Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Analiza ewolucji epidemii robaków Bagle


18 stycznia 2004 – analitycy z firmy Kaspersky Lab wykrywają robaka Email-Worm.Win32.Bagle.a, który natychmiast powoduje globalną epidemię. Nikt z branży antywirusowej nawet nie przypuszcza jak złożone są plany autora tego szkodnika.

Szczegółowa analiza kodu robaka Bagle.a ujawniła, że jego rozprzestrzenianie zatrzyma się 29 stycznia 2004. Eksperci z firmy Kaspersky Lab uznali, że bardzo szybko pojawią się nowe wersje i rzeczywiście tak się stało - kolejne warianty robaka zostały wykryte w ciągu miesiąca.

Każda modyfikacja posiadała nowe funkcje utrudniające wykrywanie i pozwalające na jeszcze szersze rozprzestrzenianie się. Poniższa tabela prezentuje ewolucję robaka Bagle.

Modyfikacja Data wykrycia Nowości
Bagle.b 17 lutego 2004 Plik wykonywalny robaka został spakowany, co utrudniało jego wykrywanie.
Bagle.c 27 lutego 2004 Zainfekowane załączniki posiadały ikony dokumentów programu MS Excel. Miało to na celu oszukanie użytkowników i przekonanie ich do otwarcia załączników. W konstruowaniu tematów i treści zainfekowanych wiadomości autor robaka zastosował socjotechnikę.
Bagle.d 28 lutego 2004 Autor robaka zmienił ikony zainfekowanych załączników na ikony plików tekstowych. Prawdopodobnie uznał on, że użytkownicy nie ufają dokumentom Excela.
Bagle.f 29 lutego 2004 Autor rozpoczął wykorzystywanie sieci P2P jako kolejnego medium dla robaka. Kuszące nazwy zainfekowanych plików nosiły znamiona socjotechniki (przykładowo Microsft Office 2003 Crack, Working!.exe, Porno pics archive, xxx.exe itd.). Ta wersja zainfekowała jeszcze więcej komputerów. Autor zauważył, że producenci oprogramowania antywirusowego efektywnie blokują nowe wersje robaka i zastosował nowe podejście. Zainfekowane załączniki miały postać archiwów zabezpieczonych hasłem, które znajdowało się w treści wiadomości.
Bagle.i 3 marca 2004 Ta wersja zapoczątkowała tzw. wojnę wirusów. Bagle.i zawierał obraźliwe treści skierowane przeciwko autorom robaka NetSky. Kolejne wersje usuwały nawet robaka NetSky z zainfekowanych komputerów. Bagle.ai wykorzystywał także sprytny trik socjotechniczny - wiadomość e-mail zawierała tekst wskazujący, iż rzekomo została napisana przez pracownika firmy Kaspersky Lab. Adres nadawcy był sfałszowany tak, aby wiadomość wyglądała na wysłaną z domeny @kaspersky.com.
Bagle.n 13 marca 2004 W tej wersji autor wykorzystał szereg nowych technik mających na celu utrudnienie wykrycia robaka. Przede wszystkim, hasło do archiwum zawierającego zainfekowany załącznik miało postać obrazka zamiast tekstu, który producenci programów antywirusowych już skutecznie wykrywali. W tej wersji autor po raz pierwszy zastosował polimorfizm. Wraz z rozprzestrzenianiem Bagle.am mutował, co znacznie utrudniało jego wykrywanie.

Z każdą nową wersją autor robaka Bagle dopracowuje sprawdzone techniki i wprowadza nowe metody. Internauci w dalszym ciągu dają się nabierać, a analitycy z laboratoriów antywirusowych nie mają chwili wytchnienia. Kolejne wersje robaka Bagle:

  • blokują dostęp do stron producentów oprogramowania antywirusowego, co uniemożliwia użytkownikom pobieranie uaktualnień;
  • zawierają coraz dłuższe listy blokowanych procesów, włącznie z programami antywirusowymi i zaporami ogniowymi; uniemożliwia to użytkownikom korzystanie z ochrony;
  • wykorzystują skrypty VBS w celu aktywowania szkodliwego kodu.

Autor robaka śledzi metody wykorzystywane przez producentów oprogramowania antywirusowego do blokowania nowych wersji. Przykładowo, produkty antywirusowe skanowały archiwa zabezpieczone hasłem, gdy pierwszy plik posiadał rozszerzenie EXE. W odpowiedzi kolejne wersje robaka zawierały w tym miejscu plik HTML i wykrycie szkodnika wymagało dodatkowej analizy.

