18 января 2004 года началась эпидемия нового почтового червя, получившего название Email-Worm.Win32.Bagle.a. В тот момент антивирусная индустрия еще не имела представления о масштабах планов автора червя.
Анализ первой модификации Bagle, проведенный в нашей антивирусной лаборатории, показал, что червь утратит свою работоспособность после 28 января 2004 года, что давало основания предполагать скорое появление новых экземпляров червя.
Следующая версия червя появилась спустя месяц после эпидемии Bagle.a.
Как все начиналось
Практически каждая появляющаяся модификация червя содержала новый функционал, который был направлен на увеличение сложности детектирования и увеличение масштабности эпидемий. По мере освоения автором вирусных технологий, эволюция червя выглядела следующим образом:
Модификация | Обнаружена | Новшества |
Bagle.b | 17.02.2004 | С целью усложнения анализа, исполняемый модуль червя упакован. |
Bagle.c | 27.02.2004 | Изменение иконок зараженных вложений на иконки Excel-файлов вызывало увеличение вероятности запуска инфицированных файлов получателем. С целью увеличения вероятности запуска зараженного вложения с этой версии автор начинает составлять заголовки инфицированных писем с применением методов социальной инженерии, что также приводило к росту числа заражений. |
Bagle.d | 28.02.2004 | Автор червя приходит к выводу, что опытные пользователи не открывают не только исполняемые файлы, но и Excel-модули, т.к. Excel-файлы могут содержать вредоносный код. Для увеличения числа заражений, исполняемые модули Bagle.d выдаются за обычные текстовые файлы, что снижает бдительность ряда пользователей. |
Bagle.f | 29.02.2004 | Начиная с этой версии, в качестве новой среды для распространения своих творений автор использует P2P-сети. Имена файлов для P2P-сетей также формируются с использованием приемов социальной инженерии («Microsoft Office 2003 Crack, Working!.exe», «Porno pics arhive, xxx.exe» и т.д.), что приводит к заражению новых компьютеров. Понимая, что антивирусные компании быстро блокируют развитие эпидемий, автор червя пытается предпринимать новые шаги: зараженные вложения теперь помещаются в ZIP-архивы с паролем, а пароль к зараженным вложениям указывается в теле письма. |
Bagle.i | 03.03.2004 | Начало войны с автором другого почтового червя — NetSky. В теле Bagle.i содержатся оскорбления в адрес автора NetSky. В итоге противостояние дошло до лечения зараженных NetSky компьютеров червем Bagle. В этой версии социальная инженерия автора достигает своего апогея — зараженные письма не только содержат текст от имени «Лаборатории Касперского», но также включают подделанную подпись от ее имени. Подделанный адрес отправителя содержит @kaspersky.com. У многих пользователей подлинность писем не вызывает сомнений. |
Bagle.n | 13.03.2004 | В этой версии червя были «освоены» сразу несколько вирусных технологий: червь начинает заражать исполняемые файлы; пароль вставляется уже не в виде обычного текста, в котором антивирусы научились распознавать пароли, а в виде графического изображения паролей; для противодействия антивирусным компаниям автор начинает использовать полиморфные алгоритмы, что позволяет ему создать постоянно мутирующего червя. |
В более новых версиях автор продолжал испытывать осваиваемые технологии на пользователях интернета, а также увеличивать эффективность противодействия антивирусным компаниям. Последующие модификации червя:
- блокировали доступ зараженных компьютеров к сайтам антивирусных компаний, что приводило к невозможности получения подпрограмм (сигнатур) детектирования и лечения червя;
- содержали постоянно увеличивающийся список отключаемых средств защиты (как антивирусов, так и межсетевых экранов). В результате в данный список попало большинство продуктов ведущих мировых лидеров, предлагающих решения для защиты пользователей;
- предпринимали попытки активации вредоносного кода через VBS-скрипт.
Автор постоянно следил за действиями антивирусных компаний: как только производители средств защиты начали проверять EXE-расширение первого файла в защищенных паролем архивах, в сети появлялась модификация, где в архивах первым находился уже HTML-файл с эксплойтом.
Очевидно, что автор с самого начала планировал все свои последующие действия. |
Большинство модификаций червя имели ограниченное время жизни — очевидно, что автор с самого начала планировал не только выпуск новых версий Bagle, но и вообще все свои последующие действия.
Рассмотренные нами версии червя дополнительно к вышесказанному содержали встроенный код для удаленного управления зараженными компьютерами.
На текущий момент в нашей коллекции имеется около ста различных экземпляров Email-Worm.Win32.Bagle и более ста различных экземпляров Trojan-Proxy.Win32.Mitglieder (Mitglieder написан на основе исходных кодов Bagle, но не содержит функции саморазмножения). Т.е. можно говорить, что новый экземпляр в среднем появлялся каждые два дня.
Все усилия автор червя направлял на обман пользователей — от версии к версии совершенствовались методы социальной инженерии, с помощью которых он вынуждал запускать инфицированные вложения. Также развивались средства противодействия антивирусам: от удаления сервисов, до сохранения паролей к зараженным архивам в виде изображений.
