§ 2. Первоначальный этап расследования создания, использования и распространения вредоносных программ

Ход расследования создания, использования и распространения вредоносных программ для ЭВМ определяется исходной следственной ситуацией. В зависимости от того, что является поводом для возбуждения уголовного дела, возможны следующие следственные ситуации:

Непосредственное обнаружение органом дознания признаков состава преступления (характерно для дел о сбыте машинных носителей информа­ции с вредоносными программами).

Наличие заявления о причинении ущерба действием вредоносных программ или изменении уже существующих программ, известно лицо, осуществившее противоправные действия (характерно для дел, связанных с "заражением" компьютерными вирусами или вредоносными программами ЭВМ лицами, ранее состоявшими в трудовых отношениях с потерпевшим).

Имеются сведения от потерпевших о результатах действия вредоно­сных программ, однако лицо, их создавшее и использовавшее, не установле­но (характерно для дел о «заражении» компьютерными вирусами или вредоносными программами одновременно значительного количества ЭВМ).

Сведения о распространении вредоносных программ поступили в правоохранительные органы от третьих лиц, известны отдельные обстоя­ тельства их распространения, однако не известно лицо, их использующее (характерно для дел о длящихся и продолжаемых преступлениях, связанных с распространением в компьютерных сетях общего пользования вредоносных программ типа «троянский конь», то есть осуществляющих незаплани­рованные для их приобретателя функции, в том числе и связанные с незаконным получением информации, относящейся к личной или коммер­ческой тайнам).

Как уже было рассмотрено нами в главе 1 настоящей работы, статья 273 УК РФ фактически предусматривает ответственность за совершение трех составов преступлений: 1) создание; 2) использование вредоносных программ для ЭВМ; 3) распространение. Рассмотрим особенности расследования данных преступлений более подробно.

Создание вредоносных программ

При расследовании создания вредоносных программ для ЭВМ подлежат установлению следующие обстоятельства:

факт создания вредоносной программы для ЭВМ;

способ создания вредоносной программы;

ее предназначение и механизм действия;

место, время создания, используемое для этого программное обеспечение и компьютерная техника;

личность создателя вредоносной программы;

цель и мотив создания программы;

наличие или отсутствие умысла на использование и распространение данной программы;

размер материального ущерба;

причины и условия, способствующие совершению преступления.

Вредоносная программа, как правило, обнаруживается в момент, когда уже явно проявляются последствия ее применения. Вместе с тем она может быть обнаружена и на машинных носителях информации, в частности путем изучения информации обложки компакт-диска. Кроме того, выявляется она также в процессе антивирусной проверки, производимой пользователем компьютерной системы перед началом работы на компьютере, особенно часто практикуемой при использовании чужих машинных носителей или получении электронной почты.

Примером создания вредоносной программы без ее использования может служить следующее дело: С. в период августа-сентября 1998 г. с использованием средства разработки «Delphi» создал вредоносную программу «Win$py», которая работает в среде ОС Windows 95/98, предназначенную для перехвата паролей пользователя (без ведома последнего). Перехва­ченные пароли автоматически отправляются (копируются) указанной программой через компьютерную сеть Интернет на адрес электронной почты автора программы либо любого другого лица, чей электронный адрес он указал. Затем он разместил рекламу данной программы в сети Интернет, в результате чего был задержан с поличным при попытке реализовать дискету с названной программой за 200 долларов США.

Использование вредоносных программ

Обстоятельства, подлежащие установлению:

источник происхождения вредоносной программы;

личность ее создателя;

факт использования вредоносной программы для ЭВМ;

наличие вредоносных последствий, размер материального ущерба;

предназначение вредоносной программы и механизм ее действия;

причинная связь между использованием данной программы и наступив­шими вредоносными последствиями;

источник происхождения данной программы у использовавшего ее лица, кто ее создатель;

осведомленность лица, использовавшего программу, о ее вредоносных свойствах;

наличие умысла на использование данной программы;

мотив и цель использования вредоносной программы;

причины и условия, способствующие совершению преступления.

