Пока все следили за увлекательным сериалом о Nyxem.e, вирусописатели были заняты более прозаичными вещами.

В конце прошлой недели мы зафиксировали постепенный, но неуклонный рост числа перехваченных сэмплов Email-Worm.Win32.Bagle.fj, который в итоге вывел его на первой место в нашей статистике.

Стоит отметить, что из пары сотен всевозможных вредоносных программ, успешно распространявшихся посредством email в течение 2005 года, 25% приходилось на разнообразные версии червя Bagle. Более подробно со статистикой за 2005 год вы сможете ознакомиться в ближайшем отчете «Лаборатории Касперского».

Два года назад, 18 января 2004, антивирусная индустрия впервые столкнулась с представителем семейства Bagle. Это был Email-Worm.Win32.Bagle.a. Два года... Много это или мало? За этот срок Bagle успел вырасти из одинокого червя в целую криминальную инфраструктуру для поиска и инфицирования новых жертв. Этот, с позволения сказать, «бизнес» приносит преступникам немалые деньги, так что стимул для «работы» у них серьезный. Находясь в постоянном развитии, Bagle не уставал совершенствовать свои попытки противодействия своему главному врагу — антивирусным компаниям: за два года был пройден немалый путь от создания примитивного полиморфного кода и сохранения паролей к инфицированным архивам в виде изображений (Email-Worm.Win32.Bagle.n) до ведения BlackList, в который попадают пользователи, пытающиеся чаще других обращаться по вредоносным ссылкам из тела червя с целью получения последних модификаций Bagle. В этот BlackList уже успели попасть большинство антивирусных компаний и ведущих информационных центров по изучению сетевой активности. В случае обращения по вредоносной ссылке с адресов, которые попали в BlackList, вместо вредоносного файла назад отсылается сообщение об ошибке.

За два года нашими экспертами было обнаружено более 400 (!) НОВЫХ модификаций Bagle (Trojan-Proxy, Email-Worm, Trojan-Downloader, SpamTool, etc.), которые нацелены на кражу виртуальной собственности с зараженных компьютеров, рассылку спама и другие криминальные действия.

Как вы знаете, у нас есть антивирусные обновления двух видов — обычные и urgent. Целью последних является максимально быстрая защита пользователей от возможной эпидемии или спам-рассылки вредоносных программ. Если представить количество (ось Y) выпускаемых urgent-обновлений в трехдневные интервалы (трехдневные интервалы взяты чтобы более ярко выделить вирусные атаки) в течение всего 2005 года (ось X), то мы получим гистограмму, приведенную ниже.

Из рисунка видно, что подавляющее большинство пиков приходится на моменты активизации Bagle. Отмечены атаки, на протяжении которых была перехвачена 21 (!) новая модификация.

Все это говорит о том, что пользователям необходимо относиться со всей серьезностью к собственной безопасности.

Прошедшую ночь нельзя назвать спокойной. Со вчерашнего вечера и до сегодняшнего утра нами было перехвачено 12 вредоносных программ от авторов Bagle. Среди них 5 Trojan-Downloader (Trojan-Downloader.Win32.Bagle.d-h) и 7 червей (Email-Worm.Win32.Bagle.eo-eu).

Проведенная атака была направлена на поиск новых жертв и обновление Bagle-botnet.

Все указанные вредоносные программы уже добавлены в наши антивирусные обновления.

Несколько минут назад отмечено обновление Bagle-ботнета, производимое авторами. Нами были перехвачены две новых модификации вредоносных программ из семейства Bagle.

Антивирусное обновление баз для Trojan-Downloader.Win32.Bagle.d, .e и .f будет выпущено в течение ближайших нескольких минут.

Спам-рассылка новых версий Bagle продолжается. Буквально несколько минут назад мы обнаружили новый вариант — Email-Worm.Win32.Bagle.ek.

За сегодняшний день мы обнаружили 6 новых вариантов Email-Worm.Win32.Bagle (версии с «ed» по «ei»). Три первых варианта были разосланы при помощи спам-рассылки. Остальные были выложены на сайты, с которых загружались на ранее пораженные машины — этот способ обновления и поддержания ботнетов в рабочем состоянии применяется все чаще и чаще.

