Автор вируса Bagle распространил «опасный» код на ассемблере

В воскресенье в интернете распространились два новых варианта, а также исходный код оригинального червя Bagle — эксперты считают, что это опасный поворот событий.

Автор Bagle начал распространять два новых варианта червя и запустил массовую рассылку по e-mail его исходного кода — это может стать началом еще одного жаркого лета для пользователей Windows.

Червь Bagle впервые появился в январе в виде e-mail-вложения и за несколько месяцев вышел более чем в 25 вариантах. В зараженные ПК загружается троян, по существу мобилизующий компьютеры в армию зомби автора червя, которую тот может использовать для распространения спама и других почтовых рассылок и для организации DDoS-атак.

В этот уикенд появились не только две новых версии Bagle, но и якобы оригинальный исходный код червя. Микко Гиппонен, директор по антивирусным исследованиям компании F-Secure, считает, что исходный код подлинный, а тот факт, что он написан на чистом ассемблере, свидетельствует о том, что мы имеем дело не со script kiddie, а с серьезным программистом. «Большинство червей пишут на языке С или частично на С и частично на ассемблере. Осталось не так много людей, хорошо знающих ассемблер, так что за этим стоит серьезный программист», — сказал он.

Гиппонен говорит, что хотя ассемблер — трудный язык, для мастера не составит труда модифицировать код и создать новые варианты Bagle, так что администраторам Windows предстоит жаркое лето. «Изменить такие вещи, как номер порта или текст рассылаемых сообщений, не представляет труда. Я уверен, что это приведет к выбросу новых вариантов Bagle, — как было в феврале и марте», — говорит Гиппонен.

Ричард Штернс, вице-президент по безопасности секьюрити-группы ISSA UK, тоже считает исходный код опасным, но отмечает, что он может содержать подсказки, которые помогут правоохранительным органам выследить автора. В исходном коде содержатся его комментарии, которые могут сузить круг подозреваемых. «Если дать десятку программистов одни и те же спецификации, они напишут десять разных программ. Коды будут подобны, но у каждого программиста есть свои особенности — такие, как имена переменных, методы кодирования, способ комментирования кода. Из этого складывается индивидуальный почерк».

С другой стороны, возможно, что таким способом автор надеется замести следы. Если исходный код будет присутствовать на множестве компьютеров, то в случае ареста автора код, найденный в его компьютере, перестанет служить уликой против него.

Не исключено, что решение о распространении исходного кода было вызвано пятничным объявлением о том, что правительства Великобритании, США и Австралии заключили соглашение о совместной борьбе с распространителями спама.

В январе, через несколько дней после того, как Microsoft и SCO Group назначили приз в $500 тыс. за поимку автора MyDoom, начал распространяться исходный код этого вируса. «Возможно, в данном случае применяется аналогичная тактика. В пятницу наличие в компьютере оригинального исходного кода Bagle было веской уликой против его автора. Сегодня это уже не так», — говорит Гиппонен.

Предыдущие публикации:

2004-01-20		Новый червь идет по стопам Sobig
2004-02-11		Автор MyDoom заметает следы?
2004-06-17		ПК-зомби атаковали крупнейшие сайты

Обсуждение и комментарии

	Black IBM.* 6 Jul 2004 4:40 PM
Ваш virus под GPL лиценцией? или его еще надо активировать?

	нц 6 Jul 2004 5:53 PM
вирус под GPL не может быть использован в коммерческих целях. Все что заражено GPL вирусом, должно распространятся с ним в исходниках. И обязательно указание автора. ... Кроме шуток - много ли народу, которые могут свободно писать на ASM? Еще вопрос - много ли софта, который содержит скажем так блоки на ASM? Помню были разговоры о редакторе XARA.. дескать новую версию не могли выпустить из-за того , что часть функционала писалась на ASM с целью оптимизации и были порблемы по переписыванию обновлению этого куска кода.

	Максим - gandalfa-teleport.com 6 Jul 2004 6:11 PM
MenuetOS - операционная система, целиком написанная на ассемблере, так что есть ещё люди. Даже я когда-то (эхх, молодость ;-) ), писал перехватчик паролей к NFS для PCDOS, и тогда он мне нравился намного больше, чем С++ сейчас. Может, исписался просто, да и до отпуска рукой подать...

	Yuri Abele 6 Jul 2004 6:31 PM
To нц: > много ли софта, который содержит скажем так блоки на ASM? В Windows очень много компонентов уровня ядра написаны с использованием блоков на ассемблере

	Зигхуйль 6 Jul 2004 8:15 PM
поэтому windows такая непортабельная кака

	Суп 6 Jul 2004 10:35 PM
помнится и я писал всякие безделушки на ASM; например програмка которая прятала свой исполняемый код в меж-секторное пространство на гибких дисках.

