Что такое вирус flame

В конце мая руководство Ирана обвинила Израиль в причинении значительного ущерба безопасности Ирана и повреждении большого количества секретных данных посредством запуска новейшего компьютерного вируса Flame, который был выявлен недавно с помощью российских специалистов. По оценкам экспертов, Flame находится в компьютерных системах Ближнего Востока по меньшей мере 5 лет и является частью организованного кибершпионажа.

Исследователи установили, что код Flame слишком сложен, чтобы предполагать, что ее создателями является группа активистов-одиночек. Кроме того, масштабная кибератака была проведена, по-видимому, при правительственной финансовой поддержке, так как ее целью стали не банковские счета, за которыми обычно охотятся хакеры-преступники. Пока не установлено страна-разработчик шпионской программы, хотя косвенные факты указывают на США и Израиль.

Свидетельства указывают на то, что этот вирус мог быть спроектирован тем же государством или государствами, которые запустили и вирус Stuxnet, ранее поразивший компьютерные ядерные системы Ирана. Иран уже обвинил США и Израиль в запуске Stuxnet. Некоторые эксперты верят в то, что это был совместный проект двух государств, который начался в 2004 году и был направлен на предотвращение создания ядерного оружия в Иране.

Израиль опроверг предположения о том, что он стоит за изощренной кибератакой Flame на компьютеры пользователей Ближнего Востока.

По другим предположениям, за кибератаками стоят США. Анонимный источник сообщил телекомпании Эн-би-си, что ответственность за атаки несут американцы, однако у него нет информации из первых рук. Вашингтон также заявил о непричастности США к кибератакам на Ближнем Востоке. Однако, как следует из недавней статьи в газете New York Times, атаку Stuxnet санкционировал лично президент США Барак Обама.

Между вирусами Stuxnet и Flame существует разительное сходство. Их география весьма сходна и даже если за ними стоят разные хакеры, их интересы в целом совпадают.

В ООН вирус Flame охарактеризовали как мощное средство, используемое в целях шпионажа. Организация также объявила о наличии очень серьезной угрозы кибербезопасности. При этом некоторые специалисты утверждают, что опасность сильно преувеличена.

— считывание сетевого трафика,

— снятие скриншотов для похищения информации, выводимой на монитор,

— перехват ввода с клавиатуры,

— похищение важных данных о системах-объектах атак, файлов, хранящихся в компьютерах, контактных данных пользователей и даже аудиозаписей разговоров,

— поиск через систему Bluetooth подключенных к компьютеру приборов и так далее.

В сети он распространяется только по команде своего оператора в интернете, который при необходимости может его отключить.

Предполагается, что вирус работает с августа 2010 года. Вторгаясь в компьютер он, для начала, изучает установленную на нем антивирусную защиту и воздерживается от операций, которые могли бы его выдать.

Работу этой вредоносной программы очень сложно остановить. Очень сложно разом закрыть более восьмидесяти командных файлов и управлений серверами. Некоторые из них могут не работать. Но эта пауза может быть сделана для того, чтобы выиграть время и изменить план игры, если такая необходимость возникнет. Так происходило и в прошлом: после некоторого периода отсутствия активности программа перезагружалась и снова начинала работать.

Вместо вредоносной программы, стирающей информацию с компьютеров был обнаружен интересный и подозрительный файл, который изначально вообще не походил на вредоносную программу. Файл оказался частью нового самого сложного вируса, представлявшего собой новый уровень ведения кибершпионажа.

Код этого вируса оказался намного длиннее кода вируса Stuxnet, который нанес вред иранским ядерным реакторам в 2009 и 2010 годах.

Все попытки найти в интернете следы компьютера-оператора пока не привели к успеху. Пожелавшие остаться анонимными авторы не пожалели сил, чтобы их замести. Нити ведут к десяткам серверов, расположенных в разных странах мира, а потому и установить хотя бы географическое происхождение, не говоря уже о том, чтобы вычислить конкретного производителя вируса пока не представляется возможным.

