Reacción antivirus a la avalancha de variantes de Bagle

Nuevas versiones del gusano Bagle han hecho aparición, casi en
paralelo, en las últimas horas. Aunque a lo largo del día se han
sucedido picos muy importantes en su distribución, lo que ha suscitado
las alertas, los últimos datos apuntan a una desaceleración clara en
su propagación.

A continuación los tiempos de reacción antivirus frente a las dos
últimas variantes de Bagle más destacadas por su propagación.

En el caso de la primera variante resaltar en primer lugar las
soluciones que detectaban a los gusanos antes de que comenzara su
propagación, bien por heurística o firmas genéricas para Bagle:

NOD32 probably unknown NewHeur_PE
BitDefender Win32.Bagle.10.Gen@mm
F-Prot could be infected with an unknown virus

En cuanto a los tiempos de reacción de las diferentes soluciones en
proporcionar las firmas específicas:

Kaspersky 29.10.2004 09:17:48 :: I-Worm.Bagle.at
NOD32 29.10.2004 09:33:56 :: Win32/Bagle.AS
ClamAV 29.10.2004 09:36:51 :: Worm.Bagle.AT
Panda 29.10.2004 10:08:30 :: W32/Bagle.BC.worm
Norman 29.10.2004 10:35:27 :: Bagle.AQ@mm
BitDefender 29.10.2004 10:39:17 :: Win32.Bagle.AX@mm
TrendMicro 29.10.2004 11:41:04 :: WORM_BAGLE.AT
F-Prot 29.10.2004 11:59:53 :: W32/Bagle.AP@mm
Sophos 29.10.2004 12:37:07 :: W32/Bagle-AU
McAfee 29.10.2004 12:57:16 :: W32/Bagle.bb@MM
Symantec 29.10.2004 14:34:14 :: W32.Beagle.AV@mm
InoculateIT 29.10.2004 15:26:01 :: Win32/Bagle.AQ.Worm

La segunda variante también fue detectada de forma proactiva por
NOD32 y BitDefender:

NOD32 probably unknown NewHeur_PE
BitDefender Win32.Bagle.10.Gen@mm

Los tiempos de reacción en proporcionar las firmas específicas:

BitDefender 29.10.2004 10:39:17 :: Win32.Bagle.AX@mm
Kaspersky 29.10.2004 12:06:17 :: I-Worm.Bagle.au
NOD32 29.10.2004 12:10:40 :: Win32/Bagle.AU
Panda 29.10.2004 12:11:24 :: W32/Bagle.BE.worm
ClamAV 29.10.2004 12:30:46 :: Worm.Bagle.AX
Sophos 29.10.2004 12:37:07 :: W32/Bagle-AU
F-Prot 29.10.2004 12:51:49 :: W32/Bagle.AQ@mm
Symantec 29.10.2004 14:34:14 :: W32.Beagle.AW@mm
Norman 29.10.2004 15:21:40 :: Bagle.AR@mm
InoculateIT 29.10.2004 15:26:01 :: Win32/Bagle.AQ.Worm
McAfee 29.10.2004 18:11:31 :: W32/Bagle.bd@MM
TrendMicro 29.10.2004 19:33:12 :: WORM_BAGLE.AU

En este último caso, hay que mencionar que ClamAV, que inicialmente
detectaba las muestras como Worm.Bagle.X, cambió su denominación a
Worm.Bagle.U a las 14:42:29.

Los tiempos proporcionados son hora de España.

Existen tecnologías antivirus, no basadas en el análisis de código y
búsqueda de patrones, que no están reflejadas en estos listados,
como es el caso de TruPrevent de Panda, que también afirman detectar
estas variantes de forma proactiva. Aunque en el laboratorio de
Hispasec estamos trabajando para poder incluir estas tecnologías en
nuestros análisis, aun no podemos ofrecer datos al respecto.

Acerca de Hispasec

Hispasec Ha escrito 7093 publicaciones.

• View all posts by Hispasec →
• Blog