Новые варианты известного вируса получили наименование Glieder, поскольку их отличие от изначального кода Bagle качественно изменило сам вирус.

Теперь он использует ряд элементов в сочетаниях, не встречавшихся до этого прежде. В процессе сложного поэтапного проникновения в компьютер жертвы он сначала захватывает «плацдарм», затем блокирует защиту, и уже потом полностью овладевает компьютером.

«Нам уже доводилось встречаться со сложными угрозами — но не до такой степени, как эта», — заявил архитектор системы безопасности компании Computer Associates в Австралии Крис Томас (Chris Thomas).

Как сообщает Silicon.com, червь Win32.Glieder распространяется стандартным для вирусов способом, посредством массовой рассылки электронной почты. Активация происходит, если получатель открывает содержащееся в письме вложение — в результате червь рассылает сам себя по адресам, содержащимся в адресной книге.

«Тем самым вирус создает плацдарм, — поясняет г-н Томас. — Основная цель — заражение как можно большего количества пользователей небольшим элементом вредоносного кода». На 1 июня компания СА зарегистрировала уже восемь вариантов нового червя.

Помимо рассылки собственных копий, на зараженные машины загружается «троянец» Win32.Fantibag, созданный специально для блокирования обновления антивирусного ПО, а также сайта обновлений Microsoft windowsupdate.microsoft.com.

«Тем самым машина лишается защиты, — говорит г-н Томас. — Программное обеспечение лишается возможности обновления, жертва не может получить помощь, и пользователи инфицированных ПК фактически оказываются в изоляции».

Финальным аккордом атаки является второй «троянец» — Win32.Mitglieder. Он отключает межсетевой экран и антивирусное ПО, еще ниже опуская планку защищенности машины, и превращает ее в один из элементов собственной распределенной сети пораженных компьютеров, используемых для рассылки спама, слежки за пользователями и кражи их персональных данных. Такие сети могут насчитывать многие тысячи машин.

«Это — рынок ширпотреба, на котором продаются зараженные ПК, — продолжает г-н Томас. — Мы уже сталкивались со спамерами и преступниками, промышляющими мошенничеством — они платят приблизительно по 5 центов за каждый такой компьютер».

Атака с использованием новой стратегии оказалась весьма результативной. «Наблюдавшаяся нами статистика показывает, что червь по-прежнему быстро распространяется», — пояснил эксперт.

При этом, подчеркнул он, новый вирус не блокирует доступ к сайту обновлений антивирусного ПО компании CA. Однако эксперт не смог объяснить, каким именно образом его создатели допустили такую оплошность.