Stare dziury, nowe problemy

Pojawienie się kolejnych wersji robaka internetowego Bagle dowodzi, że twórcy wirusów chętnie eksplorują stare luki w systemach.

Pojawienie się kolejnych wersji robaka internetowego Bagle dowodzi, że twórcy ów chętnie eksplorują stare luki w systemach.

Ostatnie poczynania twórców wirusów i robaków internetowych pokazują wyraźnie, że jednym ze źródeł ich inspiracji są horrory. Świadczą o tym nie tylko zagadkowe nazwy wirusów, ale także, a może przede wszystkim sposób działania ich twórców. Reżyserzy krwiożerczych filmów kreują "twory", które raz unicestwione powracają w niezliczonych sequelach, czyniąc coraz większe spustoszenie. Z wirusami i robakami internetowymi jest podobnie. Gdy już się wydaje, że zagrożenie minęło, powraca ono ze zdwojoną siłą. Pomiędzy horrorami a współczesną walką z wirusami jest jeszcze jedna analogia. I tu, i tu ofiary rzadko mają czyste sumienia - to, co można im zarzucić, to grzech zaniechania.

Bagle II, III, IV i V

Kilkanaście dni temu eksperci ds. ochrony antywirusowej zaalarmowali świat doniesieniem o pojawieniu się nowej wersji robaka Bagle rozsyłanego pocztą, który "premierę" miał w styczniu br. Nowa wersja jest znacznie bardziej złośliwa i trudniejsza do powstrzymania niż jej protoplasta. Co więcej, pojawiła się od razu w czterech nowych wersjach: Q, R, S, T, przy czym żadna z nich nie niesie zawierających złośliwy kod załączników typu ZIP, EXE lub SCR - przez co są znacznie trudniejsze do powstrzymania.

"Aby zainfekować komputer, wystarczy tylko otworzyć wiadomość e-mail" - mówi Graham Cluley, starszy konsultant z firmy Sophos PLC. Robak trafia do systemu dzięki eksploracji starej luki w Windows, znanej jako Internet Explorer Object Data Remote Execution Vulnerability. Powoduje ona wadliwą interpretację przez przeglądarkę Internet Explorer danych przesyłanych protokołem HTTP. Jak wiele podobnych wirusów, Bagle rozprzestrzenia się w wiadomościach o wieloznacznych nagłówkach, takich jak: "Re: hello," "incoming message" "site changes" czy "Re: Hi". Otwarcie lub podgląd zainfekowanej wiadomości na niezabezpieczonym komputerze powoduje załadowanie skryptu z rozszerzeniem PHP z jednego z kilku serwerów działających gdzieś w Internecie, wykorzystanych przez autora wirusa. Po załadowaniu skrypt uruchamia plik z właściwym wirusem.

Zaniechanie

Już w sierpniu ub.r. Microsoft opublikował łatę, która umożliwia usunięcie luki, jednak sądząc po skali rozprzestrzeniania się wirusa, który - zdaniem specjalistów z F-Secure - zainfekował komputery w 20 krajach, wiele firm zlekceważyło konieczność uszczelnienia systemów.

Kara za to zaniechanie może być dotkliwa, gdyż nowe wersje Bagle są trudne do powstrzymania. Oprogramowanie antywirusowe i antyspamowe może łatwo zapobiec rozprzestrzenianiu się wirusa, dzięki skanowaniu załączników, identyfikując wirusa po jego nazwie, rozmiarach pliku i innych charakterystycznych cechach. W tym przypadku brak zainfekowanych załączników utrudnia wykrycie robaka.

Dzięki analizie wywołań generowanych przez nowe wersje wirusa specjalistom z F-Secure udało się zlokalizować większość serwerów, z których jest ładowany wirus. Niebezpieczeństwo nadal jednak istnieje - autor robaka może przecież stworzyć nowe "ogniska zarazy". Na szczęście jednak, twórca wirusa popełnił pewne błędy, które ograniczają jego rozprzestrzenianie się i ułatwiają wykrycie go.

Pasja do innowacji

Nowa wersja Bagle dowodzi "pasji" autora wirusa, który wyszukuje coraz to nowe metody obchodzenia zabezpieczeń. Przy stosowanych obecnie sposobach, takich jak przechowywanie kopii wirusa w plikach graficznych, czy też, tak jak w przypadku najnowszych wersji Bagle, pobieranie kodu właściwego wirusa z serwerów umieszczonych "gdzieś w Internecie", niegdysiejsze przenoszenie wirusów na dyskietkach wydaje się wręcz śmieszne.