Dotychczas analitycy z laboratorium antywirusowego firmy Kaspersky Lab wykryli ponad 100 wersji robaka Email-Worm.Win32.Bagle i prawie taką samą liczbę trojanów Trojan-Proxy.Win32.Mitglieder (trojan ten powstał w oparciu o kod źródłowy robaka Bagle i nie może samodzielnie się rozprzestrzeniać). Innymi słowy, autor robaka Bagle produkuje nowe wersje średnio co dwa dni.

Autor robaka Bagle produkuje nowe wersje szkodliwego oprogramowania średnio co dwa dni.

Większość wersji robaka Bagle posiada mechanizm wyłączający szkodnika w określonym dniu. Wydaje się jasne, że autor od początku planował regularne wypuszczanie kolejnych odmian. Co ważniejsze, wszystkie wersje szkodnika posiadają procedury pozwalające na zdalne zarządzanie zainfekowanymi komputerami.

Autor robaka Bagle skupił się na dopracowaniu socjotechniki, która miała na celu zachęcanie użytkowników do otwierania zainfekowanych załączników. Jednocześnie szkodniki posiadały funkcje utrudniające ich wykrywanie: blokowanie witryn producentów oprogramowania antywirusowego, zabezpieczanie zainfekowanych załączników hasłem itp. Krótko mówiąc, wydawało się, że autor robaka Bagle wdał się w długoterminową kampanię przeciwko twórcom oprogramowania antywirusowego, szukając w międzyczasie nowych maszyn, które można zainfekować i zdalnie kontrolować.

Okazało się jednak, że jego plany były znacznie bardziej dalekosiężne...

Niekończąca się opowieść: Bagle obecnie

Autor robaka Bagle poświęcił wiele czasu na dopracowywanie technik infekowania komputerów oraz na tworzenie nowych odmian samego robaka, jak i trojanów. W efekcie powstała ogromna sieć maszyn zombie, które były ślepo posłuszne kontrolującemu je hakerowi. Komputery takie kontrolowane są przy użyciu szeregu adresów URL, gdzie autor regularnie umieszcza uaktualnienia szkodliwego kodu. W celu oszukania użytkowników i twórców oprogramowania antywirusowego adresy te mogą być przez długi czas uśpione lub prowadzić do pustych stron.

Bumerang spamerskich trików

15 lutego 2005 roku autor robaka Bagle opublikował nowy rodzaj szkodliwego programu - SpamTool.Win32.Small.b. To narzędzie spamerskie powstało w celu skanowania zainfekowanych komputerów w poszukiwaniu adresów e-mail. Po zgromadzeniu listy kontaktów szkodnik usuwa z niej adresy producentów oprogramowania związanego z bezpieczeństwem. Powodem nie jest tutaj strach autora, lecz przemyślana strategia - im dłużej twórcy oprogramowania nie otrzymają próbki nowego szkodnika, tym większa może być liczba zainfekowanych komputerów. Wysyłanie spamu do milionów użytkowników może zająć kilka godzin, zatem liczy się każda minuta. W tym wypadku każda minuta oznacza tysiące nowych maszyn zombie, a co za tym idzie - większy zysk.

Przy użyciu tysięcy adresów e-mail (specjalnie przygotowanych do tego celu) analitycy z firmy Kaspersky Lab stworzyli przynętę i za pośrednictwem aplikacji SpamTool.Win32.Small.b dostarczyli te kontakty do autora robaka Bagle. W odpowiedzi pojawił się prawdziwy zalew nowych Bagli, spamu, wiadomości typu phishing, a także innych robaków pocztowych. Co się zatem stało? Czy autor robaka Bagle współpracował z innymi cyber-przestępcami? Możliwych jest kilka scenariuszy:

  • inni członkowie podziemia cyber-przestępczego mają dostęp do list mailingowych generowanych przez robaki Bagle;
  • inne szkodliwe programy zdobyły nasze adresy z przychodzących wiadomości po tym, jak spam został przez nas celowo wysłany;
  • autor robaka Bagle sprzedaje listy mailingowe.

Niezależnie od tego, co wydarzyło się na prawdę jasne jest jedno - adresy wydostały się od autora robaka Bagle.

