Вирусы начинают говорить стихами
26 апреля был обнаружен новый тип вируса Bagle, сообщил ряд разработчиков антивирусного ПО. «Лаборатория Касперского» окрестила новоявленного червя Bagle.Y, в то время как другие антивирусные компании, в частности, McAfee, сочли его более поздней версией - Bagle.Z. Степень опасности нового вируса специалисты определили как среднюю. Червь несет в себе поэтическое послание вирусописателя, в котором тот делится своими взглядами на жизнь. Червь рассылает себя сам в виде разных типов электронных сообщений (почта, локальные и пиринговые сети). При запуске файла червя отображается фальшивое сообщение об ошибке: "Can't find a viewer associated with this file", после чего программа прописывается в реестр на автозагрузку и запускает механизмы саморепликации.Новый червь представляет собой файл с расширением .exe и размером около 39 КБ. Сам файл упакован файловым компрессором UPX. Червь использует шифрование участков кода и данных. Тема и текст рассылаемых писем, название и расширение файла вложения варьируются. Тело червя может вкладываться в сообщение как в незапакованном виде, так и в архиве с паролем, указываемым в прикрепляемой к письму картинке. С некоторой вероятностью вместо самого червя в сообщение вкладывается его компонента - дроппер, написанный на Visual Basic Script (файл с расширением .vbs), который в свою очередь инсталлирует червя в систему.
В теле червя содержится поэтическое послание от автора:
UNIQUE PEOPLE MAKE UNIQUE THINGS
THAT THINGS STAY BEYOND THE NORMAL LIFE AND COMMON UNDERSTANDING
THE PROBLEM IS THAT PEOPLE DON'T UNDERSTAND SUCH WILD THINGS,
LIKE A MAN DID NEVER UNDERSTAND THE WILD LIFE
Author of Bagle
(«Необычные люди делают необычные вещи; эти вещи выходят за рамки нормальной жизни и общепринятого понимания; проблема в том, что люди не понимают таких диких вещей, как человек никогда не понимает дикую природу».)
Поэтические строки в теле вируса – старый прием: в начале 80-х годов прошлого столетия, самый первый, как принято считать, вирус для платформы Apple II также выводил на экран текст стихотворения – каждый 50-й раз после загрузки зараженного компьютера, отмечает издание Silicon.com.
По словам Винсента Гуллотто (Vincent Gullotto) из McAfee, Bagle.Z распространяется не очень быстро. Специалисты также не верят в жизнеспособность вируса, хотя и отмечают, что некоторые шансы на успех он все же имел – благодаря нетипичным для вирусов расширениям вложенного файла.
Последняя модификация вируса Bagle.Z – очередной этап соревнования двух вирусописателей, авторов червей Bagle и NetSky. Последняя версия вируса NetSky, или SkyNet, как назвал ее сам автор, несла в себе его обещание создавать новые модификации червя, пока другой вирусописатель, создавший Bagle, не перестанет выпускать очередные варианты Bagle. В апреле явно лидировал NetSky – свет увидели шесть разных его версий. Однако эксперты не исключают, что кодом вируса NetSky, размещенным в Сети самим автором, могли воспользоваться и другие вирусописатели, так что, возможно, не стоит приписывать все его разновидности одному автору.
Несколько новых модификаций червя Bagle появились в марте, однако широкого распространения они не имели. По оценкам компании MessageLabs, отслеживающей электронную почту, было зарегистрировано относительно небольшое количество – несколько сотен – писем, зараженных этим вирусом.