Появление и быстрое распространение новых вариантов червя Bagle озадачило и неприятно удивило экспертов.
Вирус взял на вооружение радикально новую, сложную многоэтапную стратегию. Новые варианты известного вируса получили наименование Glieder, поскольку их отличие от изначального кода Bagle качественно изменило сам вирус. Теперь он использует ряд элементов в сочетаниях, не встречавшихся до этого прежде. В процессе сложного поэтапного проникновения в компьютер жертвы он сначала захватывает 'плацдарм', затем блокирует защиту, и уже потом полностью овладевает компьютером.
'Нам уже доводилось встречаться со сложными угрозами — но не до такой степени, как эта', — заявил архитектор системы безопасности компании Computer Associates в Австралии Крис Томас (Chris Thomas).
Червь Win32.Glieder распространяется стандартным для вирусов способом, посредством массовой рассылки электронной почты. Активация происходит, если получатель открывает содержащееся в письме вложение — в результате червь рассылает сам себя по адресам, содержащимся в адресной книге. 'Тем самым вирус создает плацдарм, — поясняет г-н Томас. — Основная цель — заражение как можно большего количества пользователей небольшим элементом вредоносного кода'. На 1 июня компания СА зарегистрировала уже восемь вариантов нового червя.
Помимо рассылки собственных копий, на зараженные машины загружается 'троянец' Win32.Fantibag, созданный специально для блокирования обновления антивирусного ПО, а также сайта обновлений Microsoft windowsupdate.microsoft.com. 'Тем самым машина лишается защиты, — говорит г-н Томас. — Программное обеспечение лишается возможности обновления, жертва не может получить помощь, и пользователи инфицированных ПК фактически оказываются в изоляции'.
Финальным аккордом атаки является второй «троянец» — Win32.Mitglieder. Он отключает межсетевой экран и антивирусное ПО, еще ниже опуская планку защищенности машины, и превращает ее в один из элементов собственной распределенной сети пораженных компьютеров, используемых для рассылки спама, слежки за пользователями и кражи их персональных данных. Такие сети могут насчитывать многие тысячи машин.
'Это — рынок ширпотреба, на котором продаются зараженные ПК, — продолжает г-н Томас. — Мы уже сталкивались со спамерами и преступниками, промышляющими мошенничеством — они платят приблизительно по 5 центов за каждый такой компьютер'.
Атака с использованием новой стратегии оказалась весьма результативной. 'Наблюдавшаяся нами статистика показывает, что червь по-прежнему быстро распространяется', — пояснил эксперт. При этом, подчеркнул он, новый вирус не блокирует доступ к сайту обновлений антивирусного ПО компании CA. Однако эксперт не смог объяснить, каким именно образом его создатели допустили такую оплошность.
Понравился пост "Компьютерный ''червь'' превратился в страшного вирусного мутанта"?
Поделись с друзьями: