Analiza ewolucji epidemii robak贸w Bagle
Szczeg贸艂owa analiza kodu robaka Bagle.a ujawni艂a, 偶e jego rozprzestrzenianie zatrzyma si臋 29 stycznia 2004. Eksperci z firmy Kaspersky Lab uznali, 偶e bardzo szybko pojawi膮 si臋 nowe wersje i rzeczywi艣cie tak si臋 sta艂o - kolejne warianty robaka zosta艂y wykryte w ci膮gu miesi膮ca.
Ka偶da modyfikacja posiada艂a nowe funkcje utrudniaj膮ce wykrywanie i pozwalaj膮ce na jeszcze szersze rozprzestrzenianie si臋. Poni偶sza tabela prezentuje ewolucj臋 robaka Bagle.
| Modyfikacja | Data wykrycia | Nowo艣ci |
| Bagle.b | 17 lutego 2004 | Plik wykonywalny robaka zosta艂 spakowany, co utrudnia艂o jego wykrywanie. |
| Bagle.c | 27 lutego 2004 | Zainfekowane za艂膮czniki posiada艂y ikony dokument贸w programu MS Excel. Mia艂o to na celu oszukanie u偶ytkownik贸w i przekonanie ich do otwarcia za艂膮cznik贸w. W konstruowaniu temat贸w i tre艣ci zainfekowanych wiadomo艣ci autor robaka zastosowa艂 socjotechnik臋. |
| Bagle.d | 28 lutego 2004 | Autor robaka zmieni艂 ikony zainfekowanych za艂膮cznik贸w na ikony plik贸w tekstowych. Prawdopodobnie uzna艂 on, 偶e u偶ytkownicy nie ufaj膮 dokumentom Excela. |
| Bagle.f | 29 lutego 2004 | Autor rozpocz膮艂 wykorzystywanie sieci P2P jako kolejnego medium dla robaka. Kusz膮ce nazwy zainfekowanych plik贸w nosi艂y znamiona socjotechniki (przyk艂adowo Microsft Office 2003 Crack, Working!.exe, Porno pics archive, xxx.exe itd.). Ta wersja zainfekowa艂a jeszcze wi臋cej komputer贸w. Autor zauwa偶y艂, 偶e producenci oprogramowania antywirusowego efektywnie blokuj膮 nowe wersje robaka i zastosowa艂 nowe podej艣cie. Zainfekowane za艂膮czniki mia艂y posta膰 archiw贸w zabezpieczonych has艂em, kt贸re znajdowa艂o si臋 w tre艣ci wiadomo艣ci. |
| Bagle.i | 3 marca 2004 | Ta wersja zapocz膮tkowa艂a tzw. wojn臋 wirus贸w. Bagle.i zawiera艂 obra藕liwe tre艣ci skierowane przeciwko autorom robaka NetSky. Kolejne wersje usuwa艂y nawet robaka NetSky z zainfekowanych komputer贸w. Bagle.ai wykorzystywa艂 tak偶e sprytny trik socjotechniczny - wiadomo艣膰 e-mail zawiera艂a tekst wskazuj膮cy, i偶 rzekomo zosta艂a napisana przez pracownika firmy Kaspersky Lab. Adres nadawcy by艂 sfa艂szowany tak, aby wiadomo艣膰 wygl膮da艂a na wys艂an膮 z domeny @kaspersky.com. |
| Bagle.n | 13 marca 2004 | W tej wersji autor wykorzysta艂 szereg nowych technik maj膮cych na celu utrudnienie wykrycia robaka. Przede wszystkim, has艂o do archiwum zawieraj膮cego zainfekowany za艂膮cznik mia艂o posta膰 obrazka zamiast tekstu, kt贸ry producenci program贸w antywirusowych ju偶 skutecznie wykrywali. W tej wersji autor po raz pierwszy zastosowa艂 polimorfizm. Wraz z rozprzestrzenianiem Bagle.am mutowa艂, co znacznie utrudnia艂o jego wykrywanie. |
Z ka偶d膮 now膮 wersj膮 autor robaka Bagle dopracowuje sprawdzone techniki i wprowadza nowe metody. Internauci w dalszym ci膮gu daj膮 si臋 nabiera膰, a analitycy z laboratori贸w antywirusowych nie maj膮 chwili wytchnienia. Kolejne wersje robaka Bagle:
- blokuj膮 dost臋p do stron producent贸w oprogramowania antywirusowego, co uniemo偶liwia u偶ytkownikom pobieranie uaktualnie艅;
- zawieraj膮 coraz d艂u偶sze listy blokowanych proces贸w, w艂膮cznie z programami antywirusowymi i zaporami ogniowymi; uniemo偶liwia to u偶ytkownikom korzystanie z ochrony;
- wykorzystuj膮 skrypty VBS w celu aktywowania szkodliwego kodu.