	Суп 6 Jul 2004 10:50 PM
2 Зигхуйль а где тебе винды не хватает? куда ты ее еще запортабилить хочешь? и вообще, че ты, Зигхуйль, хочешь?

	VicTor 6 Jul 2004 11:12 PM
2 Yuri Abele: > В Windows очень много компонентов уровня ядра написаны с использованием блоков на ассемблере тексты в студию, пожалуйста!

	Илья 7 Jul 2004 10:16 AM
> вирус под GPL не может быть использован в коммерческих целях Бред. Может.

	Black IBM.* 7 Jul 2004 11:28 AM
> вирус под GPL не может быть использован в коммерческих целях Бред. Может. коненчо может только нужно обязательно открытить исходники которые вы внесли.

	Black IBM.* 7 Jul 2004 2:45 PM
>>вирус под GPL >> должен заражает не бинари а исходники >> которые совместимы по лицензии с GPL а потом создатеи "коммерчего" аналога этого этого вируса.( те был комерческий аналог потом некто выпустил GPL варинат). подудут в СУД по поводу авторских прав... и всем обладалеям этого GPL вируса приедтся платить бабло за лиценцию от комерческого вируса.. НО главнео бороться с с распостранитеямии контрфактых вирусов. кажды вирус должен быть промаркирован.(что бы причес егео негелагьное использование - а та же с целях броьбы с терроризомом..).. это что же будет если такие виурсу попдут в ИХ руки. поэтому кажды новый экземпляр вирус должен иметь уникальный ID.( а еще лучше привязываться к комьютеру. а еше лучше хранить историю всех компьютеров.).

	Black IBM.* 7 Jul 2004 2:49 PM
а кроме то того созадели вирусов не несут никакой ответсвенности за любой использование .. ну и так далее... вообщем а чем тогда виурсру отличаются от обычного ПО? что сами рапостраняются? так ПО тоже почти само рапостраняется.. только с использование социальнго инженеринга. может быть отличе что ВРЕД.. так ведь и вреда от ПО может быть больше. чем от вируса. тем более что полно вирусов не имеющих вредной части. НЕт диускримниации.

	нц 7 Jul 2004 3:33 PM
С иронией не у всех порядок... Ах, ну да - IT ведь только для серьезных мужчин.

	Alexander S. 7 Jul 2004 7:28 PM
>вирус под GPL не может быть использован в коммерческих целях. Может, но много денег на этом не заработаешь. Основные деньги программисты GPL вирусов зарабатывают не на продаже своего софтвера, а на сервисе: предоставлении услуг по очистке компа от вирусов. >Все что заражено GPL вирусом, должно распространятся с ним в исходниках. Новая лицензия, VGPL, специально предусматривает этот случай и исключает необходимость раздачи исходников зараженной программы при условии, что вирус запускает программу из-под себя как отдельный процесс. Только в том случае, когда VGPL вирус внедряет свои исходники в исходники зараженной программы и собирает всё в код как одно целое, указанная программа должна тоже рассылаться с вирусом в исходниках. >И обязательно указание автора. Автор обязан предоставить свой ДНК, так как любое другое указание автора не является всемирно универсальным. Допустимыми способами предоставления ДНК автора считаются: плюнуть на монитор перед рассылкой вируса, облизать дискету с зараженным файлом перед тем как вставить её в дисковод, засунуть клавиатуру на которой был набран код вируса себе ... подмышку.:) +++ Моя попытка иронии- не судите строго.

	Black IBM.* 7 Jul 2004 8:43 PM
коммерческие вирусы используемые для военных нужды должны получить сертификацию ФАПСИ.

	Александр 8 Jul 2004 9:59 AM
2 Black IBM Если ты считаешь себя профессионалом быстрой печати, то должен печатать, глядя не на клавиатуру при этом, а на монитор. Это и есть профессионализм. Глядя на монитор опечаток почти не допускаешь. А так ты показываешь себя двоечником, который нахватался "вершков"(как печати, так и знаний) и теперь высказывает свое мнение в постах. Уровень твоей печати отражает твой подход к изучению материала. Практически чтение оглавления и страницы с содержанием, после чего ты начинаешь судить о книге в целом(достали твои детские потуги быстрой печати и такие же знания об обсуждаемом материале)

	Вlack ibm.* 8 Jul 2004 5:50 PM
я не гляжу на клавиатуру.. а в монитор лень исправлять. ВИНОВАТ

← июнь 2004

1 2 4 5 6 7 8 9 10

август 2004 →