Распространение вредоносных программ
Обстоятельства, подлежащие установлению:
факт распространения вредоносной программы для ЭВМ;
предназначение вредоносной программы;
источник происхождения данной программы у распространявшего ее лица;
личность создателя вредоносной программы;
осведомленность лица, распространяющего программу, о ее вредоносных свойствах;
наличие умысла на распространение данной программы;
размер материального ущерба;
мотив и цель распространения вредоносной программы;
причины и условия, способствующие совершению преступления.
Особенности расследования распространения вредоносных программ рассмотрим на следующем примере: В сентябре 1999 г. Б., устроившись продавцом компьютерных компакт-дисков в торговый павильон перед станцией метро «ВДНХ» (г. Москва), продал компьютерный компакт-диск «Хакер-2000», содержащий программы для ЭВМ, заведомо приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети[1].
Основными доказательствами, полученными в ходе расследования данного дела являлись[1]:
рапорт оперативного уполномоченного управления «Р» МВД РФ, из которого следует, в ходе контрольной закупки гражданин М. за 60 рублей приобрел у гражданина Б. компьютерный диск «Хакер-2000», на котором, как пояснил Б. находятся программы, предназначенные для взлома компьютерных сетей и бесплатного пользования сетью Интернет с использованием чужих реквизитов и паролей;
акт контрольной закупки, в котором зафиксирован факт изъятия у Б. компьютерных компакт-дисков «Хакер-2000»;
протокол допроса свидетеля М, показавшего, что он был приглашен сотрудниками милиции в качестве покупателя для проведения контрольной закупки вредоносных программ для ЭВМ, для чего он обратился к продавцу торгового павильона, расположенного перед станцией метро «ВДНХ» (г. Москва), оказавшемуся впоследствии Б., с просьбой показать ему компакт-диск «Хакер-2000» и пояснить, что он дает, на что Б. ответил, что программы на данном диске дают возможность бесплатного пользования сетью Интернет, а также на нем имеются программы-взломщики, после чего М. приобрел данный диск за 60 рублей;
протоколы допросов свидетелей А и В, показавших, что они были приглашены в качестве присутствующих при проведении контрольной закупки компьютерных компакт-дисков, содержащих вредоносные программы для ЭВМ, после объявления которой в ходе осмотра торгового павильона перед станцией метро «ВДНХ» (г. Москва) были обнаружены еще 6 компакт-дисков «Шпионские штучки часть 2» и два компакт-диска «Хакер-2000», которые были изъяты, упакованы в полиэтиленовые пакеты, прошитые белой нитью, концы которой скреплены печатью № 1 МВД РФ и подписаны участниками контрольной закупки;
протокол осмотра вещественных доказательств - дисков, изъятых у Б. в ходе контрольной закупки;
заключение программно-технической экспертизы, из выводов которой следует, что представленные эксперту диски являются машинными носителями для ЭВМ и некоторые из содержащихся в предоставленных на экспертизу дисков программ вредоносны для ЭВМ;
протокол допроса эксперта, показавшего, что вредоносными являются все программы, находящиеся на диске «Хакер-2000» и «Шпионские штучки часть 2»;
протокол допроса обвиняемого Б., в котором он признал свою вину.
Наибольшую сложность для расследования представляет совершение преступления в условиях неочевидности, то есть расследование в четвертой из обозначенных в начале параграфа следственных ситуаций. Здесь основными направлениями расследования должны быть:
прекращение противоправной деятельности;
выяснение механизма преступления и уточнение отдельных его обстоятельств;
установление лица, распространяющего вредоносную программу;
получение сведений о личности потерпевших;
установление суммы материального ущерба;
сбор доказательств о причастности установленного лица к каждым выявленным эпизодам преступной деятельности;
выяснение причин и условий, способствовавших совершению преступления[1];
получение характеризующего личность обвиняемого материала.
Примером удачного расследования уголовного дела названной категории может служить уголовное дело, расследованное Главным следственным управлением при ГУВД Свердловской области[1].
В марте 1999 г. Б. заключил договор абонентского обслуживания с предприятием, осуществляющем предоставление услуг по доступу к информационной сети Интернет (провайдером), согласно которому Б. был предоставлен доступ в сеть Интернет, электронный почтовый ящик и возможность открыть персональную страницу на сервере провайдера.
В апреле 1999 г. Б. с одного из серверов сети Интернет переписал на жесткий диск своего персонального компьютера программу scfg.exe, которая позволяла создать и настроить вредоносную программу типа «троянский конь» на адрес электронного почтового ящика Б. При переносе и запуске данной программы другими пользователями сети Интернет, она производила незаметную для пользователя незаконную пересылку электронного сообщения на адрес электронного почтового ящика Б., содержащего в себе регистрационные данные (имя, пароль, телефонный номер) данного пользователя сети Интернет.
