martes, 20 de julio de 2004

Reacción antivirus ante el gusano Bagle.AH/AI

En los últimos días han aparecido nuevas versiones del gusano Bagle,
siendo la variante Bagle.AH o Bagle.AI (la denominación varía según
el motor antivirus) la que ha conseguido mayores ratios de
propagación. Hoy vamos a conocer los tiempos de reacción de cada
casa antivirus en proporcionar a sus usuarios la actualización para
protegerse de este espécimen.

En primer lugar destacan aquellos motores antivirus que detectaban
la variante Bagle.AH antes de su aparición (19/07/2004), bien
gracias a las funciones heurísticas, bien porque esta variante
tenía código en común con firmas genéricas que habían incluido para
detectar a la familia Bagle.

De esta forma los siguientes antivirus detectaban a Bagle.AH desde,
al menos, el mes de junio, y protegían a sus usuarios en el mismo
momento en que empezó a circular el gusano.

BitDefender 06.2004 Win32.Bagle.10.Gen@mm
NOD32v2 06.2004 NewHeur_PE
Norman 06.2004 W32/P2PWorm

A continuación los tiempos de reacción de las casa antivirus en
proporcionar la actualización concreta para este gusano, una vez
había comenzado su propagación.

Kaspersky 19.07.2004 19:18 I-Worm.Bagle.ai
NOD32v2 19.07.2004 19:23 Win32/Bagle.AH
BitDefender 19.07.2004 19:38 Win32.Bagle.AJ@mm
Panda 19.07.2004 21:00 W32/Bagle.AH.worm
Sophos 19.07.2004 21:05 W32/Bagle-AI
McAfee 19.07.2004 23:07 W32/Bagle.ai@MM
TrendMicro 19.07.2004 23:13 WORM_BAGLE.AH
Symantec 20.07.2004 02:18 W32.Beagle.AG@mm
F-Prot 20.07.2004 12:35 W32/Bagle.AI@mm
Norman 20.07.2004 18:57 Bagle.AH@mm
eTrust-Inoc 21.07.2004 00:17 Win32/Bagle.AH.Worm

Estos datos son proporcionados por VirusTotal, y los tiempos se
encuentran en hora española (GMT+2 en verano).

Como dato curioso podemos comentar que eTrust-Inoc detectaba a
Bagle.AH en la actualización del 12.06.2004 00:04 como
Win32/Bagle.Variant.Worm, pero en la siguiente actualización
modificaron la firma genérica para la famila Bagle y dejó de
reconocer a esta variante. El resultado es que el día en que
comenzó su propagación no lo detectaba.


Bernardo Quintero
bernardo@hispasec.com


Más información:

VirusTotal
http://wwww.virustotal.com