Прекратив активное противодействие антивирусным компаниям, автор червя перешел к следующему этапу…
Продолжение истории Bagle
Продолжительное время деятельность создателя Bagle ограничивалась написанием червей и Trojan-Proxy. Предпринятые автором червя усилия позволили ему создать масштабную сеть зараженных машин, поведение которых определялось только его фантазией. Управление сетью зараженных машин осуществляется через обновление содержимого известных автору URL в интернете. Длительное время эти URL могут быть «пустыми», создавая обманчивое впечатление неработоспособности всей сети.
15 февраля 2005 года наше внимание привлекло новое создание автора Bagle — SpamTool.Win32.Small.b, которое после скрытой установки на компьютеры пользователей выполняло сканирование файлов с целью сбора адресов электронной почты и их последующей передачи на удаленный ресурс. Из списка собранных адресов данная программа удаляла адреса, принадлежащие ведущим антивирусным компаниям и разработчикам антиспамовых решений.
Каждая минута задержки означает появление тысяч новых зараженных компьютеров. |
Удаление адресов выполнялось не из страха перед производителями антивирусных продуктов. Причина заключается в стремлении автора программы увеличить время реакции компаний на появление новых экземпляров вредоносных программ. Современный процесс рассылки спама миллионам получателей может занимать не один час, и каждая минута задержки со стороны антивирусных компаний означает появление тысяч новых зараженных компьютеров, которые в конечном итоге приносят доход автору червя.
Для отслеживания дальнейшей активности Bagle нашими специалистами были созданы несколько тысяч поддельных email-адресов и с помощью SpamTool.Win32.Small.b переданы на удаленный ресурс. На эти адреса сразу стали поступать не только новые версии Bagle, но и спам, фишинг, а также другие почтовые черви. Как такое могло случиться? Автор Bagle сотрудничает с другими авторами червей? Возможно несколько версий:
- доступ к собираемым автором Bagle спискам адресов имеют и другие члены вирусного сообщества;
- новые адреса были получены червями после получения спама зараженными машинами, где в качестве адреса отправителя спама стоял созданный нами адрес;
- автор Bagle сам продает собранные списки адресов.
Не вызывает сомнений тот факт, что «утечка» адресов происходит через автора Bagle.
Оперативность, с которой было обработано огромное количество новых входящих email и то, что на них сразу стало поступать большое количество червей и спама, говорит об автоматизации процесса поиска и инфицирования новых компьютеров. Создан своеобразный мир, где роботы осуществляют поиск и заражение новых компьютеров.
1 марта автор Bagle проверил скорость реакции антивирусных компаний еще одним способом: в течение одного дня было выпущено 15 (!) новых вредоносных программ.
Если, начиная с января 2004 года, проанализировать частоту появления новых модификаций всех вредоносных программ от автора, то можно построить следующий график (данные могут отличаться от данных других антивирусных компаний):
В настоящее время автор червя прекратил зондирование антивирусных компаний и сосредоточил свое внимание на пользователях и заработке денег различными способами:
- продажа подсетей зараженных машин для осуществления DDoS-атак или рассылки спама;
- продажа спамерам собранных адресов электронной почты для последующих рекламных рассылок и проведения фишинг-атак;
- сбор конфиденциальной информации с зараженных машин (пароли, информация об эккаунтах платежных систем и систем интернет-банкинга).
Созданная сеть зараженных машин требует постоянной поддержки себя в актуальном состоянии путем непрерывного обновления содержимого URL.
Все последние модификации Bagle упаковываются модифицированными версиями существующих программ упаковки исполняемых модулей, что говорит о нежелании автора осуществлять дальнейшее противодействие антивирусным компаниями. Вместо этого он пошел по другому пути создания недетектируемых версий вредоносных программ — пути исправления кода упаковщиков. Его действия сейчас основаны на экономической целесообразности прилагаемых усилий.
Будущее Bagle-ботнета
Автор Bagle, несомненно, продолжит зарабатывать деньги на неопытных пользователях путем поддержания сети зараженных машин в актуальном состоянии. Анализ последних вышедших из-под его «пера» кодов позволяет нам делать выводы о масштабности его планов: в сферу интереса вирусописателя попали несколько сотен (!) платежных систем и систем интернет-банкинга, относящиеся практически ко всем ведущим банкам мира.
Не исключено, что в дальнейшем процесс обработки информации и поиска новых жертв станет полностью автоматическим.
Стоит также помнить, что Bagle-ботнет — далеко не единственная сеть, состоящая из зараженных вредоносными программами компьютеров. По этой причине выход в интернет без установленного на компьютере антивируса может сделать вас источником дохода для создателей подобных сетей.
Рекомендации пользователям Антивируса Касперского
«Лаборатория Касперского» будет продолжать эффективно защищать своих пользователей максимально оперативными и полными обновлениями сигнатурной базы Антивируса Касперского.
Вот несколько простых рекомендаций, которые позволят вам избежать заражения:
- своевременно обновляйте антивирусные базы — наша компания выпускает обновления ежечасно;
- оперативно устанавливайте критические обновления для операционной системы вашего компьютера;
- не запускайте вложения из полученных вами писем электронной почты, даже если они пришли от ваших знакомых или от какой-либо антивирусной компании.
Развитие Bagle-ботнета