Poměrně nedávno jsme na Živě informovali o nově se šířícím e-mailovém červu nazývaném Bagle (nebo Beagle). V té době jsme ale ještě netušili, že má až takové ambice na celosvětové rozšíření. Můžeme si ho proto v dnešním článku rozebrat jako pěknou ukázku dnešního typu virové infiltrace.
Co je vlastně Bagle „zač“
Pojem Bagle je název pro jeden z mnoha e-mailových červů, který se právě masově šíří internetem. Vzhledem k tomu, že na světě je velká spousta antivirových společností, dochází většinou při pojmenování virů a červů k drobným nuancím. Proto i v případě červa Bagle existuje více variant jmen, závislých na dané antivirové společnosti (WORM_BAGLE.A (Trend), I-Worm.Bagle (Kaspersky), Win32.Bagle.A (Computer Associates), W32/Bagle-A (Sophos), W32/Bagle@MM (McAfee) ).
Zpráva zavirovaná červem Bagle se v okně Outlooku může tvářit například takto:
Co je na tom divného?
Na první pohled si zajisté všimnete, že e-mail je psaný anglicky, má zvláštní nesmyslný obsah a téměř vždy je přiložena spustitelná příloha. Červ Bagle lze poměrně jednoduše rozeznat podle následujících charakteristik:
Od (From): doplněn náhodný odesilatel
Předmět (Subjekt): Hi
Obsah e-mailu (Text):
Test =) <náhodné znaky>
--
Test, yep.
Obsahy mailů, které po světě roznášejí zavirované přílohy se různí. Texty mohou být předem definovaného rázu, mohou obsahovat útržky vaší předcházející korespondence s kolegou nebo mohou mít naprosto náhodně vygenerovaný obsah. Hodně emailových červů – včetně Bagle – do textu vkládá sekvenci náhodně vygenerovaných znaků, čímž se snaží znesnadnit jednoduché odhalení antivirem.
Jak se Bagle projevuje
Jak už jsme si řekli, v příloze e-mailu je zavirovaná příloha. Někteří červi zneužívají standardní funkce operačního systému, kterou je maskování přípony souboru známého typu. Pak například u souboru se jménem MONIKA.JPG.EXE uživatel nabude falešného dojmu, že je v příloze obrázek, jelikož mu Windows jako přílohu zobrazí pouze MONIKA.JPG. Ve skutečnosti je tam ovšem schován spustitelný soubor s příponou EXE.
Nicméně toto není případ červa Bagle – ten používá přímo a jednoduše příponu EXE a dokazuje tím, že uživatelé jsou stejně schopni takovouto „nebezpečnou“ přílohu spustit. Přiložený soubor o délce 15 872 bajtů s naprosto náhodně vygenerovaným jménem nese ikonu Kalkulačky z Windows, což má méně informované uživatele zmást a svým způsobem uklidnit.
Pokud se autorův záměr skutečně povede a některý z uživatelů přílohu otevře, na počítači se provedou následující akce:
Červ sám o sobě obsahuje časovou pojistku – pokud zjistí, že aktuální datum je novější než 28. ledna 2004, sám ukončí svoji činnost. Pokud ne, nakopíruje do adresáře System operačního systému svůj vlastní programový kód pod jménem bbeagle.exe .
Dále do systémového registru přidá odkaz na tento nakopírovaný soubor, čímž si zajistí automatickou aktivaci i po restartu počítače.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Přidávaná položka - "d3dupdate.exe" = "%system%\bbeagle.exe"
Do registru zapisuje také do těchto dvou klíčů:
HKCU\Software\Windows98\uid HKCU\Software\Windows98\frun
Následuje spuštění souboru calc.exe, tedy Kalkulačky. Neznalý uživatel tak nabude dojmu, že v příloze byla opravdu jen kalkulačka a nevěnuje situaci dále pozornost.
Červ se pokouší stáhnout a spustit trojského koně TrojanProxy.Win32.Mitglieder z několika předdefinovaných webových adres pomocí skriptu se jménem „1.php“. Při těchto pokusech kontaktuje následující internetové stránky:
216.98.134.247
216.98.136.248
64.176.228.13
antol-co.ru
bose-audio.net
vipweb.ru
vvcgn.de
wh9.tu-dresden.de
www.5x12.ru
www.auto-hobby-essen.de
www.bags-dostavka.mags.ru
www.ballonfoto.com
www.beasty-cars.de
www.bhamidy.de
www.bino88.de
www.cdromca.com
www.dmdesign.de
www.dvd-filme.com
www.elrasshop.de
www.getyourfree.net
www.grefrathpaenz.de
www.it-msc.de
www.kunst-in-templin.de
www.leonzernitsky.com
www.marder-gmbh.de
www.medi-martin.de
www.micronuke.net
www.montania.de
www.mystic-vws.de
www.polohexe.de
www.polozicke.de
www.sc-erbendorf.de
www.smeangol.com
www.stadthagen.org
www.sttngdata.de
www.twr-music.de
V současné době byly již prakticky všechny výše uvedené stránky z hlediska zamezení spolupráce s červem Bagle ošetřeny.
Jako poslední z akcí provede Bagle otevření síťového portu 6777, na kterém naslouchá případným povelům útočníka. To umožňuje spuštění libovolného kódu v kontextu lokálního uživatele, stažení programového kódu na lokální počítač a ukončení či smazání červa. Použitý síťový port červ umí programově změnit.
