Professional Documents
Culture Documents
18 января 2004 года началась эпидемия нового почтового червя, получившего название Email-
Worm.Win32.Bagle.a. В тот момент антивирусная индустрия еще не имела представления о масштабах
планов автора червя.
Анализ первой модификации Bagle, проведенный в нашей антивирусной лаборатории, показал, что червь
утратит свою работоспособность после 28 января 2004 года, что давало основания предполагать скорое
появление новых экземпляров червя.
Автор постоянно следил за действиями антивирусных компаний: как только производители средств
защиты начали проверять EXE-расширение первого файла в защищенных паролем архивах, в сети
появлялась модификация, где в архивах первым находился уже HTML-файл с эксплойтом.
На текущий момент в нашей коллекции имеется около ста различных экземпляров Email-
Worm.Win32.Bagle и более ста различных экземпляров Trojan-Proxy.Win32.Mitglieder (Mitglieder написан на
основе исходных кодов Bagle, но не содержит функции саморазмножения). Т.е. можно говорить, что новый
экземпляр в среднем появлялся каждые два дня.
Все усилия автор червя направлял на обман пользователей — от версии к версии совершенствовались
методы социальной инженерии, с помощью которых он вынуждал запускать инфицированные вложения.
Также развивались средства противодействия антивирусам: от удаления сервисов, до сохранения паролей
к зараженным архивам в виде изображений.
15 февраля 2005 года наше внимание привлекло новое создание автора Bagle — SpamTool.Win32.Small.b,
которое после скрытой установки на компьютеры пользователей выполняло сканирование файлов с целью
сбора адресов электронной почты и их последующей передачи на удаленный ресурс. Из списка собранных
адресов данная программа удаляла адреса, принадлежащие ведущим антивирусным компаниям и
разработчикам антиспамовых решений.
Для отслеживания дальнейшей активности Bagle нашими специалистами были созданы несколько тысяч
поддельных email-адресов и с помощью SpamTool.Win32.Small.b переданы на удаленный ресурс. На эти
адреса сразу стали поступать не только новые версии Bagle, но и спам, фишинг, а также другие почтовые
черви. Как такое могло случиться? Автор Bagle сотрудничает с другими авторами червей? Возможно
несколько версий:
• доступ к собираемым автором Bagle спискам адресов имеют и другие члены вирусного
сообщества;
• новые адреса были получены червями после получения спама зараженными машинами, где в
качестве адреса отправителя спама стоял созданный нами адрес;
Не вызывает сомнений тот факт, что «утечка» адресов происходит через автора Bagle.
Оперативность, с которой было обработано огромное количество новых входящих email и то, что на них
сразу стало поступать большое количество червей и спама, говорит об автоматизации процесса поиска и
инфицирования новых компьютеров. Создан своеобразный мир, где роботы осуществляют поиск и
заражение новых компьютеров.
1 марта автор Bagle проверил скорость реакции антивирусных компаний еще одним способом: в течение
одного дня было выпущено 15 (!) новых вредоносных программ.
Если, начиная с января 2004 года, проанализировать частоту появления новых модификаций всех
вредоносных программ от автора, то можно построить следующий график (данные могут отличаться от
данных других антивирусных компаний):
В настоящее время автор червя прекратил зондирование антивирусных компаний и сосредоточил свое
внимание на пользователях и заработке денег различными способами:
• продажа подсетей зараженных машин для осуществления DDoS-атак или рассылки спама;
Созданная сеть зараженных машин требует постоянной поддержки себя в актуальном состоянии путем
непрерывного обновления содержимого URL.
Все последние модификации Bagle упаковываются модифицированными версиями существующих
программ упаковки исполняемых модулей, что говорит о нежелании автора осуществлять дальнейшее
противодействие антивирусным компаниями. Вместо этого он пошел по другому пути создания
недетектируемых версий вредоносных программ — пути исправления кода упаковщиков. Его действия
сейчас основаны на экономической целесообразности прилагаемых усилий.
Будущее Bagle-ботнета
Автор Bagle, несомненно, продолжит зарабатывать деньги на неопытных пользователях путем
поддержания сети зараженных машин в актуальном состоянии. Анализ последних вышедших из-под его
«пера» кодов позволяет нам делать выводы о масштабности его планов: в сферу интереса
вирусописателя попали несколько сотен (!) платежных систем и систем интернет-банкинга, относящиеся
практически ко всем ведущим банкам мира.
Не исключено, что в дальнейшем процесс обработки информации и поиска новых жертв станет полностью
автоматическим.
Стоит также помнить, что Bagle-ботнет — далеко не единственная сеть, состоящая из зараженных
вредоносными программами компьютеров. По этой причине выход в интернет без установленного на
компьютере антивируса может сделать вас источником дохода для создателей подобных сетей.