Для вируса размер файла просто огромен – 20 мегабайт, а язык программирования, на котором написан вирус, – LUA – ранее использовался только в играх и позволяет добавлять информацию в код.

Вирус, похоже, изначально предназначался для небольшого количества организаций и частных лиц в Иране, на Западном берегу реки Иордан, в Ливане и в Объединенных Арабских Эмиратах.

По данным одного из иранских информационных агентств, вирус уничтожил информацию на жестких дисках компьютеров штаб-квартиры министерства нефти Ирана. И хотя его представители утверждают, что распространение червя было остановлено и основной объем информации не пострадал, есть основания полагать, что вирус проник в компьютерную сеть министерства много месяцев назад и выполнил главную задачу по сбору и отправке информации. Атака на компьютеры министерства нефти произошла в конце апреля.

Ранее в нынешнем году глава иранской гражданской обороны заявлял, что за последние два года энергетический сектор страны все чаще становился объектом кибератак.

Иранские вооруженные силы создали специальное подразделение, в задачу которого входит защита от компьютерных атак. Подразделение работает в тесном контакте с другими военными организациями, а также телекоммуникационными фирмами и разведкой.

Выяснилось также, что хакеры тщательно маскировались, создав поддельные удостоверения личности, адреса и даже реквизиты своих банковских счетов.

В общей сложности было зарегистрировано более 80 доменных имен, которые использовались для создания целой сети по рассылке вируса, которая прекратила свою работу лишь несколько дней назад.

По мнению исследователей, информация собиралась с помощью вируса в течение нескольких лет.

Исследователи пришли к выводу, что главным объектом нападения служил Иран, а также Израиль и территория Палестинской автономии.

В первую очередь хакеров интересовала программа AutoCad — популярный инструмент инженеров и архитекторов, сообщает BBC.

Случаи заражения вирусом были зарегистрированы также в США, Великобритании и ряде европейских стран. Однако, данные страны не были главной целью хакеров.

Результаты предварительного анализа указывают сразу на несколько возможных центров управления сетью. Центры управления вирусом Flame и сбора информации регулярно меняли дислокацию, передвигаясь из Гонконга в Турцию, Германию, Польшу, Малайзию, Латвию, Швейцарию и Великобританию.

По оценкам экспертов, Flame находится в компьютерных системах Ближнего Востока по меньшей мере 5 лет и является частью организованного кибершпионажа.

По сложности и функционалу Flame превосходит все ранее известные виды киберугроз. Новая вредоносная программа стала еще более сложной. Так, например, размер ее исполняемого кода почти в 20 раз превосходит размер печально известного червя Stuxnet и содержит в 100 раз больше фрагментов, идентифицирующих его как вирус, предназначенный для кражи данных. Как известно, вирус Stuxnet был предназначен для серьезного удара по ядерной программе Ирана.

Целенаправленная сдержанность при использовании Flame свидетельствует о наличии хорошо продуманного плана его реализации.

Вирус Flame называют самым мощным вирусом, известным на сегодня. Он написан на языке программирования LUA, на котором написана и игра Angry Birds.

Эксперты в области программирования говорят о сложности структуры вируса Flame, содержащего 250 тысяч строк кода, и написанного на LUA — популярном языке программирования, используемом разработчиками из-за его простоты.

Flame способен собирать файлы данных, удаленно менять параметры компьютера, самостоятельно включать микрофон и записывать разговоры пользователей, делать скриншоты, включать Bluetooth, мгновенно подключаться к чатам, считывать обмен сообщениями в чатах и многое другое.

Иранские власти обвинили США и Израиль в создании Stuxnet, атаковавшего, среди прочих объектов, завод по обогащению урана в Натанце. По данным газеты The New York Times, совместную программу по компьютерному противодействию иранским попыткам создать атомную бомбу Соединенные Штаты и Израиль начали в 2004 году. Официально Пентагон, Госдепартамент, ЦРУ и другие американские органы власти эту информацию не комментируют.

