 10240 байт. На зараженных компьютерах присутствует в файле с именем "desktop.exe" (имеет атрибуты - Hidden, System, оригинальное имя афйла - "USB.exe") в корне диска. Также носит с собой файл "folder.exe" (имеет атрибуты - Hidden, System, размер 124688 байт), который является переименованным файлов Microsoft Winsock OCX. В корне диска создает файл "Autorun.inf" вида:

[AutoRun]
shell=verb1
shell\verb1\command=desktop.exe
shell\verb1=??(&O)
shell=Auto
Создает файлы boothide.reg вида:
REGEDIT4
[HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:0
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:2
"SuperHidden"=dword:1
"ShowSuperHidden"=dword:0
и bootrun.reg вида:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="userinit.exe,имя червя
и вносит их содержимое в реестр при помощи стандартной программы regedit.exe.
Также использует в своей работе файлы desktop2.exe, USB2.exe, svchost\svchost.exe, svchost.ini, wuauserv.exe.

Известны и другие версии этого червя, например использующие имя файла "Flash.exe" и "Thumbs.dn\1.{3aea-1069-a2de-08002b30309d}\Thumbs.bat".


Virus.VBS.Small.a (дополнение от 10.05.2007)

Написан на скриптовых языках, состоит из нескольких файлов, имеющих атрибуты System Hidden.
Файл autorun.bat вносит в реестр записи из файла autorun.reg при помощи стандартной программы regedit.exe, благодаря которым обеспечивает себе автозапуск из ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, а также блокирует показ скрытых файлов в свойствах Проводника. Запускает файлы с именем autorun.vbs из текущей папки и папки system32 операционной системы. Также использует файлы с именами autorun.bin и c:\autorun.txt.
Файлы autorun.inf и autorun.wsh обеспечивают запуск файла autorun.vbs при открытии диска.


Что делать?

Заражение дисковыми червями гораздо проще предотвратить, чем лечить. Для профилактики необходимо отключить автозапуск сменных дисковых накопителей. С этой целью можно удалить раздел реестра HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 например с помощью команды
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 /f

[23.04.2007, дополнение от 10.05.2007]

Из статьи я понял так, что там файл autorun.inf создаёт сама вредоносная программа. Так что он - её порождение, поэтому в данном случае сам является вредоносным файлом.

Если autorun.inf порождение диавола давайте всем лотошникам навесим 273, так как практически на каждом CD  он присутствует.

Я как пользователь ОС Linux с выводом полностью согласен, даже если бы эта опция не ставилась по умолчанию )) (хотя доказательства этого обычно приводятся не такие абсурдные:)).
Igor Michailov Я похоже понял вашу мысль, попробую объяснить. Возьмем обычный кухонный нож, которым там морковку режут или хлеб - сам по себе он оружием не является. Но если этот нож примотать изолентой к швабре то может получиться неплохое оружие для ближнего боя. Тем не менее ни нож ни швабру дома держать не возбраняется. А теперь представим что у нас дома стоит швабра но без моющей части - просто палка с пазом чтобы вставить туда штык-нож(на ней даже надпись сделана "Нож вставлять сюда"), и сам нож у нас без режущей, но с колющей  частью, то есть хлеб уже не порежешь. Первоначальный функционал этих предметов утерян, но тем не менее можно сказать что у нас получилось неплохая пика или копье.
Буквально полчаса назад записал одной тете диск. А так как тетя может попутать кнопки finish и cancel, написал батник со всеми настройками и всунул его в autorun.inf. По моему мнению в данном случае autorun.inf вирусом не является - его фунционал легко виден из его содержимого.
Обратный пример - самоходный вирус на флэшке. То же  autorun.inf, но вместе с экзешником который он запускает образуют вирус. Мирных вариантов применения этого авторана без его изменений я не вижу, поэтому склонен считать его частью составной вредоносной программы.
Попробую разобраться со скриптами. Около полугода назад на одном сайте нашелся ифреймер и я попросил знакомого веб-программиста поковырять его код: http://blekel.ru/sys/brainfuck (http://blekel.ru/sys/brainfuck). Тут технической мороки немного больше, но я бы в конечном итоге утверждал что этот код является частью вредоносной программы (другая часть находится на сервере который указан в расшифровке кода). Если вы сумеете вставить исходный код этого ифреймера скажем к себе на сайт, так чтобы он например просто крутил флешовые банеры, я соглашусь что этот скрипт не является вредоносной программой.

А каким образом ты докажешь что данный Autorun.inf был создан именно этой программой? В самой Windows нет такого уровня журналирования, который показывает что, где и когда определённая программа обращалась/создавала данный файл.

