08 Июля 2004 10:07 08 Июл 2004 10:07 |

Поделиться

Оживший Bagle не даст пользователям Windows скучать

Эта неделя отмечена не только появлением двух новых разновидностей вируса Bagle, но и тем, что исходный код вируса стал доступен всем желающим. Перед этим вирус не давал о себе знать больше двух месяцев — возможно, его автор устроил себе каникулы перед новым раундом атак. И вот теперь Bagle возвращается.

По мнению Микко Хиппонена (Mikko Hypponen), директора фирмы F-Secure, специализирующейся на исследованиях в области антивирусов, исходный код вируса написан очень добротно и, по всей видимости, на чистом ассемблере. Это может означать, что автор его — серьезный программист, а не хулиган-недоучка. «Большинство червей написано на С, либо частично на С, а частично — на ассемблере, — говорит он. — Не так-то много сейчас хороших специалистов по ассемблеру, так что создавал вирус серьезный программист».

Г-н Хиппонен добавил также, что, несмотря на сложность ассемблера, модификация кода вируса особых познаний не требует. Дело неизвестного умельца могут продолжить множество последователей, которые произведут на свет новые варианты вируса. В этом случае администраторов систем на базе Windows ждет веселенькое лето. «Очень просто изменить используемый порт или тип рассылаемых вирусом по электронной почте посланий, — пояснил Микко Хиппонен. — Я уверен, что это приведет к новому массовому появлению на свет модификаций Bagle — вроде того, чему мы были свидетелями в феврале и марте».

Ричард Старнс (Richard Starnes), вице-президент промышленной группы ISSA UK, согласился с тем, что исходный код программы опасен, однако отметил, что в нем есть «следы», по которым компетентные органы способны вычислить автора. Исходный код, по его словам, содержит сделанные автором комментарии, позволяющие другим понять, что именно делают те или иные блоки программы. Анализ комментариев позволит значительно сузить круг подозреваемых. Исходный код содержит множество признаков, характеризующих «почерк» автора — то, как он обозначает переменные, пишет код, как вставляет комментарии.

Тем не менее, вполне возможно, что автор разослал исходный код вируса как раз для того, чтобы уменьшить бремя обличающих его свидетельств. «Вполне возможно, что тактика здесь та же, — говорит г-н Хиппонен. — Еще на прошлой неделе неоспоримым доказательством вины явилось бы наличие на компьютере автора оригинального исходного кода. Сегодня это уже не доказательство». Кроме того, по мнению Микко Хиппонена, рассылка исходника вируса может свидетельствовать о стремлении автора к тому, чтобы даже в случае ареста его наработки в области написания вирусов не пропали даром.

Поделиться

Подписаться на новости Короткая ссылка