К созданию программы Flame могут быть причастны не отдельные группировки хакеров, а какая-то страна или даже несколько стран. Возможно, речь идет о тех же государствах, которые стоят за разработкой Stuxnet. Flame так же, как Stuxnet и похожая на него программа для кражи данных Duqu, использует бреши в операционной системе Windows. Кроме того, Flame и Stuxnet роднит способ распространения в компьютерных сетях.

География атак, использование специфичных уязвимостей в ПО, а также то, что целью атак становятся только определенные компьютеры, указывают на то, что Flame относится к категории сложного кибероружия.

По предварительным результатам, Flame используется с марта 2010 года. Однако из-за своей исключительной сложности и направленности на конкретные цели до настоящего момента он не мог быть обнаружен ни одним защитным продуктом.

Согласно исследованиям ученых из Кэмбриджа Сергея Скоробогатова и Криса Вудса, пассажирские и военные лайнеры оборудованы чипом со встроенной функцией контроля полета, который элементарно взломать с помощью опаснейшего вируса Flame.

Таким образом, любой получивший доступ к компьютерному микрочипу через Интернет, способен управлять движением самолета и запросто вывести машину из строя.

Эксперты описали метод возможного вторжения в систему пилотирования, который используют хакеры для подключения к внутренней микросхеме самолета.

Программу-проводник для установки контакта с лайнерами разработал американский производитель Actel.

— Злоумышленники отключают все системы безопасности через чип, перепрограммируют криптографические ключи и повреждают устройство, получив полный доступ к управлению воздушным судном, — заявляют специалисты.

Крис Вудс сообщил, что они с Сергеем Скоробогатовым предоставили государственным учреждениям поэтапную схему взлома и захвата самолетов, однако те их предупреждения проигнорировали.

— Реальная угроза заключается в недостаточно сильном уровне безопасности, который может быть взломан через дополнительный вход, сделанный в чипе производителем, — добавил ученый.

Не исключено, что над системой взлома изрядно поработала компания Actel — всемирно известный производитель чипа ProASIC3, используемого в медицинских, автомобльных, коммуникационнных и военных направлениях.

Не исключено, что этот вход для контроля за запасными выходами на кремниевом чипе разработали в Actel. По крайней мере их разработчики программного обеспечения с легкостью могут это сделать.

— Это подрывает уровень безопасности и делает его уязвимым перед различными кибератаками, особенно этого смертоносного вируса Flame. В Actel утверждают, что их девайсы оснащены передовыми системами безопасности, оттого что физического доступа для конфигурации и чтения информации с чипа не существует. Однако они оборудовали этот дополнительный вход специальным ключом, с помощью которого можно получить доступ ко всей информации, — продолжает эксперт.

Подключиться к чипу онлайн абсолютно просто, особенно когда чип работает с помощью беспроводной системы поддержки интернет-связи.

Для доступа к чипу понадобится ключ, однако заполучить всю информацию можно с помощью доп. входа — там отсутствует зашифрованный канал.

Фирма Actel заявление ученых из Кэмбриджа не прокомментировала.

Гипотетически чипы можно поменять, осложняет это только то, что система Actel зарекомендовала себя и очень популярна и уважаема на рынке.

— Эту особенность с доступом к чипу продумали на начальном этапе. Она создавалась вместе с дизайном. Зачем это было делать — совершенно непонятно, — добавляет Рик Фергюсон, директор исследовательского бюро в области безопасности компании Trend Micro.

Фото: Marcus Brandt/DPA/ТАСС

Авиапутешественникам стоит готовиться к новым правилам полета. Как в свое время после серии терактов были введены ограничения по проносу жидкости в самолет и новые меры досмотра и контроля, так теперь и COVID-19 изменит привычные нам полеты. Летать отныне, возможно, придется в масках, а перед рейсом проходить тест на вирус. И за это все придется платить. Подробности.

