Оживший Bagle не даст пользователям сети заскучать

На днях в Сети появились два новых варианта вируса Bagle, а также его исходный код. Вполне возможно, что пользователям Windows летом не придётся скучать - их ждут новые масштабные эпидемии вирусов.

Вирус Bagle, появившийся наљсвет вљянваре этого года, распространяется вљвиде вложения вљэлектронном письме. Как иљбольшинство других вирусов, онљполучает доступ кљадресам электронной почты пораженного ПКљиљпродолжает распространять сам себя пољпочте, пытаясь блокировать антивирусы иљмежсетевые экраны. Заљкороткое время вирус претерпел значительную эволюциюљ всего заљнесколько недель появилось больше 25љего вариантов. Эта неделя отмечена нељтолько появлением двух новых разновидностей вируса Bagle, нољиљтем, что исходный код вируса стал доступен всем желающим. Перед этим вирус нељдавал ољсебе знать больше двух месяцевљ возможно, его автор устроил себе каникулы перед новым раундом атак. Иљвот теперь Bagle возвращается.

Пољмнению Микко Хиппонена (Mikko Hypponen), директора фирмы F-Secure, специализирующейся наљисследованиях вљобласти антивирусов, исходный код вируса написан очень добротно и, пољвсей видимости, наљчистом ассемблере. Это может означать, что автор егољ серьезный программист, аљне хулиган-недоучка. "Большинство червей написано наљС, либо частично наљС, аљчастичнољ наљассемблере,љ говорит он.љ Нељтак тољмного сейчас хороших специалистов пољассемблеру, так что создавал вирус серьезный программист".

Г-н Хиппонен добавил также, что, несмотря наљсложность ассемблера, модификация кода вируса особых познаний нељтребует. Дело неизвестного умельца могут продолжить множество последователей, которые произведут наљсвет новые варианты вируса. Вљэтом случае администраторов систем наљбазе Windows ждет веселенькое лето. "Очень просто изменить используемый порт или тип рассылаемых вирусом пољэлектронной почте посланий,љ пояснил Микко Хиппонен.љ Яљуверен, что это приведет кљновому массовому появлению наљсвет модификаций Bagleљ вроде того, чему мыљбыли свидетелями вљфеврале иљмарте".

Ричард Старнс (Richard Starnes), вице-президент промышленной группы ISSA UK, согласился сљтем, что исходный код программы опасен, однако отметил, что вљнем есть "следы", пољкоторым компетентные органы способны вычислить автора. Исходный код, пољего словам, содержит сделанные автором комментарии, позволяющие другим понять, что именно делают тељили иные блоки программы. Анализ комментариев позволит значительно сузить круг подозреваемых. Исходный код содержит множество признаков, характеризующих "почерк" автораљ то, как онљобозначает переменные, пишет код, как вставляет комментарии.

Тем нељменее, вполне возможно, что автор разослал исходный код вируса как раз для того, чтобы уменьшить бремя обличающих его свидетельств. "Вполне возможно, что тактика здесь таљже,љ говорит г-н Хиппонен.љ Еще наљпрошлой неделе неоспоримым доказательством вины явилосьљбы наличие наљкомпьютере автора оригинального исходного кода. Сегодня это уже нељдоказательство". Кроме того, пољмнению Микко Хиппонена, рассылка исходника вируса может свидетельствовать ољстремлении автора кљтому, чтобы даже вљслучае ареста его наработки вљобласти написания вирусов нељпропали даром.