Autor robaka 艣ledzi metody wykorzystywane przez producent贸w oprogramowania antywirusowego do blokowania nowych wersji. Przyk艂adowo, produkty antywirusowe skanowa艂y archiwa zabezpieczone has艂em, gdy pierwszy plik posiada艂 rozszerzenie EXE. W odpowiedzi kolejne wersje robaka zawiera艂y w tym miejscu plik HTML i wykrycie szkodnika wymaga艂o dodatkowej analizy.
Dotychczas analitycy z laboratorium antywirusowego firmy Kaspersky Lab wykryli ponad 100 wersji robaka Email-Worm.Win32.Bagle i prawie tak膮 sam膮 liczb臋 trojan贸w Trojan-Proxy.Win32.Mitglieder (trojan ten powsta艂 w oparciu o kod 藕r贸d艂owy robaka Bagle i nie mo偶e samodzielnie si臋 rozprzestrzenia膰). Innymi s艂owy, autor robaka Bagle produkuje nowe wersje 艣rednio co dwa dni.
| Autor robaka Bagle produkuje nowe wersje szkodliwego oprogramowania 艣rednio co dwa dni. |
Wi臋kszo艣膰 wersji robaka Bagle posiada mechanizm wy艂膮czaj膮cy szkodnika w okre艣lonym dniu. Wydaje si臋 jasne, 偶e autor od pocz膮tku planowa艂 regularne wypuszczanie kolejnych odmian. Co wa偶niejsze, wszystkie wersje szkodnika posiadaj膮 procedury pozwalaj膮ce na zdalne zarz膮dzanie zainfekowanymi komputerami.
Autor robaka Bagle skupi艂 si臋 na dopracowaniu socjotechniki, kt贸ra mia艂a na celu zach臋canie u偶ytkownik贸w do otwierania zainfekowanych za艂膮cznik贸w. Jednocze艣nie szkodniki posiada艂y funkcje utrudniaj膮ce ich wykrywanie: blokowanie witryn producent贸w oprogramowania antywirusowego, zabezpieczanie zainfekowanych za艂膮cznik贸w has艂em itp. Kr贸tko m贸wi膮c, wydawa艂o si臋, 偶e autor robaka Bagle wda艂 si臋 w d艂ugoterminow膮 kampani臋 przeciwko tw贸rcom oprogramowania antywirusowego, szukaj膮c w mi臋dzyczasie nowych maszyn, kt贸re mo偶na zainfekowa膰 i zdalnie kontrolowa膰.
Okaza艂o si臋 jednak, 偶e jego plany by艂y znacznie bardziej dalekosi臋偶ne...
Nieko艅cz膮ca si臋 opowie艣膰: Bagle obecnie
Autor robaka Bagle po艣wi臋ci艂 wiele czasu na dopracowywanie technik infekowania komputer贸w oraz na tworzenie nowych odmian samego robaka, jak i trojan贸w. W efekcie powsta艂a ogromna sie膰 maszyn zombie, kt贸re by艂y 艣lepo pos艂uszne kontroluj膮cemu je hakerowi. Komputery takie kontrolowane s膮 przy u偶yciu szeregu adres贸w URL, gdzie autor regularnie umieszcza uaktualnienia szkodliwego kodu. W celu oszukania u偶ytkownik贸w i tw贸rc贸w oprogramowania antywirusowego adresy te mog膮 by膰 przez d艂ugi czas u艣pione lub prowadzi膰 do pustych stron.
Bumerang spamerskich trik贸w
15 lutego 2005 roku autor robaka Bagle opublikowa艂 nowy rodzaj szkodliwego programu -
Przy u偶yciu tysi臋cy adres贸w e-mail (specjalnie przygotowanych do tego celu) analitycy z firmy Kaspersky Lab stworzyli przyn臋t臋 i za po艣rednictwem aplikacji
- inni cz艂onkowie podziemia cyber-przest臋pczego maj膮 dost臋p do list mailingowych generowanych przez robaki Bagle;
- inne szkodliwe programy zdoby艂y nasze adresy z przychodz膮cych wiadomo艣ci po tym, jak spam zosta艂 przez nas celowo wys艂any;
- autor robaka Bagle sprzedaje listy mailingowe.
Niezale偶nie od tego, co wydarzy艂o si臋 na prawd臋 jasne jest jedno - adresy wydosta艂y si臋 od autora robaka Bagle.
Ponadto pr臋dko艣膰 z jak膮 przetworzono tak wiele adres贸w pozwala s膮dzi膰, 偶e proces wyszukiwania i infekowania nowych komputer贸w jest zautomatyzowany. Tw贸rcy wirus贸w, w tym wypadku autor robaka Bagle, skonstruowali roboty, kt贸re automatycznie pobieraj膮 i implementuj膮 dane w celu infekowania kolejnych komputer贸w i 艂膮czenia ich w sieci (botnety).