Фото: mskagency.ru

К трагедии на праздновании дня рождения блогера-миллионника Екатерины Диденко привели законы физики, известные из школьной программы. В результате высыпания в бассейн 30 кг сухого льда появилась удушающая подушка из углекислоты. Сама Диденко, которая потеряла мужа, а всего погибли трое человек, призналась подписчикам, что осознала произошедшее только на следующий день. Кто должен отвечать за произошедшее? Подробности.

• Скорее, положительно
  
• Скорее, отрицательно
  

Пандемия коронавируса с ограничительными мерами, которые коснулись большинства граждан и компаний, привела к существенному снижению спроса на нефть, вслед за чем резко упали и сами цены. Кроме того, негативно на рынок повлияло и отсутствие соглашения ОПЕК+, страны смогли договориться по ограничениям добычи лишь в апреле. Это стабилизировало ситуацию, но ненадолго.

8 июня 2012, 21:27

Специалисты Symantec заметили, что на компьютеры, зараженные Flame, начали поступать команды от управляющих систем. Создатели вируса не могут контролировать все системы, зараженные Flame, поскольку антивирусные компании смогли победить вирус на некоторых из них, передает ВВС.

В Symantec сообщили, что команда о самоуничтожении направлена на то, чтобы полностью удалить Flame с компьютера. Команда должна была найти в компьютере все файлы, ассоциирующиеся с Flame, удалить их и забить участки памяти компьютера, на которых находились файлы, бессмысленной информацией, чтобы сбить с толку компьютерных специалистов.

Анализ команды по самоликвидации вируса показывает, что она была написана в начале мая, сообщили в Symantec. В то же время анализ элементов вируса дает представление о том, насколько грамотно он был написан.

Специалисты по шифрованию данных заявляют, что Flame стала первой вредоносной программой, использующей особую технику криптографии, которая давала возможность вирусу подделывать цифровые сертификаты и активно распространяться. Точная методика таких атак была впервые продемонстрирована в 2008 году, а создатели Flame придумали свой вариант.

Эти выводы подтверждают предположения о том, что за созданием Flame стоит государство, а не группа киберпреступников. Однако вопрос о том, какая страна ответственна за создание вируса, пока остается открытым.

По данным специалистов, программа разработана для ведения кибершпионажа. Она позволяет похищать важные данные, в том числе информацию, выводимую на монитор; информацию о системах, файлы, хранящиеся на компьютере, контактные данные пользователей и даже аудиозаписи разговоров. По предварительным результатам этот зловред активно используется уже более двух лет, с марта 2010 года.

30 мая исследователи из иранского ведомства по информационной безопасности сообщили, что разработали программу, способную обезвредить компьютерный вирус Flame.

Антивирусная компания "Лаборатория Касперского" опубликовала первые результаты исследования инфраструктуры командных серверов вредоносной программы Flame, которая, по мнению экспертов, до самого последнего времени активно применялась в качестве кибероружия в ряде ближневосточных государств.

На прошлой неделе стало известно, что вредоносная программа была обнаружена экспертами ЛК во время исследования, инициированного Международным союзом электросвязи (МСЭ; International Telecommunications Union) после серии инцидентов с другой, пока еще неизвестной вредоносной программой под кодовым именем Wiper, которая уничтожала данные на компьютерах в странах Ближнего Востока. Эту вредоносную программу еще только предстоит обнаружить; однако во время анализа инцидентов ЛК в сотрудничестве с Международным союзом электросвязи выявила новый вид вредоносной программы. По предварительным результатам, Flame активно используется как минимум с марта 2010 года. Из-за своей исключительной сложности и направленности на конкретные цели до настоящего момента он не мог быть обнаружен ни одним защитным продуктом.

Как сообщает ТАСС-Телеком, "Лаборатория Касперского" немедленно связалась с центрами реагирования на компьютерные угрозы (CERT) во многих странах и предоставила им сведения о доменах, используемых командными серверами Flame, и IP-адресах вредоносных серверов. Кроме того, совместно с компаниями GoDaddy и OpenDNS эксперты "Лаборатории Касперского" смогли перехватить управление большинством вредоносных доменов, используемых командными серверами Flame.