Не любой авторан, а каждый конкретный авторан надо смотреть. Авторан, запускающий червя - вредоносный. Авторан, не запускающий червей - не вредоносный. Загрузчик трояна - вредоносный. Поскольку он создан под данный троян. Загрузчик того-что-дадут - не вредосносный. Поскольку он создан для правомерных целей.

1 вариант. По негативному результату его работы.
2 вариант. Определю по системным следам действие, приведшее к его созданию.
3 вариант. По его содержанию (если там есть).
4 вариант. Никак не докажу, но отсутствие доказательств не делает часть вредоносной программы невредоносной. Это как если револьвер разбить и выбросить по частям в разных местах города: если всё не собрать - фиг докажешь, что оружие. Но ведь всё равно оружие!

Делаем скрипт - загрузчик файла имя.exe. На стороннем сайте по четным числам выкладываем под названием имя.exe  вредоносную программу, по нечетным -флеш-анимацию. Т.е. по Вашему получается, что по четным числам такой загрузчик будет вредоносной программой, а по нечетным не будет?

Это какой-то двуликий янус получается )

Почему Вы не хотите признать очевидный факт: такой загрузчик не является вредоносной программой.

Интересно если вредоносная  программа порождает набор бессвязных символов - они тоже  являются вредоносной программой?

Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ


1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами -

наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.

Мы имеем РАСПРОСТРАНЕНИЕ ПРОГРАММЫ ДЛЯ ЭВМ, ЗАВЕДОМО ПРИВОДЯЩЕЙ К НЕСАНКЦИОНИРОВАННОМУ КОПИРОВАНИЮ И МОДИФИКАЦИИ ИНФОРМАЦИИ.

Вопрос считать ли программу для ЭВМ информацией детально изложен на http://skte.narod.ru/lib017.htm

Да, такое возможно. Я вам более того скажу. Загрузчики троянов и другие вредоносные программы в подавляющем большинстве случаев появляются на веб-сайтах вопреки воле сайтовладельцев.


Вот это суждение ближе всего к истине. Только критерием является не "правомерность целей", а санкционированность действий над информацией или информационной системой.

Таки да. Производит. Сам процесс загрузки трояна на компьютер является копированием и одновременно - модификацией компьютерной информации. Объектный код программы - это вполне себе компьютерная информация. Если вы станете отрицать этот факт, боюсь, с вами не согласится вообще никто в данном форуме. А модифицируется при этом такая информация, как файловая система и реестр.

Опять ошибаетесь. Нарушением работы информационной системы признаётся не только её полная остановка. Инсталляция троянской программы, которая не предусмотрена проектом ИС и не желанна оператором ИС - это вполне себе нарушение работы.


Ответ в виде контрвопроса: program.exe является ли вредоносной программой?

Поздравляю, Игорь Юрьевич! Вы придумали парадокс, сопоставимый с "котом Шрёдингера". Назовём его "понечётный парадокс Михайлова".

Я буду над ним думать. Но, тем не менее, реально встречающиеся в природе загрузчики вирусов и троянов все как один будут признаны вредоносными.

Контрвопрос: программа-загрузчик NTLDR выполняющий загрузку/инициализацию ОС Windows NT 5.x - является частью операционной системы?

Это мой сайт. ;)
Вообще-то статья старовата. Начнем с того, что там рассматриваются старые законодательные акты (без учета новых). В качестве примера в статье рассматривается ОС ... Windows 95. Много ли пользователей работают в этой операционной системе сейчас?

Тут Вы не правы. У меня были случаи заражения сайта подобными скриптами. Так вот, статичные html  страницы заражались наряду с динамичными. Их ведь скрипт заражает а не человек вручную добавляет.
Хотелось бы чтобы Вы озвучили примеры крупных, современных российских порталов написанных на статике. Неужели mail.ru, yandex.ru, Rambler в их числе?

Согласен статья старовата. Позиция о том, что программа для ЭВМ имеет двойственную природу и вполне может считаться информацией изложена, например, в Комментарии к Уголовному кодексу Российской Федерации под ред. В. И. Радченко, А. С. Михлина - довольно таки авторитетно и свежо. :)

Товарищи форумчане!!!
Продолжается прием ваших ответов на заданные мной в теме вопросы... Не стесняйтесь. ;)

Мобильный телефон является оружием? Или взрывным устройством? Просьба сначала ответить, потом читать следующую строчку постинга.
Мобильный телефон - излюбленное средство наёмных убийц. Используется для подачи сигнала на взрыватель собственно адской машинки. Сам телефон - ОБЫЧНЫЙ телефон. По нему можно звонить. Если его изъять (а именно он находится в руках у киллера в момент преступления), то никакая экспертиза не признает его средством преступления без дополнительных данных. Более того, я читал про случай, когда человек нашёл в лифте мобильный телефон, взял его и позвонил (видимо, проверил работу). И следом раздался взрыв (не помню, где находилось взрывное устройство и постардал ли невольный инициатор взрыва). Мобильник, судя по всему, бросил киллер, которого ранее кто-то вспугнул.
Вопрос: является ли мобильник частью взрывного устройства при подобных обстоятельствах?

