IRCERT - دوباره مي آيد - اخبارها و هشدارها Bagle

صفحه اول > اخبار و هشدارها

Bagle دوباره مي آيد

6 جولاي 2004 – 16 تير 1383

نويسنده كرم اينترنتي Bagle شروع به توزيع سورس كد اين كرم و دو نسخه جديد از آن كرده است كه مي تواند باعث بروز يك تابستان وحشتناك ديگر براي كاربران ويندوز شود.

اين كرم اولين بار در ماه ژانويه و در قالب يك فايل الحاقي به ايميل خود را نشان داد. طي ماههاي بعد بيش از 25 نسخه مختلف از اين كرم وارد شبكه ها شده است.

كامپيوترهاي آلوده يك اسب تروا را دريافت مي كنند و با اين كار به ارتش كامپيوترهاي تحت كنترل نويسنده كرم ملحق مي شوند. نويسنده كرم مي تواند از اين مجموعه كامپيوتر براي توزيع اسپم و يا انجام حملات DoS استفاده كند.

در روز چهارم جولاي دو نسخه جديد از اين كرم همراه با سورس كدي كه به نظر سورس اصلي و واقعي ويروس است روي شبكه ديده شده است.

ميكو هايپونن – مدير تحقيقات ضدويروس شركت F-Secure – مي گويد كه او باور دارد كه اين كد واقعي است. وي اضافه مي كند كه كد به زبان اسمبلي نوشته شده كه نشان از آن دارد كه نويسنده ويروس يك برنامه نويس جدي است . وي مي گويد:“ بيشتر كرنهاي اينترنتي به زبان C نوشته مي شوند يا بخشي به زبان C و بخشي به زبان اسمبلي نوشته مي شوند. در حال حاضر تعداد افرادي كه به اين شكل به اسمبلي تسلط داشته باشند زياد نيستند ، لذا يك برنامه نويس خوب نويسنده اين ويروس است.“

وي همچنين اشاره مي كند كه با وجود سخت بودن اسمبلي ، افراد خبره مي توانند براحتي كد ارائه شده را تغيير دهند و نسخ جديدي از اين ويروس را وارد شبكه كنند لذا مديران شبكه ها تابستان شلوغي را در پيش خواهند داشت. هايپونن مي گويد :“ چيزهايي مانند پورت مورد استفاده Back door يا نوع ايميلهاي ارسالي براحتي قابل تغيير هستند. من مطمئن هستم كه مانند ماه فوريه و مارس، ما مجددا هجومي از انواع نسخ اين كرم را شاهد خواهيم بود.“

كارشناسان معتقدند گرچه كد منشر شده خطرناك است اما مي تواند سرنخهايي از نويسنده كرم را در اختيار مامورين قانون قرار دهد. ظاهرا نويسنده comment هايي را درون كد قرار داده است تا سايرين از شكل كار بخش هاي مختلف ويروس سر در بياورند و همين كار مي تواند ليست مظنونين را محدودتر كند. در واقع اگر شما يك تعريف از يك برنامه را به 10 برنامه نويس بدهيد ، 10 برنامه مختلف را دريافت خواهيد كرد. البته شباهتهايي وجود دارد اما شيوه كدنويسي ، ‌اسامي متغيرها و comment هاي نوشته شده متفاوت خواهد بود. به عبارت ديگر هر برنامه اثر انگشت نويسنده خود را در خود دارد.

البته تئوري ديگري نيز وجود دارد. هايپونن معتقد است نويسنده ويروس كد را منشر كرده تا درصورت دستگير شدن وي تنها فردي نباشد كه كد را در كامپيوتر خود دارد. وي مي گويد :“ تا پيش از انتشار ، مهمترين مدرك جرم ، وجود سورس كد اصلي روي كامپيوتر نويسنده بود ، اما حالا اين مدرك از بين رفته است.“