По сообщению Русской службы BBC, исследователи ЛК пришли к выводу, что главным объектом нападения служил Иран, а также Израиль и территория Палестинской автономии. В первую очередь хакеров интересовала программа AutoCad - популярный инструмент инженеров и архитекторов.

"Хакеров интересовали чертежи механического и электрического оборудования, - пояснил британским журналистам специалист по компьютерам университета Суррея профессор Алан Вудвард. - Они либо хотели выяснить, насколько далеко продвинулся тот или иной проект, либо намеревались воровать чертежи с целью перепродажи на черном рынке".

Случаи заражения вирусом были зарегистрированы также в США, Великобритании и ряде европейских стран, однако, по мнению исследователей, это не означает, что данные страны были главной целью хакеров.

По своим характеристикам Flame сильно напоминает недавно обнаруженных монстров - "сложные вирусы" Stuxnet и Duqu, которые были задействованы в кибершпионаже.В частности, главной целью Stuxnet были урановые центрифуги в Иране. А, как следует из недавней статьи в газете New York Times, атаку Stuxnet санкционировал лично президент США Барак Обама.

Источник вируса по-прежнему неизвестен, однако результаты предварительного анализа указывают сразу на несколько возможных центров управления сетью. Такие центры управления вирусом Flame и сбора информации регулярно меняли дислокацию, передвигаясь из Гонконга в Турцию, Германию, Польшу, Малайзию, Латвию, Швейцарию и Великобританию.

Анализ вредоносной программы показал, что на момент обнаружения Flame использовалась для осуществления кибершпионажа, а конфиденциальные данные, украденные с зараженных компьютеров, пересылались на один из командных серверов.

Эксперты пришли к выводу, что, во-первых, командные серверы Flame, действовавшие в течение нескольких лет, были отключены сразу же после того, как на прошлой неделе ЛК раскрыла существование вредоносной программы.

Во-вторых, на данный момент известно более 80 доменов, задействованных для передачи данных на командные серверы Flame, которые были зарегистрированы в период с 2008 по 2012 год.

В-третьих, за последние четыре года командные серверы Flame попеременно располагались в различных странах мира, включая Гонконг, Турцию, Германию, Польшу, Малайзию, Латвию, Великобританию и Швейцарию.

В-четвертых, для регистрации доменов командных серверов Flame использовались фальшивые регистрационные данные и различные компании-регистраторы, причем данная активность началась еще в 2008 году.

В-пятых, злоумышленников, использующих Flame для кражи информации, особенно интересовали офисные документы, файлы PDF и чертежи AutoCAD.

Вместе с тем эксперты пришли к выводу, что данные, загружаемые на командные серверы Flame, шифровались с использованием относительно простых алгоритмов. Украденные документы сжимались при помощи библиотеки Zlib с открытым исходным кодом и модифицированного алгоритма PPDM-сжатия.

Помимо этого, по предварительным данным, 64-разрядная версия операционной системы Windows 7, которая ранее уже была рекомендована "Лабораторией Касперского" как одна из самых безопасных, оказалась не подвержена заражению Flame.

У этого термина существуют и другие значения, см. Flame (значения).

Flame — компьютерный червь, поражающий компьютеры под управлением операционной системы Microsoft Windows версий XP, 7, Vista.

Его обнаружил Роэль Шувенберг, старший научный сотрудник по компьютерной безопасности Лаборатории Касперского во время исследования вируса Wiper, атаковавшего компьютеры в Иране, о чём было объявлено 28 мая 2012 года. Наиболее пострадавшими странами являются Иран, Израиль, Судан, Сирия, Ливан, Саудовская Аравия и Египет.

Вирус способен собирать файлы данных, удалённо менять параметры компьютера, записывать звук, скриншоты и подключаться к чатам, действует, по меньшей мере, с марта 2010 года. Код Flame имеет объём 20 МБ и значительно превосходит в этом отношении вирус Stuxnet. Flame использует библиотеки zlib, libbz2, ppmd для сжатия, встроенную СУБД sqlite3, виртуальную машину Lua.