Очевидные вещи доказывать сложнее всего. Я там выше писал про нож,швабру и функционал. К счастью, большинство загрузчиков троянов имеют ряд характерных признаков, в том числе по которым их заносят в свои базы антивирусные производители, и не несут в себе ничего конструктивного. Это позволяет однозначно сказать что произойдет после его запуска. Тем не менее я не утверждаю что загрузчик трояна всегда является вредоносной программой, пример - https://bugzilla.mozilla.org/show_bug.cgi?id=432406. У мозиллы есть свой автоапдейтер который на протяжении двух месяцев, честно ставил вьетнамским пользователям зараженный языковой пакет. Но утверждать что автоапдейтер - редиска потомучто накачал полное лукошко вирусов я бы не стал.

Естественно, в приведённом мною примере, если изъять только мобильник, и не доказать, что он является средством для инициации взрывателя адской машинки, то он не будет признан "вредоносным". И гражданин, застуканный с ним в руках, избежит ответственности. За недоказанное преступление ответственности в правовом государстве не бывает. Но разве недоказанное преступление - это отсуствие преступления? Разве недоказанность причинно-следственной связи мобильника и адской машинки делает ЭТОТ мобильник "не средством преступления"? Истина в том, что ЭТОТ мобильник является средством преступления, поскольку само событие преступления является истинным, хотя и не доказанным.

ЗЫ Киллер вполне может работать в режиме "сутки через сутки", т.е. по нечётным работать, а по чётным отдыхать, болтая по телефону с друзьями.

Я свой ответ писал, исходя из того, что пользователь зашел на сайт, получил к себе на компьютер вирус и проблем/ущерб. Дальше он обращается в правоохранительные органы (а там по-моему умников не особо любят) и они разберутся во всем сами, кто и в чем виноват. То есть не должна голова болеть у дятла, если для решения этой проблемы существуют великие профессионалы - защитники конституционных прав граждан.

Вы говорите об орудии  преступления. А мы в данной ветке обсуждаем является ли  скрипт на сайте вредоносной программой.  Не чувствуете разницы? Убить можно и молотком, однако это не означает что все молотки являются холодным оружием. Несомненно, скрипт участвует в загрузке кода вредоносной программы. Но делает ли это его вредоносным? Например браузер тоже участвует в загрузке и запуске кода вредоносной программы. Однако пока еще никто не додумался из-за этого признать браузер, например Internet Explorer,  вредоносной программой.

Согласно разъяснений, данных уважаемым ННФ (http://forensics.ru/ras_tolkovanie.html)
"Вредоносность, очевидно, есть свойство самой программы, не зависящее от знаний о ней каких-либо лиц. В противном случае получится, что действия лица квалифицируются в зависимости от свойства программы, которое, в свою очередь, зависит от действий этого же лица.

То есть, вредоносность программы – это её объективное свойство.".
Никто не сомневается во вредоносности вируса Чернобыль. Однако, во вредоносности скрипта который по сути может выполнить всего два действия (загрузить и запустить) лично у меня возникают большие сомнения. Так как подобных скриптов, для разных целей (причем отнюдь не для загрузки вредоносных программ), используются многие сотни тысяч (если не миллионов).

Э-э-э, батенька. Изначально речь шла о загрузчике трояна, который, в отличие от универсального загрузчика, является программой узкоспециализированной.

На сайте касперского
http://www.viruslist.com/ru/viruses/encyclopedia?chapter=156769330#trojan-down
дается такое общее описание рассматриваемого семейства скриптов:
"Trojan-Downloader — доставка прочих вредоносных программ

Троянские программы этого класса предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются «троянцем» на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя."

Заметьте что именно в данном фрагменте текста специалисты лаборатории Касперского заключают слово - троянец в кавычки (хотя в других местах они себя этим не утруждают). На мой взгляд, при составлении данного описания,   вместо  терминов  "троянец" и "вредоносное ПО", правильнее было бы использовать термин нежелательное ПО. К нежелательному ПО, кстати в том числе относят рекламные системы.

Нежелательное ПО не равно вредоносному ПО. Поэтому данный конкретный скрипт нельзя отнести к вредоносным программам.

