بازگشت دوباره بدافزار 14 سال قبل!

مهاجمان در یک کارزار هرزنامه‌ای جدید در حال انتشار دو نسخه اولیه از بدافزار معروف Bagle هستند.

Bagle که با نام Beagle نیز شناخته می‌شود بدافزاری از نوع درب‌پشتی (Backdoor) است که از طریق درگاهی خاص فرامین را از مهاجمان خود دریافت و آنها را بر روی دستگاه قربانی اجرا می‌کند. ضمن این‌که فراهم کردن امکان دسترسی از راه دور به دستگاه آلوده‌شده از جمله قابلیت‌های Bagle ‌محسوب می‌شود.

نخستین نسخه از این بدافزار در اوایل سال 2004 میلادی کشف و شناسایی شد. از آن زمان تا کنون نسخه‌های متعددی از Bagle عرضه شده است. با این حال بر اساس گزارشی که شرکت کومودو آن را منتشر کرده در کارزاری جدید، مهاجمان از طریق یک کارزار هرزنامه‌ای در حال انتشار دو نسخه اولیه این بدافزار (Bagle.A و Bagel.B) هستند.

به گزارش شرکت مهندسی شبکه گستر، پیوست هرزنامه‌های ارسالی در این کارزار فایلی فشرده‌شده با پسوند ZIP است که با رمز عبوری که در متن هرزنامه درج شده، محفاظت می‌شود. تکنیکی که در مقایسه با شیوه‌های انتشار نسخه‌های جدیدتر Bagle بسیار ساده و ابتدایی محسوب می‌شود.

عنوان این هرزنامه‌ها Hi گزارش شده است. در متن آنها نیز عبارات (= Test، حروفی تصادفی و .Test, yep به چشم می‌خورد.

محتوای ZIP، فایلی اجرایی است که نشان آن مشابه نشان برنامه ماشین حساب Windows است.

تنها نکته‌ای که این هرزنامه را از حال‌وهوای هرزنامه‌های دو دهه قبل خارج می‌کند غیرواقعی نمایش داده شدن ارسال‌کننده هرزنامه است. به‌نحوی که دامنه فرستنده، یکسان با دامنه ایمیل کاربر دیده می‌شود.

در صورت اجرا شدن فایل اجرایی توسط کاربر، کلیدی در محضرخانه (Registry) ایجاد می‌گردد که هدف آن فراخوانی خودکار بدافزار با هر بار راه‌اندازی شدن سیستم عامل است.

همچنین بدافزار از طریق درگاه 6777 اقدام به شنود فرامین ارسالی از سوی مهاجمان می‌کند. از این طریق مهاجمان قادرند تا بدافزارهای دیگری را بر روی دستگاه قربانی به اجرا در آورند. ضمن این‌که هر 10 دقیقه یک‌بار Bagle فعال بودن خود را به سرورهای فرماندهی مهاجمان گزارش می‌کند.

به‌منظور تکثیر، محتوای فایل‌های با هر یک از پسوندهای wab،و txt،وhtm و html پویش شده و در صورت شناسایی ایمیل درون آنها، از روی دستگاه قربانی هرزنامه‌ای با مشخصاتی که در بالا به آنها اشاره شد به آن ارسال می‌شود.

مشخص نیست با وجود در دسترس بودن نسخه‌های بسیار پیشرفته‌تر از Bagle چرا این افراد به دو نسخه ابتدایی این بدافزار روی آورده‌اند. اما آن‌چه مشخص است مهاجمان با همین نمونه‌های بسیار قدیمی به سادگی می‌توانند دستگاه‌های فاقد ضدویروس را به تسخیر و کنترل خود در آورند.

مشروح گزارش کومودو در اینجا قابل دریافت و مطالعه است.