Bagle i MyDoom - kontratak robali

W tym tygodniu w Sieci pojawiły się nowe mutacje dwóch najbardziej uciążliwych robaków ostatnich miesięcy - MyDooma i Bagle'a. "Insekty" gwałtownie rozprzestrzeniają się, jako medium dystrybucji wykorzystując pocztę elektroniczną (oba mają własne 'silniki' SMTP) oraz sieci P2P. Ich cechą wspólną jest również fakt, iż oba maskują prawdziwe adresy e-mail, z których są wysyłane. Użytkownicy Windows powinni więc mieć się na baczności.

Jako pierwszy pojawił się Bagle.AI - przypadki infekcji nowym robakiem stwierdzono już w poniedziałek. Krótko po tym w Sieci zadebiutował MyDoom.L. Oba "insekty" na razie uznane zostały za niezbyt niebezpieczne, eksperci uważają jednak, że w kolejnych dniach epidemia może się nasilać.

Bagle.AI

Bagle (aka Beagle)

Ten 'insekt' zadebiutował w styczniu - jego cechami charakterystycznymi było gwałtowne rozprzestrzenianie się w Sieci oraz błyskawiczne pojawianie się kolejnych wersji (był to efekt rywalizacji autorów Bagle'a z twórcami innego robaka - Netsky'a). W sumie w ciągu ostatnich miesięcy pojawiło się kilkadziesiąt odmian tego robaka. W Bagle'u po raz pierwszy zastosowano mechanizm, polegający na ukrywaniu się robaka w zaszyfrowanym archiwum ZIP (później z tego rozwiązania korzystali autorzy innych robaków).

Podobnie jak większość wcześniejszych 'odmian' Bagle'a, również wersja AI rozprzestrzenia się za pośrednictwem sieci P2P (po zainfekowaniu komputera robak natychmiast zapisuje się pod różnymi nazwami w katalogu udostępnionym w sieci peer-to-peer) oraz poczty elektronicznej.

Wiadomość e-mail, w załączniku do której ukrywa się robak zwykle opatrzona jest fałszywym adresem nadawcy, zaś jej tytuł zaczyna się od przedrostka 'Re'. Plik załączony do e-maila może nosić nazwę zawierającą słowa 'MP3', 'Doll', 'Cat' lub 'Readme' i mieć rozszerzenie .zip, .exe, .scr, .com lub .cpl. Cechą charakterystyczną Bagle'a jest również fakt, iż załącznik często może mieć postać zabezpieczonego hasłem archiwum .zip - w takim przypadku e-mail zawierać będzie owo hasło. Robak stosuje taki wybieg, by uchronić się przed wykryciem przez program antywirusowy (aplikacje takie mają z reguły problemy ze sprawdzeniem 'zahasłowanego' pliku).

MyDoom.L

MyDoom

Pierwsza wersja robaka pojawiła się w Sieci pod koniec stycznia - MyDoom rozprzestrzeniał się wtedy w zastraszającym tempie, tak, że po kilku dniach zdołał zainfekować miliony komputerów na całym świecie. Zarażone 'pecety' posłużyły później do przeprowadzenia ataku DoS na serwery firm SCO oraz Microsoft. Czas najwyższej aktywności MyDooma już co prawda minął, jednak w Sieci wciąż krąży sporo kopii robaka. Więcej informacji na jego temat można znaleźć w sekcji - 'MyDoom - Król robaków'

Nowy MyDoom zwykle ukrywa się w załączniku e-maila, który (podobnie jak w przypadku Bagle'a AI) opatrzony będzie fałszywym adresem nadawcy - zawsze będzie to jednak adres sugerujący, że wiadomość została wysłana przez administratora lub że jest to wiadomość wygenerowana przez serwer pocztowy (np. 'postmaster', 'Post Office' lub 'MAILER-DAEMON'). Tytuł takiej wiadomości może brzmieć 'hello', 'hi' lub 'delivery failed', zaś nazwa załącznika - 'readme', 'mail', 'text' lub po prostu 'attachment'.

Bez paniki - wystarczy ostrożność

Producenci oprogramowania antywirusowego uspokajają użytkowników, że niezależnie od tego, jak będzie się rozwijała 'epidemia' MyDoom.N i Bagle.AI, to do skutecznego zabezpieczenia się przed działaniem robaków wystarczy uaktualnienie oprogramowania antywirusowego oraz zachowanie elementarnej ostrożności podczas korzystania z poczty elektronicznej.

E-mail zawierający Bagle.AI

E-mail zawierający Bagle.AI

Zasadą numer 1 jest oczywiście nie otwieranie plików załączonych do wiadomości otrzymanych od nieznanych użytkowników. Jeśli jednak zdarzy się, że komputer zostanie zainfekowany przez któregoś z powyższych robaków, można go stosunkowo łatwo usunąć - korzystając z uaktualnionego programu antywirusowego (większość producentów udostępniła już stosowane uaktualnienia) lub ze specjalnych 'szczepionek', usuwających konkretne robaki - ich zbiór możecie znaleźć w naszym serwisie FTP.


Zobacz również