Ponadto prędkość z jaką przetworzono tak wiele adresów pozwala sądzić, że proces wyszukiwania i infekowania nowych komputerów jest zautomatyzowany. Twórcy wirusów, w tym wypadku autor robaka Bagle, skonstruowali roboty, które automatycznie pobierają i implementują dane w celu infekowania kolejnych komputerów i łączenia ich w sieci (botnety).

Testowanie czasu reakcji

1 marca 2005 roku autor robaka Bagle postanowił przetestować czas rekcji producentów oprogramowania antywirusowego i w ciągu niecałych 24 godzin wypuścił piętnaście nowych szkodników związanych z robakiem Bagle .

Jeżeli prześledzimy częstotliwość, z jaką nowe warianty szkodliwego oprogramowania związanego z robakiem Bagle pojawiały się w styczniu 2004 roku, zauważymy, że autor szkodnika staje się coraz bardziej aktywny (dane pochodzące od innych producentów oprogramowania antywirusowego mogą się różnić):

Zarabianie pieniędzy

Wraz z tworzeniem kolejnych wersji, autor robaka Bagle przestał skupiać się na zwodzeniu twórców oprogramowania antywirusowego i za cel przyjął zainfekowanie jak największej liczby komputerów w celu zarabiania pieniędzy poprzez:

  • sprzedaż botnetów, które mogą być wykorzystywane do przeprowadzania ataków DoS oraz jako platformy do wysyłania spamu;
  • sprzedaż adresów e-mail spamerom lub phisherom;
  • wykradanie z zainfekowanych komputerów poufnych danych, takich jak loginy i hasła, numery kart kredytowych, dane dotyczące bankowości elektronicznej itp.

Aby biznes się kręcił autor robaka Bagle musi dbać o aktywność maszyn zombie tworzących botnety. Najbardziej opłacalną techniką okazało się dla niego regularne uaktualnianie szkodników przechowywanych na zainfekowanych stronach WWW.

Najnowsze szkodniki związane z robakiem Bagle są spakowane przy użyciu zmodyfikowanych pakerów, zarówno komercyjnych, jak i pochodzących z podziemia. Wygląda na to, że autor robaka Bagle nie skupia się już na przechytrzaniu twórców oprogramowania antywirusowego. Celem stał się jak największy zysk przy minimalnym wysiłku.

Czego możemy się spodziewać w przyszłości?

Autor robaka Bagle bez wątpienia będzie poszukiwał nowych sposobów na zarabianie pieniędzy poprzez żerowanie na użytkownikach komputerów. Szczegółowa analiza ostatnich wersji jeszcze bardziej uwidacznia złożoność planów tego cyber-przestępcy. Kod szkodników odnosi się do kilkuset systemów płatności elektronicznej oraz e-banków. Z pewnością próba zarobienia pieniędzy z tych źródeł znajduje się w czołówce listy planów autora robaka Bagle.

Stopień zaawansowania machiny stworzonej przez autora robaka Bagle pozwala sądzić, że będzie on kontynuował tworzenie robotów, aż system zdobywania adresów, infekowania komputerów i podtrzymywania maszyn zombie zostanie całkowicie zautomatyzowany.

Zalecenia dla użytkowników

Analitycy z laboratorium antywirusowego firmy Kaspersky Lab przez cały czas z uwagą przyglądają się sytuacji. Nowe uaktualnienia pojawiają się błyskawicznie, co pozwala na zapewnienie skutecznej ochrony.

Oto kilka rad, które pomogą w ochronie komputera:

  • Należy regularnie uaktualniać antywirusowe bazy danych - eksperci z firmy Kaspersky Lab publikują uaktualnienia co godzinę.
  • Należy regularnie uaktualniać użytkowany system operacyjny.
  • Nigdy nie należy otwierać i uruchamiać załączników wiadomości e-mail (nawet gdy pochodzą od przyjaciół, czy producentów oprogramowania) bez uprzedniego skontrolowania ich przy użyciu programu antywirusowego.

Podsumowując, botnety robaka Bagle nie są jedynymi w Internecie. W dzisiejszych czasach korzystanie z zasobów Sieci bez skutecznej i regularnie uaktualnianej ochrony antywirusowej jest jak zaproszenie do zainfekowania komputera i zamienienia go w kolejną maszynę zombie.