Bagle i MyDoom - kontratak robali
- Daniel Cieślak,
- 21.07.2004, godz. 13:01
W tym tygodniu w Sieci pojawiły się nowe mutacje dwóch najbardziej uciążliwych robaków ostatnich miesięcy - MyDooma i Bagle'a. "Insekty" gwałtownie rozprzestrzeniają się, jako medium dystrybucji wykorzystując pocztę elektroniczną (oba mają własne 'silniki' SMTP) oraz sieci P2P. Ich cechą wspólną jest również fakt, iż oba maskują prawdziwe adresy e-mail, z których są wysyłane. Użytkownicy Windows powinni więc mieć się na baczności.
Jako pierwszy pojawił się Bagle.AI - przypadki infekcji nowym robakiem stwierdzono już w poniedziałek. Krótko po tym w Sieci zadebiutował MyDoom.L. Oba "insekty" na razie uznane zostały za niezbyt niebezpieczne, eksperci uważają jednak, że w kolejnych dniach epidemia może się nasilać.
Bagle.AI
Ten 'insekt' zadebiutował w styczniu - jego cechami charakterystycznymi było gwałtowne rozprzestrzenianie się w Sieci oraz błyskawiczne pojawianie się kolejnych wersji (był to efekt rywalizacji autorów Bagle'a z twórcami innego robaka - Netsky'a). W sumie w ciągu ostatnich miesięcy pojawiło się kilkadziesiąt odmian tego robaka. W Bagle'u po raz pierwszy zastosowano mechanizm, polegający na ukrywaniu się robaka w zaszyfrowanym archiwum ZIP (później z tego rozwiązania korzystali autorzy innych robaków).
Wiadomość e-mail, w załączniku do której ukrywa się robak zwykle opatrzona jest fałszywym adresem nadawcy, zaś jej tytuł zaczyna się od przedrostka 'Re'. Plik załączony do e-maila może nosić nazwę zawierającą słowa 'MP3', 'Doll', 'Cat' lub 'Readme' i mieć rozszerzenie .zip, .exe, .scr, .com lub .cpl. Cechą charakterystyczną Bagle'a jest również fakt, iż załącznik często może mieć postać zabezpieczonego hasłem archiwum .zip - w takim przypadku e-mail zawierać będzie owo hasło. Robak stosuje taki wybieg, by uchronić się przed wykryciem przez program antywirusowy (aplikacje takie mają z reguły problemy ze sprawdzeniem 'zahasłowanego' pliku).
MyDoom.L
Pierwsza wersja robaka pojawiła się w Sieci pod koniec stycznia - MyDoom rozprzestrzeniał się wtedy w zastraszającym tempie, tak, że po kilku dniach zdołał zainfekować miliony komputerów na całym świecie. Zarażone 'pecety' posłużyły później do przeprowadzenia ataku DoS na serwery firm SCO oraz Microsoft. Czas najwyższej aktywności MyDooma już co prawda minął, jednak w Sieci wciąż krąży sporo kopii robaka. Więcej informacji na jego temat można znaleźć w sekcji - 'MyDoom - Król robaków'
Bez paniki - wystarczy ostrożność
Producenci oprogramowania antywirusowego uspokajają użytkowników, że niezależnie od tego, jak będzie się rozwijała 'epidemia' MyDoom.N i Bagle.AI, to do skutecznego zabezpieczenia się przed działaniem robaków wystarczy uaktualnienie oprogramowania antywirusowego oraz zachowanie elementarnej ostrożności podczas korzystania z poczty elektronicznej.
E-mail zawierający Bagle.AI