Основные направления использования вредоносных программ для ЭВМ рассмотрим на следующем примере: С., работая программистом предприятия электрических и тепловых сетей, имея доступ к компьютеру «Пентиум-100» абонентского отдела, с корыстной целью, 24 февраля 1999 г. умышленно внес изменения в существующую на предприятии компьютерную программу «Тепло-частный сектор» путем замены функций, выполняющихся при выборе пунктов меню программы. При попытке выполнения опре­деленных пунктов меню на экране компьютера появлялась рамка с надписью, что по вопросам экаплуатации программы надо обращаться к С., что привело к несанкционированному блокированию компьютерной программы «Тепло-частный сектор», нарушена работа ЭВМ, предприятию электросетей причинен материальный ущерб на сумму 42 тысячи рублей.

Расследование осуществлялось по следующим направлениям:

получение заявления директора предприятия теплосетей с просьбой при­влечь к уголовной ответственности С. за блокирование программы компьютера;

проведение осмотра места происшествия, из которого усматривается, что в абонентском отделе предприятия теплосетей не может быть запущена программа "Тепло-частный сектор";

осуществление выемки системного блока компьютера «Пентиум-100» и руководства по пользованию программой «Тепло-частный сектор»;

проведение осмотра системного блока компьютера «Пентиум 100», из которого усматривается, что на его жестком диске находится программа «Тепло-частный сектор»;

установление и допрос свидетелей, показавших что им известно о выходе из строя компьютера в абонентском отделе и невозможности работы с программой "Тепло-частный сектор";

назначение программно-технической экспертизы, из заключения которой усматривается, что функциональность программы «Тепло-частный сектор» нарушена в результате замены функций, выполняющих действия при выборе пунктов меню и это связано с умышленным внесением в программу изменений. Восстановление функциональности программы «Тепло-частный сектор» невозможно, поскольку отсутствуют необходимые для ее восстано­вления материалы и документация;

проведение допроса представителя гражданского истца, показавшего назначение программы «Тепло-частный сектор» и размер ущерба в результате ее блокирования;

проведение допроса обвиняемого, в котором он признал себя частично виновным.

Распространение вредоносных программ

Обстоятельства, подлежащие установлению:

факт распространения вредоносной программы для ЭВМ;

предназначение вредоносной программы;

источник происхождения данной программы у распространявшего ее лица;

личность создателя вредоносной программы;

осведомленность лица, распространяющего программу, о ее вредоносных свойствах;

наличие умысла на распространение данной программы;

размер материального ущерба;

мотив и цель распространения вредоносной программы;

причины и условия, способствующие совершению преступления.

Особенности расследования распространения вредоносных программ рассмотрим на следующем примере: В сентябре 1999 г. Б., устроившись продавцом компьютерных компакт-дисков в торговый павильон перед станцией метро «ВДНХ» (г. Москва), продал компьютерный компакт-диск «Хакер-2000», содержащий программы для ЭВМ, заведомо приводящие к несанкционирован­ному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети.

Основными доказательствами, полученными в ходе расследования данного дела являлись:

рапорт оперативного уполномоченного управления «Р» МВД РФ, из которого следует, в ходе контрольной закупки гражданин М. за 60 рублей приобрел у гражданина Б. компьютерный диск «Хакер-2000», на котором, как пояснил Б. находятся программы, предназначенные для взлома компьютерных сетей и бесплатного пользования сетью Интернет с использованием чужих реквизитов и паролей;

акт контрольной закупки, в котором зафиксирован факт изъятия у Б. компьютерных компакт-дисков «Хакер-2000»;

протокол допроса свидетеля М, показавшего, что он был приглашен сотрудниками милиции в качестве покупателя для проведения контрольной закупки вредоносных программ для ЭВМ, для чего он обратился к продавцу торгового павильона, расположенного перед станцией метро «ВДНХ» (г. Москва), оказавшемуся впоследствии Б., с просьбой показать ему компакт-диск «Хакер-2000» и пояснить, что он дает, на что Б. ответил, что программы на данном диске дают возможность бесплатного пользования сетью Интернет, а также на нем имеются программы-взломщики, после чего М. приобрел данный диск за 60 рублей;

