Antivīrusu kompānijas ziņo par reģistrētiem globāla mēroga kaitīgo kodu izsūtīšanas gadījumiem, kad ar e-pasta starpniecību izplatītas daudzas uz «slavenā» e-pasta tārpa «Bagle» koda bāzētas kaitīgo programmu versijas.
Sācies jauns «Bagle» uzbrukumu vilnis
Lūdzu, ņemiet vērā, ka raksts ir vairāk nekā piecus gadus vecs un ir pārvietots uz mūsu arhīvu. Mēs neatjauninām arhīvu saturu, tāpēc var būt nepieciešams meklēt jaunākus avotus.
Pirmie inficētie e-pasta sūtījumi tika konstatēti vakar, 31. maijā, un ziņas par arvien jaunām kaitīgā koda modifikācijām turpināja pienākt pat vēlu vakarā.
SIA «Datoru drošības tehnoloģijas» ir fiksējusi paaugstinātu aktivitāti e-pasta kaitīgo kodu jomā arī Latvijā. Diennaktī pārtverto inficēto e-pasta sūtījumu skaits, kas pēdējā laikā svārstījās starp 25 000–30 000, 31. maijā sasniedza 53 354 vēstules. Arī unikālo Latvijas IP adrešu skaits, no kuriem reģistrēti inficēti sūtījumi, ir palēcies no aptuveni 600 līdz 700. Aiz katras no šīm adresēm var atrasties gan kāds mājas lietotājs, gan arī liels uzņēmums vai valsts iestāde.
Jaunās «Bagle» modifikācijas atceļo kā e-pasta vēstulēm pievienots aptuveni 17 KB liels ZIP formāta fails un apdraud «Windows» datorus, ja lietotājs atver arhīvu un palaiž tajā esošo izpildāmo failu. Vēstules tēmas un teksta lauks var būt tukšs vai saturēt patvaļīgu tekstu. Pievienotais ZIP arhīvs satur izpildāmo failu, kura nosaukums var būt «03_05_2005. exe», «01_05_2005. exe», «19_04_2005. exe» vai līdzīgs.
Zīmīgi, ka jaunās «Bagle» modifikācijas nespēj pašas izplatīties, toties tās satur garu sarakstu ar interneta adresēm, no kurām inficētajos datoros var tikt ielādēti papildus kaitīgie kodi. Tāpat tās vairākos veidos traucē vai pat neitralizē populārāko aizsardzības programmu darbu.
Jaunās «Bagle» modifikācijas ir ļoti līdzīgas jau iepriekš atklātajām, turklāt arī šajā incidentā ļaundari centušies lietot pašlaik populāru metodi, kad viens un tas pats kaitīgais kods tiek sapakots ar dažādiem pakotājiem, tā mēģinot apiet antivīrusu aizsardzību.
«Jaunais «Bagle» uzbrukums precīzi atbilst jaunākajām kiberdraudu komercializācijas tendencēm,» skaidro Valdis Šķesters, «Kaspersky Lab» pārstāvis Latvijā. «Kaitīgais kods pats neizplatās, lai lieki nenodotu savu klātbūtni inficētajā sistēmā, bet tiek izsūtīts no «zombētiem» datoriem. Uzbrukums atšķiras ar paaugstinātu ātrumu un līdzinās sacensībām starp antivīrusu kompānijām un ļaundariem, kad uz antivīrusu ražotāju reakciju tiek atbildēts ar jaunu kaitīgā koda modifikāciju plūdiem. Vēl jāatzīmē, ka pēdējās dienās novērojama arī tārpa «Mytob» jaunu versiju paaugstināta aktivitāte. Dažas antivīrusu kompānijas «Mytob», līdzīgi kā tagad «Bagle», ir novērtējušas ar vidēju bīstamības līmeni.»
«Kaspersky Lab» ir izlaidusi atbilstošus «Kaspersky Anti-Virus» atjauninājumus un visas jaunās «Bagle» modifikācijas tiek identificētas kā «Email-Worm.Win32. Bagle.bo» un «Email-Worm.Win32. Bagle.bp».