Bagle (компьютерный вирус)

Bagle
Bagle
Тип	сетевой червь, бэкдор, ботнет
Год появления	18 января 2004 года

Bagle (также известен как Beagle или Bagel) — компьютерный червь, распространяющийся по электронной почте. Впервые был обнаружен 18 января 2004 года^[1]^[2]. Был сделан для кражи информации и создания ботнета для рассылки спама^[3]. У червя есть целая куча вариаций, все запрограммированы деактивироваться в определённое время. Скорее всего, все они были сделаны в Австралии^[1].

Версии вируса и их различия

Bagle.A

Первая версия вируса, Bagle.A, появилась 18 января 2004 года. Распространялась по электронной почте, рассылая письма с вредоносными вложениями. Вложение является случайно названным .EXE-файлом с иконкой программы Windows Calculator и имеет длину 15,872 байт^[4]. При скачивании вложения на устройство червь открывает программу калькулятора, а также скрытно от пользователя копирует себя в директорию под названием «bbeagle.exe» и создаёт определённые ключи реестра^[1]^[2]. Затем червь скачивает бэкдор, который обеспечивает удалённый доступ к заражённому компьютеру и связывается с портом 6777^[2]. Иногда он может загрузить троян Mitglieder, код которого основан на коде Bagle. Затем червь ищет электронные адреса в файлах адресной книги Windows и распространяется по электронной почте дальше. При этом игнорируются электронные адреса, содержащие в названии строку «.r1», «@windows», «@avp», «@hotmail.com» или «@msn.com», чтобы не попадаться на глаза компании Microsoft^[1]^[2]. Вирус деактивировался 29 января 2004^[3].

Bagle.B

Bagle.B была обнаружена 17 февраля 2004. Единственное различие заключается в том, что рассылаемое вложение теперь упаковано^[3].

Bagle.C

Bagle.C была обнаружена 27 февраля 2004. Теперь вложения рассылаются с иконкой Excel, изменены заголовки для сообщений^[3].

Bagle.D

Bagle.D была обнаружена 28 февраля 2004, спустя всего день после версии .C. Иконка вложений изменена на стандартную для файлов^[3].

Bagle.F

Bagle.F была обнаружена ещё спустя день, 29 февраля. Как дополнительный метод распространения начинают использоваться P2P-сети, распространяемые по этим сетям файлы используют различные заманчивые названия^[3].

Bagle.I

Bagle.I была обнаружена 3 марта 2004. В коде вируса содержалось оскорбление в адрес автора червя Netsky. Теперь распространяемые вирусом письма приходят якобы от «Лаборатории Касперского»^[3].

Bagle.N

Bagle.N была обнаружена 13 марта 2004. Эта версия стала менее обнаружимой для антивирусов и использовала методы полиморфизма^[3].

Более поздние версии

Помимо представленных выше, у Bagle есть ещё куча версий (.AD, .AE, .AF и др.), эти и другие версии научились удалять с заражаемых компьютеров червя NetSky в качестве конкуренции в сфере киберпреступности и блокировать доступ к антивирусным сайтам^[3]. На 26 июля 2004 у червя имелось 35 версий^[5].

См. также

Asprox
Sobig

Примечания

↑ ¹ ² ³ ⁴ How to Stop the Spread of Bagel Virus (неопр.). ABC News. Дата обращения: 17 сентября 2021. Архивировано 26 января 2021 года.
↑ ¹ ² ³ ⁴ Email-Worm:W32/Bagle Description (неопр.). F-Secure. Дата обращения: 17 сентября 2021. Архивировано 26 января 2021 года.
↑ ¹ ² ³ ⁴ ⁵ ⁶ ⁷ ⁸ ⁹ The Bagle botnet (неопр.). SecureList. Дата обращения: 17 сентября 2021. Архивировано 13 апреля 2021 года.
↑ Архивированная копия (неопр.). Дата обращения: 17 сентября 2021. Архивировано 27 января 2008 года.
↑ Success of Bagle Virus Puzzles Researchers (неопр.). EWeek. Дата обращения: 17 сентября 2021.