С первым предложением я согласен. Нежелательное не всегда есть вредоносное. Однако во втором своём утверждении многоуважаемый оппонент ошибается.

Берусь утверждать, что данный конкретный скрипт Trojan-Downloader.HTML.IFrame.o является вредоносной программой (в юридическом смысле этого термина) и предлагаю пари.

Ставки принимаются?

Хе-хе.
Н.Н.Федотов, С.А.Середа Расширительное толкование терминов «вредоносная программа» и «неправомерный доступ»
"...вредоносность программы – это её объективное свойство."


Уважаемый Николай Николаевич, доложите общественности в каком месте Вы врете: когда утверждаете, что вредоносность - это юридическое понятие или когда утверждаете, что вредоносность - это техническое понятие? Или Ваше мнение зависит от предложенной Вам суммы денег?

А вот не надо необдуманно применять обидные слова. Лучше делайте вашу ставку.

Я всегда утверждал, что вредоносность - это понятие техническое, поскольку все признаки, перечисленные в определении, суть технические.

Можно услышать ваше определение "нежелательного ПО"? Желательно без привязки к конкретному антивирусному вендору и его классификации. Так чтобы посмотрев на него и на размытое определение вредоносного ПО данное в УК стало ясно - данный ифреймер вовсе не вредоносная программа, а всего лишь нежелательная.
По моему мнению такие скользкие термины как "нежелательное" или "потенциально опасное" ПО - вынужденная мера, когда отсутствует необходимый признак вредоносности. Пример: BitAccelerator - по техническим признакам это троян-шпион. Но тотже касперский раньше (не знаю как сейчас) классифицировал его именно как "нежелательное или потенциально опасное" ПО по одной причине - он перед установкой честно предупреждает что он делает (хотя те кто его ставили врядли читают EULA). Таким образом у него отсутствует такой критерий как несанкционированность - все его действия происходят с разрешения пользователя.

Очевидно это и есть молоток ;)) Согласно Спецификации HTML 4.0 (Рекомендации W3C 18 декабря 1998 года):

2.3.6 Скрипты
С помощью скриптов авторы могут создавать динамичные Web-страницы (например, "интеллектуальные формы", изменяющиеся по мере заполнения их пользователем) и использовать HTML как средство построения сетевых приложений.
Механизмы, обеспечивающие включение скриптов в документы HTML, не зависят от языка скриптов.


Т.о. - типичное орудие, посредством которого "внедряется" вредоносное ПО. А поскольку собственность обязывает(ст. 11 Конституции РФ), вполне уместно говорить если не об умышленной, то о неосторожной форме вины  8) Теоретически.

Состав по ст. 273 УК РФ - формальный. Доказывать наличие умысла у субъекта - зачем создавал, вносил изменение, использовал либо распространял любыми способами, в т.ч. на машинных носителях - не нужно.  8)

Спасибо за уточнение 8) Имелось ввиду, пойдет ли владелец сайта по этой статье или по 168-ой, например 8) Дело за экспертами

Прикольно. Интересно, как эксперты могут определить умышленность совершенных действий?

Ну набрал человек на компьютере явку с повинной. Это вовсе не означает что он совершил преступление. Может ему в то время пока он набирал текст явки с повинной у виска пистолет взведенный держали.

Позвольте, а собственность то чья?
Доменное имя? Все доменные имена принадлежат регистраторам. Хостинг? Как правило, хостинг арендуется. Каналы связи? Они тоже, как правило, находятся в аренде.

"Ты вообще живешь на свете по доверенности! Ничего у тебя нет. Ты - голодранец!" (С) х/ф "Берегись автомобиля".

Может у нас с Вами разные Конституции? У меня такая:
Конституция РФ:
"...
Статья 11

1. Государственную власть в Российской Федерации осуществляют Президент Российской Федерации, Федеральное Собрание (Совет Федерации и Государственная Дума), Правительство Российской Федерации, суды Российской Федерации.

2. Государственную власть в субъектах Российской Федерации осуществляют образуемые ими органы государственной власти.

3. Разграничение предметов ведения и полномочий между органами государственной власти Российской Федерации и органами государственной власти субъектов Российской Федерации осуществляется настоящей Конституцией, Федеративным и иными договорами о разграничении предметов ведения и полномочий..."

1. Это уж по субъектам - кого привлекут ;))  А что собственность, что владение - не имеет значения 8)
2. тут спасибо отдельное. Это из Основ Чешской Республики по ошибке. Подобная норма есть и в Украине. При рассмотрении в Конституции РФ действительно не нашел, кроме ч. 3 ст. 17  8)