Bagle (robak komputerowy)

Bagle (znany również jako Beagle) był masowo rozsyłanym robakiem komputerowym wpływającym na system Microsoft Windows . Pierwszy szczep, Bagle.A , nie rozprzestrzeniał się szeroko. Drugi wariant, Bagle.B , był znacznie bardziej zjadliwy.

Przegląd

Bagle używał własnego silnika SMTP do masowego rozsyłania siebie jako załącznika do odbiorców zebranych z zainfekowanego komputera, przeczesując wszystkie pliki .htm, .html, .txt i .wab w poszukiwaniu dowolnych adresów e-mail. Nie wysyła wiadomości e-mail na adresy zawierające określone ciągi znaków, takie jak „@hotmail.com”, „@msn.com”, „@microsoft”, „@avp” lub „.r1”. Bagle udaje inny typ pliku (15 872-bajtowy kalkulator Windows dla Bagle.A i 11 264-bajtowy plik audio dla Bagle.B) z losową nazwą, a następnie otworzy ten typ pliku jako przykrywkę do otwierania własnego plik .exe . Kopiuje się do katalogu systemu Windows (Bagle.A jako bbeagle.exe , Bagle.B jako au.exe ), dodaje klucze uruchamiania HKCU do rejestru i otwiera tylne drzwi na porcie TCP (6777 dla Bagle.A i 8866 dla Bagle.B). Korzystając z HTTP GET , Bagle.B informuje również programistę wirusa, że ​​maszyna została pomyślnie zainfekowana. Warianty Bagle, w tym Bagle.A i Bagle.B, generalnie mają w swoim oprogramowaniu datę, w której przestają się rozprzestrzeniać. Komputery zainfekowane starszymi wersjami Bagle są aktualizowane po wydaniu nowszych.

Historia

Początkowa odmiana, Bagle.A, została po raz pierwszy zauważona 18 stycznia 2004 r., prawdopodobnie pochodząca z Australii. Oryginalna nazwa pliku wirusa Bagle brzmiała Beagle, ale informatycy postanowili zamiast tego nazwać go Bagle, aby zrobić na złość programiście Bagle. Mimo że zaczął się dobrze od ponad 120 000 zainfekowanych komputerów, jego skuteczność szybko spadła. Czasami towarzyszył mu Trojan.Mitglieder.C i zgodnie z założeniami przestał się rozprzestrzeniać po 28 stycznia 2004 roku.

Drugi szczep, Bagle.B, został po raz pierwszy zauważony 17 lutego 2004 r. Był znacznie bardziej rozpowszechniony i pojawił się w dużych ilościach; Network Associates oceniło to jako „średnie” zagrożenie. Został zaprojektowany tak, aby przestał się rozprzestrzeniać po 25 lutego 2004 r.

W pewnym momencie w 2004 r. wirusy Bagle i Netsky wymieniały między sobą obelgi i ostre słowa w swoich kodach, poczynając od Bagle.I 3 marca 2004 r. Warto zauważyć, że Bagle.J zawierał wiadomość „Hej, NetSky, odpieprz się suko, nie rujnuj naszego biznesu, chcesz rozpocząć wojnę?”, a Netsky-R dodał: „Tak, prawda, zrozumiałeś. Bagle to gówniany facet, otwiera tylne wejście i zarabia dużo pieniędzy. Netsky nie, Netsky to Skynet, dobre oprogramowanie, stoją za nim dobrzy faceci. Wierzcie mi lub nie. Wydamy tysiące naszych wersji Skynet, o ile będzie tam bajgle…”. Dodatkowo zarówno Bagle, jak i Netsky próbowali usunąć się nawzajem z zainfekowanego systemu.

Później odkryto kolejne warianty. Do 26 lipca 2004 r. Istniało 35 wariantów Bagle, a do 22 kwietnia 2005 r. Liczba ta wzrosła do ponad 100. Chociaż nie wszystkie z nich odniosły sukces, wiele z nich nadal stanowi znaczące zagrożenia. Dodatkowo, 3 i 4 lipca 2004 r. zostały wydane Bagle.AD i Bagle.AE, z kodem źródłowym wirusa, napisanym w Assembly , widocznym w obu z nich.

Niektóre z tych wariantów zawierają następujący tekst:

„Pozdrawiam firmy antywirusowe W trudnym świecie, w bezimiennym czasie, chcę przetrwać, więc będziesz mój!! – Autor Bagle, 29.04.04, Niemcy.”

To sprawiło, że niektórzy uważają, że robak pochodzi z Niemiec.

Od 2004 r. ryzyko związane z tymi wariantami zostało zmienione na „niskie” ze względu na zmniejszoną częstość występowania. Jednak użytkownicy systemu Windows są ostrzegani, aby na to uważać.

Botnet

Botnet Bagle (początkowe wykrycie na początku 2004 r.), znany również pod pseudonimami Beagle , Mitglieder i Lodeight , jest botnetem zaangażowanym głównie w spamowanie poczty e-mail typu proxy-to-relay .

Botnet Bagle składa się z około 150 000-230 000 komputerów zainfekowanych robakiem Bagle Computer . Oszacowano, że botnet był odpowiedzialny za około 10,39% światowego wolumenu spamu w dniu 29 grudnia 2009 r., ze wzrostem do 14% w Nowy Rok, chociaż rzeczywisty odsetek wydaje się szybko rosnąć i spadać. Szacuje się, że od kwietnia 2010 r. botnet wysyła dziennie około 5,7 miliarda wiadomości spamowych, czyli około 4,3% globalnej ilości spamu.

Zobacz też