Эксперты по компьютерной безопасности боятся, что новый червь, который в воскресенье начал быстро распространяться в австралийских сетях email, может оказаться репетицией более согласованных атак, намеченных на ближайшие недели.

Червь, получивший название Bagle-A, содержит срок действия, что указывает на возможность скорого появления его более совершенных версий, считает директор по безопасности Computer Associates Australia Даниель Зац.

По его словам, хотя Bagle-A уже добился успеха — он несет ответственность за повышение на 80% числа обращений в службу техпомощи СА и конкурирующей антивирусной фирмы Sophos, — в текущей версии червя есть ошибки.

Сравнивая Bagle со знаменитым вирусом Sobig, наводнившим email-сети мира в прошлом году, Зац выражает опасение, что скоро может появиться еще более опасная версия червя. «Все прошлогодние варианты Sobig были снабжены датой окончания действия, и всякий раз после этой даты появлялся новый, усовершенствованный вариант — вот что пугает нас больше всего», — говорит Зац.

Срок действия Bagle-A истекает 28 января, то есть отлаженные варианты червя могут появиться уже на будущей неделе.

Создатели Bagle-A, как и авторы многих предыдущих успешных червей, пользуются невежеством и любопытством получателей электронной почты. Червь падает в почтовые ящики в виде сообщения из нескольких строк текста, который можно принять за обращение системного администратора, с вложенной программой. При исполнении этой программы червь устанавливается на компьютер получателя и рассылает себя другим пользователям по адресам из локальной адресной книги.

Кроме того, червь пытается установить на зараженную машину backdoor, или Trojan, для передачи информации о деятельности системы через порт 6777.

Шон Ричмонд, менеджер по поддержке Sophos Australia and New Zealand, сообщил, что компания продолжает изучать этот Trojan, чтобы установить, на что он еще способен. Так как большинство корпоративных серверов email блокируют исполняемые вложения, Зац из СА убежден, что ответственность за распространение червя несут главным образом домашние пользователи и предприятия среднего размера.

Еще одна возможная причина успеха червя, по его мнению, заключается в том, что создатели запрограммировали его на самораспространение через ограниченное число популярных доменов, чтобы избежать быстрого обнаружения господствующими веб-предприятиями, такими как Hotmail, MSN и крупная российская антивирусная фирма.

Пользователям, подозревающим, что их компьютер заражен вирусом, следует поискать файл с именем bbeagle.exe в системном каталоге Windows. Этот файл маскируется под знакомый значок калькулятора Microsoft.

Эндрю Колли, ZDNet Australia

20 января, 2004, 12:08

ZDNET Россия