Некоторые части вируса имели цифровую подпись, полученную с помощью сертификата из иерархии Microsoft. Подобный сертификат мог быть получен любым владельцем сервера Terminal Licensing; однако для Flame дополнительно использовалась новая атака для поиска коллизий в хеше MD5 (Flame использует коллизии в хеше MD5, подменяя обновления Майкрософт — своими). Благодаря проведенной атаке сертификат можно было использовать для подписывания обновлений Windows Update для ОС Windows XP, Vista, 7.

Некоторые компоненты вируса впервые посылались на сервер virustotal весной-летом 2009 года.

В 2012 году эксперты лаборатории Касперского обнаружили, что разработчики Flame сотрудничали с разработчиками другого сложного червя Stuxnet.

В июне 2012 года газета Washington Post со ссылкой на неназванных западных чиновников сообщила о том, что шпионский вирус Flame разрабатывался совместно специалистами США и Израиля для получения информации, которая могла бы быть полезна в срыве иранской ядерной программы.

года Лаборатория Касперского в своём официальном блоге опубликовала исследование, согласно которому вирус Flame начал разрабатываться и внедряться в 2006 году, записи командного сервера по управлению заражённых вирусом компьютеров, обнаруженные вирусными аналитиками, датируются года.

Согласно исследованиям ученых из Кэмбриджа Сергея Скоробогатова и Криса Вудса, пассажирские и военные лайнеры оборудованы чипом со встроенной функцией контроля полета, который элементарно взломать с помощью опаснейшего вируса Flame.

Таким образом, любой получивший доступ к компьютерному микрочипу через Интернет, способен управлять движением самолета и запросто вывести машину из строя.

Эксперты описали метод возможного вторжения в систему пилотирования, который используют хакеры для подключения к внутренней микросхеме самолета.

Программу-проводник для установки контакта с лайнерами разработал американский производитель Actel.

— Злоумышленники отключают все системы безопасности через чип, перепрограммируют криптографические ключи и повреждают устройство, получив полный доступ к управлению воздушным судном, — заявляют специалисты.

Крис Вудс сообщил, что они с Сергеем Скоробогатовым предоставили государственным учреждениям поэтапную схему взлома и захвата самолетов, однако те их предупреждения проигнорировали.

— Реальная угроза заключается в недостаточно сильном уровне безопасности, который может быть взломан через дополнительный вход, сделанный в чипе производителем, — добавил ученый.

Не исключено, что над системой взлома изрядно поработала компания Actel — всемирно известный производитель чипа ProASIC3, используемого в медицинских, автомобльных, коммуникационнных и военных направлениях.

Не исключено, что этот вход для контроля за запасными выходами на кремниевом чипе разработали в Actel. По крайней мере их разработчики программного обеспечения с легкостью могут это сделать.

— Это подрывает уровень безопасности и делает его уязвимым перед различными кибератаками, особенно этого смертоносного вируса Flame. В Actel утверждают, что их девайсы оснащены передовыми системами безопасности, оттого что физического доступа для конфигурации и чтения информации с чипа не существует. Однако они оборудовали этот дополнительный вход специальным ключом, с помощью которого можно получить доступ ко всей информации, — продолжает эксперт.

Подключиться к чипу онлайн абсолютно просто, особенно когда чип работает с помощью беспроводной системы поддержки интернет-связи.

Для доступа к чипу понадобится ключ, однако заполучить всю информацию можно с помощью доп. входа — там отсутствует зашифрованный канал.

Фирма Actel заявление ученых из Кэмбриджа не прокомментировала.

Гипотетически чипы можно поменять, осложняет это только то, что система Actel зарекомендовала себя и очень популярна и уважаема на рынке.

— Эту особенность с доступом к чипу продумали на начальном этапе. Она создавалась вместе с дизайном. Зачем это было делать — совершенно непонятно, — добавляет Рик Фергюсон, директор исследовательского бюро в области безопасности компании Trend Micro.