Все новые варианты добавлены в базы Антивируса Касперского. Еще раз напоминаем: не открывайте вложения в электронные письма без проверки их антивирусом и регулярно обновляйте антивирусные базы.

За прошедшие сутки авторами Bagle были выполнены спам-рассылки новых версий вредоносных программ, а также обновлены новыми версиями вредоносных программ ссылки в интернете. Все эти действия направлены на поддержание сети зараженных компьютеров в актуальном состоянии (постоянный поиск новых жертв и их заражение).

За предыдущие сутки нами было перехвачено около 20 (!) новых модификаций Bagle, первой из которых стала версия Email-Worm.Win32.Bagle.cy. В данный момент рассылка новых версий Bagle продолжается.

Детектирование для всех обнаруженных вредоносных программ уже добавлено в наши антивирусные обновления.

На днях мы обнаружили уже третью модификацию червя Email-Worm.Win32.Monikey. Казалось бы, ничего нового и интересного в нем нет. Размножается путем рассылки писем с заголовком «Открытка с POSTCARD.RU». В теле письма под видом ссылки на POSTCARD.RU содержатся ссылки на взломанные сайты, с которых происходит установка на компьютеры пользователей вредоносных программ.

Но один момент все-таки заслужил внимание наших вирусных аналитиков. Email-Worm.Win32.Monikey содержит в себе модификации Trojan-PSW.Win32.Vipgsm и Trojan-PSW.Win32.LdPinch.

О чем это говорит? Это лишний раз подтверждает наши подозрения, что LdPinch, Bagle, Monikey и Vipgsm созданы одной группой (про то, что LdPinch и Bagle созданы одной группой, мы уже писали). Но до настоящего времени мы не были так уверены (хотя и подозревали), что Vipgsm и Monikey также являются их творениями. Да, Email-Worm.Win32.Monikey содержит код, практически идентичный почтовому червю Email-Worm.Win32.Bagle, но до этого момента мы считали, что этот червь был написан на основании исходных текстов Bagle, которые по нашему предположению могли появиться в интернете.

В пользу озвученной здесь новой версии говорит и тот факт, что почти все вложенные вредоносные программы зашифрованы «фирменным» алгоритмом от Trojan-PSW.Win32.LdPinch. Стоит отметить, что появление данного Email-Worm.Win32.Monikey пришлось на момент резкой активизации авторов Bagle после летнего отдыха.

Все это позволяет нам укрепить наши подозрения в том, что одни и те же люди разрабатывают целые семейства вредоносных программ. Также подтверждаются наши прогнозы, что авторы Bagle продолжать осваивать новые технологии для увеличения эффективности своих творений.

Заметим, что все вредоносные программы со взломанных сайтов уже удалены, на ряде сайтов присутствуют извинения и упоминания, что они не проводили никаких подобных рассылок. Но нам до конца не ясно, как к ним был получен доступ. Мы предполагаем, что пароли были украдены ранее с помощью программы, аналогичной LdPinch.

Все указанные вредоносные программы уже добавлены в наши обновления.

Авторы почтового червя Bagle решили отметить окончание летних каникул целым валом версий своих творений. За прошедшие сутки мы зарегистрировали появление 11 новых версий, которые уже добавлены в обновления под именами Email-Worm.Win32.Bagle.bz - cj.

Новые версии вредоносных программ были выложены по ссылкам, которые используются для поддержания Bagle-botnet'а в актуальном состоянии, а также разосланы с использованием спам-рассылок.

Отмечена также рассылка очень старой версии этой вредоносной программы, которая просто перепакована новой версией программы-упаковщика.

В последнее время авторы почтового червя Bagle стали уделять больше внимания электронным банковским и платежным системам. В пяти новых обнаруженных нами творениях автора Bagle содержится шпионская троянская программа, предназначенная для сбора информации о нескольких сотнях банковских систем.

Особенно интересно то, что авторы Bagle собирают информацию не об отдельных конкретных платежных системах (как поступает большинство схожих вредоносных программ), а сразу о нескольких сотнях (!) систем online-банкинга во многих странах мира, среди которых числятся Япония, Англия и США.