domingo, 29 de febrero de 2004

Reacciones antivirus ante las versiones C,D y E del gusano Bagle

El fin se semana ha estado protagonizado por la aparición de hasta
5 nuevas variantes del gusano Bagle, lo que ha requerido una rápida
reacción por parte de los laboratorios antivirus para ofrecer en
un tiempo récord las actualizaciones y proteger a sus clientes.

Hasta el momento las versiones más activas son Bagle.C, de la que
ya ofrecimos una descripción completa en una pasada entrega, y
Bagle.E, de similares características. Aunque el primer puesto de
la lista TOP10 de gusanos más propagados lo sigue ocupando desde
hace días Netsky.B.

A continuación ofrecemos los tiempos de reacción de las diferentes
casas antivirus en proporcionar la actualización a sus clientes
para las versiones C, D y E de Bagle, según el sistema de
monitorización 24hx7d del laboratorio de Hispasec:

Bagle.C

[Norton] 18.02.2004 18:59:44 :: W32.Beagle.A@mm
[TrendMicro] 28.02.2004 01:44:56 :: WORM_BAGLE.C
[Sophos] 28.02.2004 02:06:10 :: W32/Bagle-C
[NOD32] 28.02.2004 02:11:30 :: Win32/Bagle.C
[Kaspersky] 28.02.2004 02:44:57 :: I-Worm.Bagle.c
[McAfee] 28.02.2004 03:01:18 :: W32/Bagle.c!zip
[Panda] 28.02.2004 03:28:52 :: W32/Bagle.C.worm
[InoculateIT] 28.02.2004 07:53:53 :: Win32/Bagle.C.Worm


Bagle.D

[Norton] 18.02.2004 18:59:44 :: W32.Beagle.A@mm
[McAfee] 28.02.2004 03:01:18 :: W32/Bagle.c!zip
[Panda] 28.02.2004 13:52:10 :: W32/Bagle.D.worm
[Kaspersky] 28.02.2004 15:36:42 :: I-Worm.Bagle.d
[NOD32] 28.02.2004 18:35:31 :: Win32/Bagle.D
[TrendMicro] 28.02.2004 20:44:23 :: WORM_BAGLE.D
[Sophos] 28.02.2004 23:52:22 :: W32/Bagle-D
[InoculateIT] 29.02.2004 06:04:49 :: Win32/Bagle.D.ZIP.Worm


Bagle.E

[Panda] 28.02.2004 17:12:09 :: W32/Bagle.E.worm
[Kaspersky] 28.02.2004 17:33:11 :: I-Worm.Bagle.e
[NOD32] 28.02.2004 19:32:49 :: Win32/Bagle.E
[TrendMicro] 28.02.2004 20:44:23 :: WORM_BAGLE.E
[Sophos] 28.02.2004 23:52:22 :: W32/Bagle-E
[Norton] 29.02.2004 03:11:01 :: W32.Beagle.E@mm
[InoculateIT] 29.02.2004 06:04:49 :: Win32/Bagle.E.ZIP.Worm
[McAfee] 01.03.2004 02:21:31 :: W32/Bagle.e!zip


Como en ocasiones atneriores, en todos los casos los tiempos
mencionados son hora española (GMT+1).

En el caso de Norton destaca por detectar las variantes Bagle.C y
Bagle.D antes de su aparición, desde el 18 de febrero, a través
de la firma que desarrolló para Bagle.A (Beagle.A según su
denominación).

No ocurrió lo mismo con la variante Bagle.E, que fue detectada en
primer lugar por Panda, para la que Norton necesitó suministrar
una nueva firma, y en este caso llegó con cierto retraso frente a
otras casas, sin llegar al extremo de McAfee que registró la mayor
diferencia en la publicación de la firma oficial para Bagle.E

También destaca cierta confusión en los nombres utilizados por las
diferentes casas para Bagle.D, ya que Norton lo reconocía con la
firma del Beagle.A, McAfee como Bagle.C, y Kaspersky, que lo
detectó en un primer momento como Bagle.d, posteriormente cambiaría
a Bagle.C en la actualización del 28/02/2004 a las 17:33:11 y
posteriores.


Bernardo Quintero
bernardo@hispasec.com


Más información:

27/02/2004 - Bagle.C, nueva variante del gusano comienza su propagación
http://www.hispasec.com/unaaldia/1951

19/01/2004 - "Bagle", nuevo gusano de propagación masiva
http://www.hispasec.com/unaaldia/1912

17/02/2004 - "Bagle.b", nuevo gusano de propagación masiva
http://www.hispasec.com/unaaldia/1941