Tags: Flame, вирус, Израиль, Иран, США

Эта статья была опубликована: Среда, июня 6, 2012 в 8:16 в категории Технологии. Вы можете читать любые ответы через RSS 2.0 feed. You can leave a response, or trackback from your own site.

We are using cookies for the best presentation of our site. Continuing to use this site, you agree with this.

Ссылки

• MIGnews.com
• NEWSru.co.il

Александр Гостев, Kaspersky Lab. (англ.), securelist.com (28 May 2012). Проверено .

, Будапештский университет технологий и экономики.

Symantec

, CERTCC (MAHER) Security Operations Center

Крупнейшие атаки
Группы и сообщества хакеров
Хакеры-одиночки
Обнаруженные критические уязвимости
Компьютерные вирусы

Отрывок, характеризующий Flame (вирус)

– Соня! – сказала она вдруг, как будто догадавшись о настоящей причине огорчения кузины. – Верно, Вера с тобой говорила после обеда? Да?
– Да, эти стихи сам Николай написал, а я списала еще другие; она и нашла их у меня на столе и сказала, что и покажет их маменьке, и еще говорила, что я неблагодарная, что маменька никогда не позволит ему жениться на мне, а он женится на Жюли. Ты видишь, как он с ней целый день… Наташа! За что?…
И опять она заплакала горьче прежнего. Наташа приподняла ее, обняла и, улыбаясь сквозь слезы, стала ее успокоивать.
– Соня, ты не верь ей, душенька, не верь. Помнишь, как мы все втроем говорили с Николенькой в диванной; помнишь, после ужина? Ведь мы всё решили, как будет. Я уже не помню как, но, помнишь, как было всё хорошо и всё можно. Вот дяденьки Шиншина брат женат же на двоюродной сестре, а мы ведь троюродные. И Борис говорил, что это очень можно. Ты знаешь, я ему всё сказала. А он такой умный и такой хороший, – говорила Наташа… – Ты, Соня, не плачь, голубчик милый, душенька, Соня. – И она целовала ее, смеясь. – Вера злая, Бог с ней! А всё будет хорошо, и маменьке она не скажет; Николенька сам скажет, и он и не думал об Жюли.
И она целовала ее в голову.

Пьер сидел в гостиной, где Шиншин, как с приезжим из за границы, завел с ним скучный для Пьера политический разговор, к которому присоединились и другие. Когда заиграла музыка, Наташа вошла в гостиную и, подойдя прямо к Пьеру, смеясь и краснея, сказала:
– Мама велела вас просить танцовать.
– Я боюсь спутать фигуры, – сказал Пьер, – но ежели вы хотите быть моим учителем…
И он подал свою толстую руку, низко опуская ее, тоненькой девочке.
Пока расстанавливались пары и строили музыканты, Пьер сел с своей маленькой дамой. Наташа была совершенно счастлива; она танцовала с большим , с приехавшим из за границы . Она сидела на виду у всех и разговаривала с ним, как большая. У нее в руке был веер, который ей дала подержать одна барышня. И, приняв самую светскую позу (Бог знает, где и когда она этому научилась), она, обмахиваясь веером и улыбаясь через веер, говорила с своим кавалером.
– Какова, какова? Смотрите, смотрите, – сказала старая графиня, проходя через залу и указывая на Наташу.
Наташа покраснела и засмеялась.
– Ну, что вы, мама? Ну, что вам за охота? Что ж тут удивительного?

В середине третьего экосеза зашевелились стулья в гостиной, где играли граф и Марья Дмитриевна, и большая часть почетных гостей и старички, потягиваясь после долгого сиденья и укладывая в карманы бумажники и кошельки, выходили в двери залы. Впереди шла Марья Дмитриевна с графом – оба с веселыми лицами. Граф с шутливою вежливостью, как то по балетному, подал округленную руку Марье Дмитриевне. Он выпрямился, и лицо его озарилось особенною молодецки хитрою улыбкой, и как только дотанцовали последнюю фигуру экосеза, он ударил в ладоши музыкантам и закричал на хоры, обращаясь к первой скрипке: