martes, 3 de mayo de 2005

Lecciones aprendidas con Bagle/Beagle

Un estudio analiza de forma detallada todo lo que la industria antivirus
ha aprendido con el gusano Bagle/Beagle.

Durante todo el año 2004 y principios de este año 2005, hemos asistido
a una continua avalancha de variantes del gusano Bagle, que se propagaba
a través de archivos adjuntos en mensajes de correo electrónico, enviados
de forma masiva desde los sistemas infectados. Las diversas variantes
de Bagle, conjuntamente con los otros gusanos con los que coincidió
temporalmente, provocaron en los dos primeros meses de 2004 más actividad
que la registrada durante todo el año 2003.

En "Lessons from Virus Developers: The Beagle Worm History", estudio
recientemente publicado en tres partes y disponible en la dirección que
facilitamos en el apartado de "Más información", se realiza un completo
análisis de la evolución histórica del gusano, desde las primeras
variantes detectadas a finales de enero de 2004 hasta las últimas,
identificadas en enero de 2005.

El estudio presenta un análisis de las características más destacadas
de las diversas variantes y la evolución en los mecanismos utilizados
para su propagación y como poco a poco el gusano se iba haciendo más
y más complejo, hasta el extremo de llegar a incorporar su propio
servidor de nombres de dominio, la capacidad para desactivar y/o
inhabilitar las medidas de seguridad instaladas en los sistemas
infectados, la distribución en archivos cifrados con contraseña
para saltarse los antivirus en el servidor de correo, etc...

El objetivo de este trabajo no es tanto informar de las capacidades
técnicas del gusano sino presentarlo como un ejemplo de la evolución
histórica de un ejemplo paradigmático de malware. No se trata de un
estudio técnico ni un análisis exhaustivo del funcionamiento del
gusano; solo presenta la evolución histórica del mismo con la idea
que conociendo esta información los administradores de seguridad
podrán aplicar este conocimiento en la optimización de sus herramientas
en vistas a futuros gusanos más o menos equivalentes.


Xavier Caballé
xavi@hispasec.com


Más información:

Lessons from Virus Developers: The Beagle Worm History Through April 24,
2004
http://downloads.securityfocus.com/library/Beagle_Lessons.pdf

Lessons from Virus Developers: The Beagle Worm History Through August 31,
2004
http://downloads.securityfocus.com/library/beagle_lessons_2.pdf

Lessons from Virus Developers: The Beagle Worm History Part III: September
1, 2004 - January 31, 2005
http://www.infectionvectors.com/library/year_of_the_beagle.pdf

Una-al-día (30-10-2004): Reacción antivirus a la avalancha de variantes de
Bagle
http://www.hispasec.com/unaaldia/2198

Una-al-día (09-08-2004): Variantes de Bagle y tiempos de reacción antivirus
http://www.hispasec.com/unaaldia/2115

Una-al-día (08-08-2004): Alerta: gran propagación de una nueva variante de
Bagle
http://www.hispasec.com/unaaldia/2114

Una-al-día (19-01-2004): "Bagle", nuevo gusano de propagación masiva
http://www.hispasec.com/unaaldia/1912

No hay comentarios:

Publicar un comentario