Первый вирус Bagle был обнаружен в январе, и с того момента новые его варианты появляются практически ежедневно

Хакеры не желают почивать на лаврах. Свидетельством тому — появление нового вида вирусов, использующего старый трюк с рассылкой по электронной почте, но весьма оригинальным образом. Такой вирус появляется в тех присоединенных файлах, в которых обычно не подозревают наличие вирусов, требует ввести пароль и наивные получатели, введя пароль, становятся его жертвой.

Разработчики антивирусного ПО называют этот новый вирус по-разному: Beagle или Bagle (но не Bagel). Корпорация Symantec присвоила этой серии вирусов название W32.Beagle.x@mm, где литера x означает версию. Остальные производители предпочитают имя Bagle.

Все ведущие производители антивирусного ПО обновили списки своих сигнатур для того, чтобы идентифицировать последние версии этой заразы. Но, поскольку этот вирус передается через пиринговые сети, бороться с ним очень непросто. Кроме того, весьма хитроумный подход Beagle/Bagle к маскировке сулит появление новых коварных разновидностей.

В варианте вируса Bagle W32/Bagle.n@MM появилось новшество — эта версия (и ряд последующих) отображает пароль не в виде текста, а в виде растрового изображения, встроенного в сообщение

Способы маскировки

Первый вирус Bagle был обнаружен в январе, и с того момента новые его варианты появляются практически ежедневно. Если не считать трюка с паролем, то вирусы Bagle распространяются так же, как и другие черви, использующие для инфицирования сообщения электронной почты. Когда такой вирус инфицирует ПК, он рассылает свою копию по всем электронным адресам, которые сможет найти на жестком диске. Более того, он даже использует эти адреса в своих рассылках, формируя из них ложный обратный адрес и скрывая, таким образом, истинный адрес инфицированного компьютера. Как и другие вирусы такого рода, он распространяется в виде файла, присоединенного к сообщению электронной почты.

У Bagle есть и иные особенности. Содержащий его присоединенный файл — это, как правило, защищенный паролем архив ZIP или RAR, в которых раньше никогда вирусы не пересылались. Идея, очевидно, состоит в том, что антивирусные программы не могут сканировать архивы, защищенные паролями, и, как следствие, вряд ли в состоянии обнаружить такого червя. В тексте сообщения, сопровождающего такое вложение, получателя, как правило, просят открыть файл и предлагают соответствующий пароль.

Однако вирусы Bagle — это не просто почтовые черви. Они размещаются под фальшивыми названиями в папках, которые с большой вероятностью могут использоваться при совместной работе. Благодаря этому подобные вирусы распространяются через пиринговые системы, такие как Kazaa и iMesh.

Остерегайтесь другой опасности

Очевидно, что вирусы Bagle создавались в расчете на тиражирование и максимальную «выживаемость», а вовсе не для того, чтобы их можно было быстро обнаружить и уничтожить. Поэтому они могут принести немалый вред.

К их первоочередным «целям» относятся антивирусные программы и межсетевые экраны, способные задержать вредоносный код. Их отключение делает ПК более уязвимым к другим вирусам и троянским программам.

Вдобавок Bagle способен помешать работе программ конфигурации (таких как msconfig и regedit), которые могут использоваться для удаления вируса. Другие вирусы тоже блокируют определенные программы, но, как подчеркивают эксперты, ни один из них не рассчитан на «сопротивление» столь значительному количеству программ-чистильщиков.

Наконец, эти вирусы способны открыть без вашего ведома «тайный вход» на ПК другим вредоносным программам, несмотря даже на наличие межсетевого экрана. В целом даже специалисты по защите информации пока полностью не определили, на что способен Bagle.

Стратегия защиты

Лучшее средство от вирусов Bagle — это, конечно, не заражаться ими. Здесь применим стандартный совет: не открывайте присоединенные к почтовому сообщению файлы, если вы абсолютно не уверены в том, что именно они собой представляют. И тщательно следите за тем, чтобы списки сигнатур вашего антивирусного ПО своевременно обновлялись.

Несмотря на различные трюки, к которым прибегает Bagle, например защите с помощью пароля, практически все антивирусные программы теперь могут распознавать и уничтожать этот вирус. И это вселяет некоторую надежду на то, что у пользователей есть возможность поставить Bagle надежный заслон.

Поделитесь материалом с коллегами и друзьями