Bagle - cztery nowe, groźne mutacje

W ciągu ostatniej doby w Sieci pojawiły się cztery nowe mutacje uciążliwego robaka pocztowego Bagle (znanego również jako Beagle) - Q, R, S, i T. Nowe wersje są niebezpieczniejsze od swoich poprzedników - przede wszystkim dlatego, że, dzięki wykorzystaniu starego błędu w zabezpieczeniach przeglądarki Internet Explorer, mogą uaktywniać się automatycznie, bez "pomocy" użytkownika.

"To naprawdę groźne robaki - do zainfekowania komputera wystarczy im wyświetlenie wiadomości w programie pocztowym" - tłumaczy Graham Cluley z firmy Sophos PLC.

Bagle.Q, R, S, i T rozprzestrzeniają się w postaci e-maili bez załączników. Wystarczy, że adresat takiej wiadomości otworzy ją (lub "podejrzy", korzystając z dostępnej w programach Outlook i Outlook Express opcji "podgląd"), by robak podjął próbę uaktywnienia się. Robak wykorzystuje w tym celu odkryty już w połowie ubiegłego roku błąd w zabezpieczeniach przeglądarki IE - Microsoft co prawda udostępnił już usuwające go uaktualnienie, jednak wielu użytkowników wciąż go nie zainstalowało (co naraża ich na atak którejś z nowych wersji Bagle'a). Więcej informacji na temat owego błędu, a także usuwające go uaktualnienie, znaleźć można tutaj: http://www.microsoft.com/technet/security/bulletin/MS03-032.mspx . Najprostszym sposobem sprawdzenia, czy w systemie zainstalowany jest już odpowiedni patch, jest skorzystanie z mechanizmu WindowsUpdate - http://windowsupdate.microsoft.com - po sprawdzeniu systemu, poinformuje on użytkownika, jakie uaktualnienia powinny zastać zainstalowane.

"Każdy niebezpieczny program wykorzystujący możliwość przedostania się do komputera za pomocą błędu w systemie operacyjnym lub zainstalowanym na nim oprogramowaniu jest bardziej niebezpieczny od takiego, który instaluje się tylko przy uruchomieniu go przez użytkownika. Nowe wersje Beagle'a korzystają ze starej "dziury", ale jak pokazał atak robaka Blaster, bardzo wielu użytkowników nigdy nie łata swoich systemów. Nie zdają sobie sprawy z podatności ich systemów na atak. Zagrożenie jest więc poważne, ponieważ wykorzystywany błąd tyczy się również najpopularniejszego aktualnie systemu Windows XP." powiedział nam Jakub Dębski, specjalista z firmy MKS.

Do tej pory wszystkie mutacje Bagle zwykle ukrywały się w załącznikach do e-maili (głownie plikach z rozszerzeniami .zip, .exe oraz .scr). Do uaktywnienia się robaka niezbędna była więc interakcja użytkownika - tzn. uruchomienia załączonego do wiadomości pliku. Ze "starymi" mutacjami nową czwórkę łączy podobieństwo wiadomości pocztowych, których ukrywa się robak - wciąż są to e-maile zatytułowane np. 'Re: Hello', 'Incoming message', 'Site changes' czy 'Re: Hi'. Robak na szczęście nie jest destrukcyjny - jego działanie sprowadza się do masowego dystrybuowania się.

Robak - pobieracz

Po odebraniu i wyświetleniu na niezabezpieczonym komputerze takiej wiadomości, robak najpierw pobiera z predefiniowanej strony skrypt, który z kolei pobiera i uruchamia właściwego robaka. Jeśli użytkownik zainstalował już odpowiednie uaktualnienie, Bagle nie zdoła się uaktywnić.

Fińska firma F-Secure namierzyła już adresy IP serwerów, z których nowe mutacje Bagle usiłują pobierać owe pliki - numery te zostały przekazane odpowiednim władzom, które mają jak najszybciej powyłączać owe serwery, by zablokować rozprzestrzenianie się Bagle.Q, R, S, i T.

Bagle ewoluuje

Zdaniem Grahama Cluley'a innowacje wprowadzone do kodu robaka świadczą o tym, iż jego autor (autorzy?) cały czas udoskonalają swoje "dzieło" - "Na początku Bagle ukrywał się w zwykłych załącznikach, potem owe załączniki skompresowano. Kolejnym krokiem było szyfrowanie dołączonych do wiadomości archiwów - zaś teraz załącznika nie ma wcale" - mówi Cluley.

"Beagle jest robakiem prostym. Nie ma mowy o żadnej jego ewolucji czy dostosowywaniu się do panujących warunków. To jego autor wypuszcza w świat coraz to nowe wersje, zawierające zmiany, wirus nie modyfikuje samego siebie. Umiejętności autora są na tyle małe, że nie zapowiada się, aby stworzył naprawdę groźnego bakcyla, który powali zinformatyzowany świat na kolana. Trzeba jednak przyznać, że ciekawym pomysłem było szyfrowanie załączników hasłem zapisanym w pliku graficznym - znacznie utrudniło to wykrywanie robaka. Poza tym autor w swoich programach wykorzystuje metody od dawna działające w innych robakach. Krążące ostatnio po sieci robaki pisane są w języku C, który znacznie utrudnia używanie zaawansowanych technik stosowanych w wirusach, takich jak polimorfizm, metamorfizm, maskowanie punktu wejścia czy integrację z kodem nosiciela. Dopóki autorzy robaków nie zaczną korzystać z asemblera, raczej większego zagrożenia niż aktualne nie należy się spodziewać. Na nasze szczęście najlepsi twórcy wirusów kierują się swoistą etyką, według której masowe rozprzestrzenianie własnego wirusa lub niszczenie danych nie jest mile widziane. Co więcej - po ukończeniu wirusa wysyłają go do większych firm antywirusowych, aby te przygotowały szczepionkę zanim będzie miał szansę się rozprzestrzenić." - tłumaczy Jakub Dębski.

Z informacji dostarczonych przez producentów oprogramowania antywirusowego wynika, że z czterech nowych wersji najbardziej aktywna jest mutacja Bagle.Q - jak do tej pory kopie robaka wykryto w ponad 20 krajach. Większość firm udostępniła już uaktualnienia do swoich produktów, umożliwiające im wykrywanie i usuwanie z systemu nowych wersji Bagle.

Z naszego serwisu FTP można już pobrać udostępnioną przez firmę Computer Associates International "szczepionkę", usuwającą najnowsze wersje Bagle z systemu: http://www.pcworld.pl/ftp/pc/programy/3020/CA.W32.Bagle..A.T..Removal.Utility.5.0.0.html . Trzeba jednak zaznaczyć, że najnowsze mutacje robaka Bagle wykazują również cechy wirusa, tzn. infekują pliki .exe. Szczepionka usuwa wirusa z pamięci i z dysku, nie jest jednak w stanie naprawić zakażonych plików, które trzeba wyleczyć programem antywirusowym (inaczej mogą stać się źródłem ponownej infekcji).


Zobacz również