Bagle (компьютерный вирус)

Bagle
Тип сетевой червь, бэкдор, ботнет
Год появления 18 января 2004 года

Bagle (также известен как Beagle или Bagel) — компьютерный червь, распространяющийся по электронной почте. Впервые был обнаружен 18 января 2004 года[1][2]. Был сделан для кражи информации и создания ботнета для рассылки спама[3]. У червя есть целая куча вариаций, все запрограммированы деактивироваться в определённое время. Скорее всего, все они были сделаны в Австралии[1].

Версии вируса и их различия

[править | править код]

Первая версия вируса, Bagle.A, появилась 18 января 2004 года. Распространялась по электронной почте, рассылая письма с вредоносными вложениями. Вложение является случайно названным .EXE-файлом с иконкой программы Windows Calculator и имеет длину 15,872 байт[4]. При скачивании вложения на устройство червь открывает программу калькулятора, а также скрытно от пользователя копирует себя в директорию под названием «bbeagle.exe» и создаёт определённые ключи реестра[1][2]. Затем червь скачивает бэкдор, который обеспечивает удалённый доступ к заражённому компьютеру и связывается с портом 6777[2]. Иногда он может загрузить троян Mitglieder, код которого основан на коде Bagle. Затем червь ищет электронные адреса в файлах адресной книги Windows и распространяется по электронной почте дальше. При этом игнорируются электронные адреса, содержащие в названии строку «.r1», «@windows», «@avp», «@hotmail.com» или «@msn.com», чтобы не попадаться на глаза компании Microsoft[1][2]. Вирус деактивировался 29 января 2004[3].

Bagle.B была обнаружена 17 февраля 2004. Единственное различие заключается в том, что рассылаемое вложение теперь упаковано[3].

Bagle.C была обнаружена 27 февраля 2004. Теперь вложения рассылаются с иконкой Excel, изменены заголовки для сообщений[3].

Bagle.D была обнаружена 28 февраля 2004, спустя всего день после версии .C. Иконка вложений изменена на стандартную для файлов[3].

Bagle.F была обнаружена ещё спустя день, 29 февраля. Как дополнительный метод распространения начинают использоваться P2P-сети, распространяемые по этим сетям файлы используют различные заманчивые названия[3].

Bagle.I была обнаружена 3 марта 2004. В коде вируса содержалось оскорбление в адрес автора червя Netsky. Теперь распространяемые вирусом письма приходят якобы от «Лаборатории Касперского»[3].

Bagle.N была обнаружена 13 марта 2004. Эта версия стала менее обнаружимой для антивирусов и использовала методы полиморфизма[3].

Более поздние версии

[править | править код]

Помимо представленных выше, у Bagle есть ещё куча версий (.AD, .AE, .AF и др.), эти и другие версии научились удалять с заражаемых компьютеров червя NetSky в качестве конкуренции в сфере киберпреступности и блокировать доступ к антивирусным сайтам[3]. На 26 июля 2004 у червя имелось 35 версий[5].

Примечания

[править | править код]
  1. 1 2 3 4 How to Stop the Spread of Bagel Virus. ABC News. Дата обращения: 17 сентября 2021. Архивировано 26 января 2021 года.
  2. 1 2 3 4 Email-Worm:W32/Bagle Description. F-Secure. Дата обращения: 17 сентября 2021. Архивировано 26 января 2021 года.
  3. 1 2 3 4 5 6 7 8 9 The Bagle botnet. SecureList. Дата обращения: 17 сентября 2021. Архивировано 13 апреля 2021 года.
  4. Архивированная копия. Дата обращения: 17 сентября 2021. Архивировано 27 января 2008 года.
  5. Success of Bagle Virus Puzzles Researchers. EWeek. Дата обращения: 17 сентября 2021.