Bagle (datormask)
Bagle (även känd som Beagle) var en massutskick av datormask som påverkade Microsoft Windows . Den första stammen, Bagle.A , spred sig inte brett. En andra variant, Bagle.B , var betydligt mer virulent.
Översikt
Bagle använde sin egen SMTP-motor för att massmaila sig själv som en bilaga till mottagare som samlats in från den infekterade datorn genom att kamma igenom alla datorns .htm-, .html-, .txt- och .wab-filer för alla e-postadresser. Den skickar sig inte till adresser som innehåller vissa strängar som "@hotmail.com", "@msn.com", "@microsoft", "@avp" eller ".r1". Bagle låtsas vara en annan filtyp (en 15 872 byte Windows-kalkylator för Bagle.A och en 11 264 byte ljudfil för Bagle.B), med ett slumpmässigt namn, och den kommer sedan att öppna den filtypen som ett skydd för att öppna sin egen .exe-fil . Den kopierar sig själv till Windows-systemkatalogen (Bagle.A som bbeagle.exe , Bagle.B som au.exe ), lägger till HKCU-környcklar till registret och öppnar en bakdörr på en TCP-port (6777 för Bagle.A och 8866 för Bagle.B). Med hjälp av en HTTP GET- begäran informerar Bagle.B också virusets programmerare om att maskinen har infekterats. Bagle-varianter, inklusive Bagle.A och Bagle.B, har i allmänhet ett datum då de slutar spridas inkluderat i deras programmering. Datorer som är infekterade med äldre versioner av Bagle uppdateras när nyare släpps.
Historia
Den första stammen, Bagle.A, sågs första gången den 18 januari 2004, och den verkar ha sitt ursprung i Australien. Det ursprungliga filnamnet för Bagle-viruset var Beagle, men datavetare bestämde sig för att kalla det Bagle istället som ett sätt att trotsa Bagles programmerare. Även om det började starkt med mer än 120 000 infekterade datorer, minskade det snabbt i effektivitet. Ibland åtföljd av Trojan.Mitglieder.C, slutade den att spridas efter den 28 januari 2004, enligt planeringen.
Den andra stammen, Bagle.B, sågs första gången den 17 februari 2004. Den var mycket mer utbredd och förekom i stort antal; Network Associates bedömde det som ett "medelstort" hot. Den var designad för att sluta spridas efter den 25 februari 2004.
Vid ett tillfälle under 2004 utbytte Bagle- och Netsky - virusen förolämpningar och hårda ord med varandra i sina koder, med början med Bagle.I den 3 mars 2004. Noterbart innehöll Bagle.J meddelandet "Hej, NetSky, fan dig kärring, förstör inte vår verksamhet, vill du starta ett krig?”, och Netsky-R inkluderade, "Ja, sant, du har förstått det. Bagle är en taskig kille, han öppnar en bakdörr och han tjänar mycket pengar. Netsky inte, Netsky är Skynet, en bra programvara, bra killar bakom det. Tro mig eller ej. Vi kommer att släppa tusentals av våra Skynet-versioner, så länge som bagle finns där ...". Dessutom försökte Bagle och Netsky båda ta bort varandra från ett infekterat system.
Efterföljande varianter har senare upptäckts. Den 26 juli 2004 fanns det 35 varianter av Bagle, och den 22 april 2005 hade det antalet ökat till över 100. Även om de inte alla har varit framgångsrika, är ett antal fortfarande anmärkningsvärda hot. Dessutom, den 3 och 4 juli 2004, släpptes Bagle.AD och Bagle.AE, med källkoden för viruset, skriven i Assembly , som syns i båda.
Några av dessa varianter innehåller följande text:
"Hälsningar till antivirusföretag I en svår värld, i en namnlös tid vill jag överleva, så du kommer att bli min!! -- Bagle Author, 29.04.04, Tyskland."
Detta har fått en del att tro att masken har sitt ursprung i Tyskland.
Sedan 2004 har hotrisken från dessa varianter ändrats till "låg" på grund av minskad prevalens. Windows-användare uppmanas dock att se upp för det.
Botnet
Bagle-botnätet (första upptäckten i början av 2004), även känt under sina alias Beagle , Mitglieder och Lodeight , är ett botnät som mestadels är involverat i proxy-till-relä e-postspam .
Bagle-botnätet består av uppskattningsvis 150 000-230 000 datorer infekterade med Bagle Computer-masken . Det uppskattades att botnätet var ansvarigt för cirka 10,39 % av den globala skräppostvolymen den 29 december 2009, med en ökning på upp till 14 % på nyårsdagen, även om den faktiska andelen verkar stiga och sjunka snabbt. I april 2010 uppskattas det att botnätet skickar ungefär 5,7 miljarder skräppostmeddelanden om dagen, eller cirka 4,3 % av den globala skräppostvolymen.