Указанную программу Б. поместил на свою персональную страницу, в результате чего она стала доступной для неограниченного числа пользователей. В пояснении к этой программе на своей персональной странице для маскировки своих преступных намерений Б. указал - «Данная программа выявляет в реестре наличие всяких «лажовых» ссылок и «багов» - хотя на самом деле эта программа таких действий не производила и не могла произвести.
Таким образом, Б. создал программу - «агента», позволявшую ему получать регистрационные данные законных пользователей, используя которые у него появилась возможность входить в сеть Интернет под чужим именем и за чужой счет. Те пользователи, которые получив доступ к персональной странице Б. переписывали и запускали созданную им программу, не желая того сообщали ему свои регистрационные данные.
Указанным способом Б. незаконно получил регистрационные данные как минимум, одного пользователя - жителя Ростова-на-Дону К.
Расследование данного дела осуществлялось следующим образом.
получение заявления и проведение допроса директора фирмы-провайдера о обнаружении на персональной странице Б. вредоносной программы типа «троянский конь», с помощью которой можно несанкционированный доступ к компьютерной информации других пользователей сети Интернет, после чего Б. был закрыт доступ к своему электронному почтовому ящику и персональной странице;
проведение допроса ведущего специалиста фирмы-провайдера, показавшего, что на имя сетевого администратора в электронный почтовый ящик поступило сообщение от одного из пользователей сети Интернет о том, что на странице с адресом WWW.Users/ru:8081/~kief, оказавшейся в последствии персональной страницей Б., находится файл типа «троянский конь». Проверкой антивирусной программой установлено, что данный файл заражен вредоносной программой Trojan.PSW.Stealth.c, запуск данного файла приводит к несанкционированному пользователем отправлению электронного почтового сообщения в адрес электронного почтового ящика Б., содержащего регистрационные данные пользователей сети Интернет;
выемка журнала регистрации работы абонента Б. (распечаткой лог-файла, ведущегося на сервере фирмы-провайдера), из которого видно, что 30 апреля в 7 часов 27 мин. Б. переписал на свою персональную страницу файл, как выяснилось, впоследствии зараженный вредоносной программой;
проведение осмотра и выемки почтово-телеграфной корреспонденции, содержащейся в электронном почтовом ящике Б., в ходе которой установлено, что в нем находится 11 сообщений, поступивших с 30.04.99 по 1.05.99.
назначение и получение заключения программно-технической экспертизы, согласно которому 4 почтовых сообщения содержат в себе регистрационные данные для подключения к сети Интернет. Получение данных сообщений является результатом запуска программ, установленных на компьютере пользователя, настроенных на отправление регистрационных данных в адрес электронного почтового ящика Б.
проведение обыска по месту жительства Б., в ходе которого изъяты системный блок персонального компьютера и 13 накопителей на гибких магнитных дисках (дискетах);
проведение осмотра изъятых в ходе обыска по месту жительства Б. дискет, в ходе которого они были проверены на наличие на них вредоносных программ, и на одной из них было установлено наличие вредоносной программы Trojan.PSWStelth.a;
назначение программно-технической экспертизы, подтвердившей, что программный код, идентифицируемый антивирусной программой как Trojan.PSWStelth.с содержится на дискете, изъятой в ходе обыска по месту жительства Б. в файле SCFG.exe. Данный файл является исполняемым программными продуктом и предназначен для создания и настройки вредоносной программы типа «троянский конь». В качестве параметров настройки используются адрес электронной почты, псевдоним и будущее имя троянской программы;
назначение программно-технической экспертизы, в ходе которого установлено, что на компьютере Б. имеются все необходимые программные средства для доступа в информационную сеть Интернет;
осуществление выемки программного обеспечения, содержащегося на персональной странице Б. на сервере фирмы провайдера, в ходе которой с персональной странице Б. был изъят файл, в котором в ходе антивирусной проверки обнаружена программа Trojan PSWStelth.с;
назначение программно-технической экспертизы, установившей, что файл, изъятый с персональной страницы Б. является вредоносной программой, настроенной на несанкционированную передачу регистрационных данных о пользователе данного компьютера на электронный почтовый ящик Б., уведомление пользователей о вредоносном действии программы при ее функционировании не производится. Кроме того, экспертами сделан вывод, что содержимое файла, находящегося на обнаруженной в ходе обыска по месту жительства Б. дискете идентично содержимому файла, получающегося при выполнении программы scfg.exe, находящейся на той же дискете;
проведение следственного эксперимента, в ходе которого были подтверждены следующие факты: наличия на персональной странице Б. файла - «троянского коня», возможности получения другими пользователями сети Интернет доступа к персональной странице Б. и копирования файлов, содержащихся на ней,
По совокупности собранных доказательств Б. было предъявлено обвинение в совершении преступления, предусмотренного ч.1 ст. 273 УК РФ.