В этот уикенд появились не только две новых версии Bagle, но и якобы оригинальный исходный код червя. Микко Гиппонен, директор по антивирусным исследованиям компании F-Secure, считает, что исходный код подлинный, а тот факт, что он написан на чистом ассемблере, свидетельствует о том, что мы имеем дело не со script kiddie, а с серьезным программистом. «Большинство червей пишут на языке С или частично на С и частично на ассемблере. Осталось не так много людей, хорошо знающих ассемблер, так что за этим стоит серьезный программист», — сказал он.
Червь Bagle впервые появился в январе в виде e-mail-вложения и за несколько месяцев вышел более чем в 25 вариантах. В зараженные ПК загружается троян, по существу мобилизующий компьютеры в армию зомби автора червя, которую тот может использовать для распространения спама и других почтовых рассылок и для организации DDoS-атак.
В этот уикенд появились не только две новых версии Bagle, но и якобы оригинальный исходный код червя. Микко Гиппонен, директор по антивирусным исследованиям компании F-Secure, считает, что исходный код подлинный, а тот факт, что он написан на чистом ассемблере, свидетельствует о том, что мы имеем дело не со script kiddie, а с серьезным программистом. «Большинство червей пишут на языке С или частично на С и частично на ассемблере. Осталось не так много людей, хорошо знающих ассемблер, так что за этим стоит серьезный программист», — сказал он.
Гиппонен говорит, что хотя ассемблер — трудный язык, для мастера не составит труда модифицировать код и создать новые варианты Bagle, так что администраторам Windows предстоит жаркое лето. «Изменить такие вещи, как номер порта или текст рассылаемых сообщений, не представляет труда. Я уверен, что это приведет к выбросу новых вариантов Bagle, — как было в феврале и марте», — говорит Гиппонен.
Ричард Штернс, вице-президент по безопасности секьюрити-группы ISSA UK, тоже считает исходный код опасным, но отмечает, что он может содержать подсказки, которые помогут правоохранительным органам выследить автора. В исходном коде содержатся его комментарии, которые могут сузить круг подозреваемых. «Если дать десятку программистов одни и те же спецификации, они напишут десять разных программ. Коды будут подобны, но у каждого программиста есть свои особенности — такие, как имена переменных, методы кодирования, способ комментирования кода. Из этого складывается индивидуальный почерк».
С другой стороны, возможно, что таким способом автор надеется замести следы. Если исходный код будет присутствовать на множестве компьютеров, то в случае ареста автора код, найденный в его компьютере, перестанет служить уликой против него.
Не исключено, что решение о распространении исходного кода было вызвано пятничным объявлением о том, что правительства Великобритании, США и Австралии заключили соглашение о совместной борьбе с распространителями спама.
В январе, через несколько дней после того, как Microsoft и SCO Group назначили приз в $500 тыс. за поимку автора MyDoom, начал распространяться исходный код этого вируса. «Возможно, в данном случае применяется аналогичная тактика. В пятницу наличие в компьютере оригинального исходного кода Bagle было веской уликой против его автора. Сегодня это уже не так», — говорит Гиппонен.
Гравитация научных фактов сильнее, чем вы думаете