Testowanie czasu reakcji
1 marca 2005 roku autor robaka Bagle postanowi艂 przetestowa膰 czas rekcji producent贸w oprogramowania antywirusowego i w ci膮gu nieca艂ych 24 godzin wypu艣ci艂 pi臋tna艣cie nowych szkodnik贸w zwi膮zanych z robakiem Bagle .
Je偶eli prze艣ledzimy cz臋stotliwo艣膰, z jak膮 nowe warianty szkodliwego oprogramowania zwi膮zanego z robakiem Bagle pojawia艂y si臋 w styczniu 2004 roku, zauwa偶ymy, 偶e autor szkodnika staje si臋 coraz bardziej aktywny (dane pochodz膮ce od innych producent贸w oprogramowania antywirusowego mog膮 si臋 r贸偶ni膰):
Zarabianie pieni臋dzy
Wraz z tworzeniem kolejnych wersji, autor robaka Bagle przesta艂 skupia膰 si臋 na zwodzeniu tw贸rc贸w oprogramowania antywirusowego i za cel przyj膮艂 zainfekowanie jak najwi臋kszej liczby komputer贸w w celu zarabiania pieni臋dzy poprzez:
- sprzeda偶 botnet贸w, kt贸re mog膮 by膰 wykorzystywane do przeprowadzania atak贸w DoS oraz jako platformy do wysy艂ania spamu;
- sprzeda偶 adres贸w e-mail spamerom lub phisherom;
- wykradanie z zainfekowanych komputer贸w poufnych danych, takich jak loginy i has艂a, numery kart kredytowych, dane dotycz膮ce bankowo艣ci elektronicznej itp.
Aby biznes si臋 kr臋ci艂 autor robaka Bagle musi dba膰 o aktywno艣膰 maszyn zombie tworz膮cych botnety. Najbardziej op艂acaln膮 technik膮 okaza艂o si臋 dla niego regularne uaktualnianie szkodnik贸w przechowywanych na zainfekowanych stronach WWW.
Najnowsze szkodniki zwi膮zane z robakiem Bagle s膮 spakowane przy u偶yciu zmodyfikowanych paker贸w, zar贸wno komercyjnych, jak i pochodz膮cych z podziemia. Wygl膮da na to, 偶e autor robaka Bagle nie skupia si臋 ju偶 na przechytrzaniu tw贸rc贸w oprogramowania antywirusowego. Celem sta艂 si臋 jak najwi臋kszy zysk przy minimalnym wysi艂ku.
Czego mo偶emy si臋 spodziewa膰 w przysz艂o艣ci?
Autor robaka Bagle bez w膮tpienia b臋dzie poszukiwa艂 nowych sposob贸w na zarabianie pieni臋dzy poprzez 偶erowanie na u偶ytkownikach komputer贸w. Szczeg贸艂owa analiza ostatnich wersji jeszcze bardziej uwidacznia z艂o偶ono艣膰 plan贸w tego cyber-przest臋pcy. Kod szkodnik贸w odnosi si臋 do kilkuset system贸w p艂atno艣ci elektronicznej oraz e-bank贸w. Z pewno艣ci膮 pr贸ba zarobienia pieni臋dzy z tych 藕r贸de艂 znajduje si臋 w czo艂贸wce listy plan贸w autora robaka Bagle.
Stopie艅 zaawansowania machiny stworzonej przez autora robaka Bagle pozwala s膮dzi膰, 偶e b臋dzie on kontynuowa艂 tworzenie robot贸w, a偶 system zdobywania adres贸w, infekowania komputer贸w i podtrzymywania maszyn zombie zostanie ca艂kowicie zautomatyzowany.
Zalecenia dla u偶ytkownik贸w
Analitycy z laboratorium antywirusowego firmy Kaspersky Lab przez ca艂y czas z uwag膮 przygl膮daj膮 si臋 sytuacji. Nowe uaktualnienia pojawiaj膮 si臋 b艂yskawicznie, co pozwala na zapewnienie skutecznej ochrony.
Oto kilka rad, kt贸re pomog膮 w ochronie komputera:
- Nale偶y regularnie uaktualnia膰 antywirusowe bazy danych - eksperci z firmy Kaspersky Lab publikuj膮 uaktualnienia co godzin臋.
- Nale偶y regularnie uaktualnia膰 u偶ytkowany system operacyjny.
- Nigdy nie nale偶y otwiera膰 i uruchamia膰 za艂膮cznik贸w wiadomo艣ci e-mail (nawet gdy pochodz膮 od przyjaci贸艂, czy producent贸w oprogramowania) bez uprzedniego skontrolowania ich przy u偶yciu programu antywirusowego.
Podsumowuj膮c, botnety robaka Bagle nie s膮 jedynymi w Internecie. W dzisiejszych czasach korzystanie z zasob贸w Sieci bez skutecznej i regularnie uaktualnianej ochrony antywirusowej jest jak zaproszenie do zainfekowania komputera i zamienienia go w kolejn膮 maszyn臋 zombie.