протоколы допросов свидетелей А и В, показавших, что они были приглашены в качестве присутствующих при проведении контрольной закупки компьютерных компакт-дисков, содержащих вредоносные программы для ЭВМ, после объявления которой в ходе осмотра торгового павильона перед станцией метро «ВДНХ» (г. Москва) были обнаружены еще 6 компакт-дисков «Шпионские штучки часть 2» и два компакт-диска «Хакер-2000», которые были изъяты, упакованы в полиэтиленовые пакеты, прошитые белой нитью, концы которой скреплены печатью № 1 МВД РФ и подписаны участниками контрольной закупки;

протокол осмотра вещественных доказательств - дисков, изъятых у Б. в ходе контрольной закупки;

заключение программно-технической экспертизы, из выводов которой следует, что представленные эксперту диски являются машинными носителями для ЭВМ и некоторые из содержащихся в предоставленных на экспертизу дисков программ вредоносны для ЭВМ;

протокол допроса эксперта, показавшего, что вредоносными являются все программы, находящиеся на диске «Хакер-2000» и «Шпионские штучки часть 2»;

протокол допроса обвиняемого Б., в котором он признал свою вину.

Наибольшую сложность для расследования представляет совершение преступления в условиях неочевидности, то есть расследование в четвертой из обозначенных в начале параграфа следственных ситуаций. Здесь основными направлениями расследования должны быть:

прекращение противоправной деятельности;

выяснение механизма преступления и уточнение отдельных его обстоятельств;

установление лица, распространяющего вредоносную программу;

получение сведений о личности потерпевших;

установление суммы материального ущерба;

сбор доказательств о причастности установленного лица к каждым выявленным эпизодам преступной деятельности;

выяснение причин и условий, способствовавших совершению престу­пления;

получение характеризующего личность обвиняемого материала.

Примером удачного расследования уголовного дела названной категории может служить уголовное дело, расследованное Главным следственным управлением при ГУВД Свердловской области.

В марте 1999 г. Б. заключил договор абонентского обслуживания с предприятием, осуществляющем предоставление услуг по доступу к информационной сети Интернет (провайдером), согласно которому Б. был предоставлен доступ в сеть Интернет, электронный почтовый ящик и возможность открыть персональную страницу на сервере провайдера.

В апреле 1999 г. Б. с одного из серверов сети Интернет переписал на жесткий диск своего персонального компьютера программу scfg.exe, которая позволяла создать и настроить вредоносную программу типа «троянский конь» на адрес электронного почтового ящика Б. При переносе и запуске данной программы другими пользователями сети Интернет, она производила незаметную для пользователя незаконную пересылку электронного сообщения на адрес электронного почтового ящика Б., содержащего в себе регистрационные данные (имя, пароль, телефонный номер) данного пользователя сети Интернет.

Указанную программу Б. поместил на свою персональную страницу, в результате чего она стала доступной для неограниченного числа пользователей. В пояснении к этой программе на своей персональной странице для маскировки своих преступных намерений Б. указал - «Данная программа выявляет в реестре наличие всяких «лажовых» ссылок и «багов» - хотя на самом деле эта программа таких действий не производила и не могла произвести.

Таким образом, Б. создал программу - «агента», позволявшую ему получать регистрационные данные законных пользователей, используя которые у него появилась возможность входить в сеть Интернет под чужим именем и за чужой счет. Те пользователи, которые получив доступ к персональной странице Б. переписывали и запускали созданную им программу, не желая того сообщали ему свои регистрационные данные.

Указанным способом Б. незаконно получил регистрационные данные как минимум, одного пользователя - жителя Ростова-на-Дону К.

Расследование данного дела осуществлялось следующим образом.