Jak se takový červ šíří
Bagle se šíří dál opět pomocí rozesílaných zavirovaných e-mailů. K šíření potřebuje Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP nebo Windows Server 2003.
Jak již bylo napsáno výše, červ má ve své programové logice podmínku, která povolí další šíření pouze do 28. ledna 2004. Červ ale využívá lokální čas počítače, takže tento datum vzhledem k nedbalosti spousty uživatelů na nastavení systémového data a času nemůžeme brát úplně stoprocentně. Nicméně po tomto datu by se mělo zastavit masivní šíření.
Reprodukční část červa Bagle vyhledává na lokálních discích v souborech *.wab, *.txt, *.htm, *.html a *.r1 e-mailové adresy, na které se poté pomocí vlastního SMTP kódu dále šíří. Hromadně odesílané zavirované zprávy tudíž nejsou vidět – jak si většina uživatelů myslí – v Odeslané poště programu Microsoft Outlook.
Červ se vyhýbá odesílání na e-mailové adresy, které obsahují následující sekvence:
@hotmail.com
@msn.com
@microsoft
@avp.
Čím mi může ublížit
E-mailoví červi v sobě mohou v kombinaci s přístupem na internet skrývat velmi vysoké potenciální nebezpečí pro lokální počítač. Od manipulace se soubory a odesílání citlivých dat, přes destruktivní akce na souborovém systému až po zneužití počítače k řízeným síťovým útokům.
Červ Bagle ukazuje dvě z možností. Jednak se z několika předdefinovaných adres snaží stáhnout další zavirovaný kód v podobě trojského koně a jednak otevírá na počítači síťový port 6777, na kterém čeká na vzdálené příkazy. První z uvedených možností bývá velmi rychle po rozšíření viru zablokována ze strany poskytovatelů daných webových adres, druhá z možností při absenci firewallu může být daleko nebezpečnější. Jak bylo uvedeno výše, Bagle může stáhnout a spustit libovolný programový kód nebo provádět další zadané instrukce. Navíc může řízeně změnit port, na kterém příkazům naslouchá.
Jak zatěžuje síť
E-mailoví červi zatěžují síť dvěma způsoby. Prvním a zároveň hlavním je bezhlavé zahlcování e-mailových schránek kopiemi jejich spustitelné podoby. Druhým zahlcením jsou pak automatické upozornění špatně nastavených antivirových bran, které se snaží uživatele uvedeného jako odesilatele upozornit, že zasílá zavirovanou poštu. U červa Bagle jakožto i u naprosté většiny dnešních e-mailových červů je ale adresa odesilatele zfalšována a proto takováto upozornění dostávají lidé, kteří s rozesíláním virů většinou nemají nic společného.
Proč to ti lidi otevírají?
Na tuto otázku nedovedu dost dobře odpovědět. Pravděpodobně je to zvědavost, nevědomost nebo touha „zkusit to“. V každém případě je nutno říci zásadu, která by měla platit bez výjimky pro všechny uživatele: e-mailové zprávy z podezřelých adres s neznámým obsahem, nebo naopak ze známých adres ale psaných jinou řečí a neznámou přílohou patří do koše. V žádném případě u takovýchto mailů neotvírejte přílohu. V 99,9 procentech případů se jedná o vir.
Jak se bránit?
Bránit e-mailovým červům se můžeme samozřejmě metodou přirozené nedůvěry. Nevím, kdo mi to poslal, nevím, co je to za soubor v příloze – vymazat!
Druhým důležitým krokem je pravidelně aktualizovaný antivirový program, který si ve většině případů s červem poradí.
Pokud již dojde k aktivaci červa Bagle (nebo nějakého jiného známého), pomohou většinou nejlépe jednoúčelové odstraňovače. Jedním z rozšířených je například avast! Virus Cleaner.
Červa Bagle můžeme při troše šikovnosti odstranit i ručně:
- systém Windows 95, 98 nebo ME restartujte do nouzového režimu (F8 při startu systému a vyberte Nouzový režim)
- v systému Windows NT, 2000, XP ukončete proces BBEAGLE.EXE
- smažte v systémovém adresáři operačního systému (například c:\WinNT\system32) soubor BBEAGLE.EXE
- v registru systému vymažte položku "d3dupdate.exe" z klíče HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Co bude dál?
V současné chvíli je červ Bagle v plné síle a „zasypává“ e-mailové schránky uživatelů. Je smutné, že i přes masivní reklamní kampaně velkých společností a snahu o osvětu ve virové problematice se stále najde velmi mnoho jedinců, kteří podporují další šíření emailových červů právě pomocí aktivace zavirovaných příloh.
Aktuální stav rozšíření e-mailových červů můžete sledovat například na stránkách společnosti Message Labs.
Červ Bagle zatím existuje ve verzi „A“. Dá se ale předpokládat, že se brzy objeví další modifikované varianty, které budou mít změny chování a pravděpodobně i odstraněnou časovou pojistku, která zajišťuje ukončení šíření po určitém datu. Podobný princip jsme již pozorovali u červa SoBig, který vždy v následujících generacích přinesl nějakou novinku zvyšující jeho účinnost.