Bestia na wolności: kod robaka Bagle w Sieci

W Internecie pojawiły się dwie nowe odmiany robaka Bagle. Ich zaistnienie nie wzbudza już w użytkownikach Sieci tak wiele emocji, ale niemiły dreszczyk wywołać może informacja o opublikowaniu wraz z nimi napisanego w asemblerze kodu źródłowego insekta. Niektórzy eksperci zajmujący się bezpieczeństwem Sieci podkreślają, iż fakt opublikowania kodu w takiej postaci świadczy o tym, że jego autorem jest doświadczony programista. Jakub Dębski z MKS uspokaja: "Użytkownicy nie powinni obawiać się epidemii spowodowanej nowymi odmianami robaka".

Po raz pierwszy o robaku internetowym Bagle usłyszeliśmy na początku roku - w styczniu. Od tamtej pory insekt rozprzestrzeniający się poprzez pocztę elektroniczną w postaci załącznika do wiadomości, pojawił się w Internecie już przeszło w 25 odmianach. Instalacja oraz uruchomienie pobranego z Sieci trojana czyniło z zainfekowanego systemu operacyjnego tzw. 'maszynę zombie' - komputer, który może posłużyć do dystrybucji spamu oraz przeprowadzania ataków DDos (Distributed Denial of Service).

Mamy do czynienia z zawodowcem

Mikko Hypponen, dyrektor centrum badawczego firmy F-Secure twierdzi, iż mamy do czynienia z profesjonalistą. Jego zdaniem świadczy o tym fakt, iż udostępniony kod źródłowy w całości napisany jest w asemblerze (język programowania niskiego poziomu zawierający już konkretne instrukcje dla procesora). Większość kodu źródłowego robaków internetowych oraz wirusów pisana jest zazwyczaj z wykorzystaniem języka C oraz tylko częściowo asemblera. Hypponen twierdzi, iż niewiele osób jest w stanie w tak dobrym stopniu opanować asembler, co oznaczać może, że za Baglem stoi dość poważny i doświadczony programista. Niewielu użytkowników, którzy wejdą w posiadanie takiego kodu, będzie w stanie z niego zrobić użytek. Pomimo to szef zespołu badawczego F-Secure prognozuje, że takie przypadki mogą mieć miejsce, a tegoroczne wakacje dla administratorów sieci będą wyjątkowo pracowite.

Dla niektórych opublikowany kod źródłowy stanowić może istną 'kopalnię informacji'. Tak przynajmniej twierdzi Richard Starnes - wiceprezes organizacji ISSA UK, zajmującej się aspektami bezpieczeństwa Sieci. Wszelkie komentarze autora ukryte w kodzie, wyjaśniające jego poszczególne elementy, mogą zdaniem Starnesa powiedzieć wiele na temat konstruktora, a co więcej, zawężać krąg podejrzanych i przyczynić się do łatwiejszego namierzenia autora robaka. Pojawia się również opinia, że twórca robaka Bagle udostępnia jego kod źródłowy, aby zmylić ludzi, którzy próbują go złapać. Opinię tę potwierdza Jakub Dębski z MKS: "Autor robaka Bagle prawdopodobnie stara się "zgubić w tłumie". Kiedy policja zastuka do jego drzwi powie, że kod źródłowy ściągnął z Internetu, podobnie jak tysiące innych ludzi".

Czy mamy się czego obawiać?

"Użytkownicy nie powinni obawiać się epidemii spowodowanej nowymi odmianami robaka Bagle" - twierdzi Jakub Dębski. "Asembler jest językiem znacznie trudniejszym niż języki o wyższym poziomie abstrakcji. Do sprawnego posługiwania się nim potrzebna jest wiedza na temat działania systemu operacyjnego i osoba posiadająca taką wiedzę mogłaby - gdyby chciała - napisać podobnego robaka samemu. Prawdopodobnie odbiorcy kodu źródłowego nie będą nawet potrafili skompilować kodu robaka. Dużo większym zagrożeniem było opublikowanie przez autora wirusa MyDoom źródeł w języku C, przygotowanych jako projekt gotowy do kompilacji w najpopularniejszym IDE pod Windows [red. - kod źródłowy robaka pojawił się w Sieci w styczniu, kilka dni po informacji o wyznaczeniu przez koncern Microsoft nagrody w wysokości 500 tysięcy USD za pomoc w ujęciu jego autora]. Nowych wersji tego robaka nie powstało jednak wiele, a te, które powstały, nie zawierały niczego innowacyjnego".

Pojawia się pytanie: jak często mamy do czynienia z opublikowaniem kodu źródłowego wirusów i robaków przez ich autorów? Przedstawiciel MKS odpowiada: "Powiedziałbym, że bardzo często, choć nie w przypadku wirusów, które spowodowały epidemię. Wielu autorów wirusów kieruje się swoistą etykietą - tworzą wirusa, który mógłby się rozprzestrzenić, ale zamiast uruchomić go, wysyłają próbki do firm antywirusowych, które szybko przygotowują scan-stringi i szczepionki. Tacy autorzy wirusów zdają sobie sprawę ze szkód, które ich twory mogłyby spowodować. Osoby zainteresowane tworzeniem niebezpiecznych programów bez problemów mogą znaleźć ich kody źródłowe na dziesiątkach stron poświęconych tym zagadnieniom".

Przemysław Jaroszewski z CERT Polska tak oto komentuje fakt opublikowania kodu Bagla: "Podobne przypadki zdarzały się w przeszłości - choćby kilka miesięcy temu upublicznione źródło robaka MyDoom. Zmiany, z jakimi najczęściej mamy do czynienia w przypadku mutacji wirusa to zmiany kosmetyczne, np. sposób maskowania załącznika, numer portu, na którym działa backdoor czy "przesłanie" zawarte w kodzie. W związku z tym komputer raz zabezpieczony przed danym wirusem (w sensie usunięcia przyczyny, a więc luki w systemie, a nie tylko odwirusowania programem antywirusowym) będzie już odporny na takie modyfikacje. Groźniejsze są przypadki wykorzystania części kodu wirusa w połączeniu z nowym exploitem, czyli kodem wykorzystującym zagrożenie nowego typu, nową lukę. Tak naprawdę, w takim przypadku nie ma jednak wielkiego znaczenia, że kod wirusa był wcześniej upubliczniony. Zazwyczaj autorzy mają tak czy inaczej dostęp do gotowych fragmentów kodu realizującego odpowiednie zadania lub sami są w stanie je odpowiednio szybko stworzyć".

Każdemu kto zetknął się z robakiem internetowym Bagle pomoże poniższy zestaw szczepionek do pobrania z naszego serwisu FTP:

http://www.pcworld.pl/ftp/pc/programy/2731/Trend.Micro.Sysclean.Package.html

http://www.pcworld.pl/ftp/pc/programy/3164/Sophos.RESOLVE.for.W32.Beagle.A.C..D.K..N.Q.html

http://www.pcworld.pl/ftp/pc/programy/3021/F.Secure.Bagle.A.I.Removal.Tool.html

http://www.pcworld.pl/ftp/pc/programy/3020/CA.W32.Bagle..A.T..Removal.Utility.html

http://www.pcworld.pl/ftp/pc/programy/2734/avast..Virus.Cleaner.html


Zobacz również