получение заявления и проведение допроса директора фирмы-провайдера о обнаружении на персональной странице Б. вредоносной программы типа «троянский конь», с помощью которой можно несанкциони­рованный доступ к компьютерной информации других пользователей сети Интернет, после чего Б. был закрыт доступ к своему электронному почтовому ящику и персональной странице;

проведение допроса ведущего специалиста фирмы-провайдера, показавшего, что на имя сетевого администратора в электронный почтовый ящик поступило сообщение от одного из пользователей сети Интернет о том, что на странице с адресом WWW.Users/ru:8081/~kief, оказавшейся в последствии персональной страницей Б., находится файл типа «троянский конь». Проверкой антивирусной программой установлено, что данный файл заражен вредоносной программой Trojan.PSW.Stealth.c, запуск данного файла приводит к несанкционированному пользователем отправлению электронного почтового сообщения в адрес электронного почтового ящика Б., содержащего регистрационные данные пользователей сети Интернет;

выемка журнала регистрации работы абонента Б. (распечаткой лог-файла, ведущегося на сервере фирмы-провайдера), из которого видно, что 30 апреля в 7 часов 27 мин. Б. переписал на свою персональную страницу файл, как выяснилось, впоследствии зараженный вредоносной программой;

проведение осмотра и выемки почтово-телеграфной корреспонденции, содержащейся в электронном почтовом ящике Б., в ходе которой установлено, что в нем находится 11 сообщений, поступивших с 30.04.99 по 1.05.99.

назначение и получение заключения программно-технической экспертизы, согласно которому 4 почтовых сообщения содержат в себе регистрационные данные для подключения к сети Интернет. Получение данных сообщений является результатом запуска программ, установленных на компьютере пользователя, настроенных на отправление регистрационных данных в адрес электронного почтового ящика Б.

проведение обыска по месту жительства Б., в ходе которого изъяты системный блок персонального компьютера и 13 накопителей на гибких магнитных дисках (дискетах);

проведение осмотра изъятых в ходе обыска по месту жительства Б. дискет, в ходе которого они были проверены на наличие на них вредоносных программ, и на одной из них было установлено наличие вредоносной программы Trojan.PSWStelth.a;

назначение программно-технической экспертизы, подтвердившей, что программный код, идентифицируемый антивирусной программой как Trojan.PSWStelth.с содержится на дискете, изъятой в ходе обыска по месту жительства Б. в файле SCFG.exe. Данный файл является исполняемым программными продуктом и предназначен для создания и настройки вредоносной программы типа «троянский конь». В качестве параметров настройки используются адрес электронной почты, псевдоним и будущее имя троянской программы;

назначение программно-технической экспертизы, в ходе которого установлено, что на компьютере Б. имеются все необходимые программные средства для доступа в информационную сеть Интернет;

осуществление выемки программного обеспечения, содержащегося на персональной странице Б. на сервере фирмы провайдера, в ходе которой с персональной странице Б. был изъят файл, в котором в ходе антивирусной проверки обнаружена программа Trojan PSWStelth.с;

назначение программно-технической экспертизы, установившей, что файл, изъятый с персональной страницы Б. является вредоносной программой, настроенной на несанкционированную передачу регистра­ционных данных о пользователе данного компьютера на электронный почтовый ящик Б., уведомление пользователей о вредоносном действии программы при ее функционировании не производится. Кроме того, экспертами сделан вывод, что содержимое файла, находящегося на обнаруженной в ходе обыска по месту жительства Б. дискете идентично содержимому файла, получающегося при выполнении программы scfg.exe, находящейся на той же дискете;

проведение следственного эксперимента, в ходе которого были подтверждены следующие факты: наличия на персональной странице Б. файла - «троянского коня», возможности получения другими пользователями сети Интернет доступа к персональной странице Б. и копирования файлов, содержащихся на ней,

По совокупности собранных доказательств Б. было предъявлено обвинение в совершении преступления, предусмотренного ч.1 ст. 273 УК РФ.