• не запускайте вложения из полученных вами писем электронной почты, даже если они пришли от
ваших знакомых или от какой-либо антивирусной компании.
Bagle-botnet´i aren
18 января 2004 года началась эпидемия нового почтового червя, получившего название Email-
Worm.Win32.Bagle.a. В тот момент антивирусная индустрия еще не имела представления о масштабах
планов автора червя.
Анализ первой модификации Bagle, проведенный в нашей антивирусной лаборатории, показал, что червь
утратит свою работоспособность после 28 января 2004 года, что давало основания предполагать скорое
появление новых экземпляров червя.
Modifikatsioo
Avastatud Uuendused
n
Автор постоянно следил за действиями антивирусных компаний: как только производители средств
защиты начали проверять EXE-расширение первого файла в защищенных паролем архивах, в сети
появлялась модификация, где в архивах первым находился уже HTML-файл с эксплойтом.
На текущий момент в нашей коллекции имеется около ста различных экземпляров Email-
Worm.Win32.Bagle и более ста различных экземпляров Trojan-Proxy.Win32.Mitglieder (Mitglieder написан на
основе исходных кодов Bagle, но не содержит функции саморазмножения). Т.е. можно говорить, что новый
экземпляр в среднем появлялся каждые два дня.
Все усилия автор червя направлял на обман пользователей — от версии к версии совершенствовались
методы социальной инженерии, с помощью которых он вынуждал запускать инфицированные вложения.
Также развивались средства противодействия антивирусам: от удаления сервисов, до сохранения паролей
к зараженным архивам в виде изображений.
15 февраля 2005 года наше внимание привлекло новое создание автора Bagle — SpamTool.Win32.Small.b,
которое после скрытой установки на компьютеры пользователей выполняло сканирование файлов с целью
сбора адресов электронной почты и их последующей передачи на удаленный ресурс. Из списка собранных
адресов данная программа удаляла адреса, принадлежащие ведущим антивирусным компаниям и
разработчикам антиспамовых решений.
Для отслеживания дальнейшей активности Bagle нашими специалистами были созданы несколько тысяч
поддельных email-адресов и с помощью SpamTool.Win32.Small.b переданы на удаленный ресурс. На эти
адреса сразу стали поступать не только новые версии Bagle, но и спам, фишинг, а также другие почтовые
черви. Как такое могло случиться? Автор Bagle сотрудничает с другими авторами червей? Возможно
несколько версий:
• доступ к собираемым автором Bagle спискам адресов имеют и другие члены вирусного
сообщества;
• новые адреса были получены червями после получения спама зараженными машинами, где в
качестве адреса отправителя спама стоял созданный нами адрес;
Не вызывает сомнений тот факт, что «утечка» адресов происходит через автора Bagle.
Оперативность, с которой было обработано огромное количество новых входящих email и то, что на них
сразу стало поступать большое количество червей и спама, говорит об автоматизации процесса поиска и
инфицирования новых компьютеров. Создан своеобразный мир, где роботы осуществляют поиск и
заражение новых компьютеров.
1 марта автор Bagle проверил скорость реакции антивирусных компаний еще одним способом: в течение
одного дня было выпущено 15 (!) новых вредоносных программ.
Если, начиная с января 2004 года, проанализировать частоту появления новых модификаций всех
вредоносных программ от автора, то можно построить следующий график (данные могут отличаться от
данных других антивирусных компаний):
В настоящее время автор червя прекратил зондирование антивирусных компаний и сосредоточил свое
внимание на пользователях и заработке денег различными способами:
• продажа подсетей зараженных машин для осуществления DDoS-атак или рассылки спама;
Созданная сеть зараженных машин требует постоянной поддержки себя в актуальном состоянии путем
непрерывного обновления содержимого URL.
Будущее Bagle-ботнета
Автор Bagle, несомненно, продолжит зарабатывать деньги на неопытных пользователях путем
поддержания сети зараженных машин в актуальном состоянии. Анализ последних вышедших из-под его
«пера» кодов позволяет нам делать выводы о масштабности его планов: в сферу интереса
вирусописателя попали несколько сотен (!) платежных систем и систем интернет-банкинга, относящиеся
практически ко всем ведущим банкам мира.
Не исключено, что в дальнейшем процесс обработки информации и поиска новых жертв станет полностью
автоматическим.
Стоит также помнить, что Bagle-ботнет — далеко не единственная сеть, состоящая из зараженных
вредоносными программами компьютеров. По этой причине выход в интернет без установленного на
компьютере антивируса может сделать вас источником дохода для создателей подобных сетей.
• не запускайте вложения из полученных вами писем электронной почты, даже если они пришли от
ваших знакомых или от какой-либо антивирусной компании.