1 - El nuevo Bagle, detectado por la heurística de Nod32
_____________________________________________________________
[url]http://www.vsantivirus.com/ev-29-10-04.htm[/url]
El nuevo gusano Bagle, detectado por la heurística de Nod32
Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/
[Publicado con autorización de Enciclopedia Virus]
El 29 de octubre, una epidemia masiva de una agresiva versión
del gusano Bagle golpeó Internet, propagándose rápidamente e
infectando miles de máquinas.
A las 07:51 de esa mañana (CET, hora estándar de Europa
Central), un nuevo virus fue detectado por Virus Radar
([url]www.virus-radar.com[/url]).
Inicialmente, alrededor de 50 muestras fueron obtenidas en la
primera hora, pero pronto llegó a ser obvio que la extensión
sería masiva. En la segunda hora, se detectaron más de 3400
muestras, y el análisis adicional mostró que se trataba de una
nueva versión, sumamente agresiva, del gusano Bagle,
denominada por NOD32 como Win32/Bagle.AS.
Más tarde, dos nuevas variantes fueron descubiertas (Bagle.AT
y Bagle.AU), todas ellas detectadas desde el principio por la
Heurística Avanzada de NOD32. Bagle.AU parece propagarse
también masivamente.
Menos de 2 horas después del descubrimiento heurístico, a las
09:40 (CET), una actualización del antivirus fue liberada para
proporcionar la exacta identificación y eliminación para cada
variante, y una descripción fue publicada.
"La proliferación masiva del nuevo gusano, probablemente se
deba a que posee su propia rutina de envío masivo. Cuándo el
gusano está activo en una computadora infectada, intentará
detener algunas aplicaciones antivirus y cortafuegos que se
ejecuten en la máquina, aumentando con esto las oportunidades
de supervivencia, ya que algunos productos no podrán
actualizarse, y no lo identificarán", dijo Andrew Lee,
Vicepresidente de Apoyo Global en Eset.
Win32/Bagle causa una infracción grave de la seguridad
abriendo el puerto 81 en la computadora y un puerto aleatorio
de UDP, y queda a la escucha de las instrucciones que le serán
enviadas. El gusano se desactivará automáticamente en una
computadora infectada, después de estar activo y causar daño
por 20 días. Basado en el análisis del código, el ciclo vital
del gusano terminará el 25 de abril de 2006.
Un herramienta de limpieza para el gusano está disponible en
el siguiente enlace:
[url]http://www.vsantivirus.com/bagle-as.htm[/url]
Rastreando esta amenaza en Virus Radar, se observa el rápido
crecimiento de este gusano, horas después del descubrimiento
inicial con la heurística de NOD32:
29.10.2004 07:00 53
29.10.2004 08:00 3409
29.10.2004 09:00 11235
29.10.2004 10:00 30424
29.10.2004 11:00 74236
Actualmente, Virus Radar muestra que alrededor de 1 de cada 20
mensajes, contiene el gusano Win32/Bagle.AS.
Esta mañana, se recibieron las noticias de que NOD32 había
obtenido su vigésimo noveno premio Virus Bulletin, un record
no logrado por ningún otro antivirus, por detectar todos los
virus existentes "In The Wild" (o sea activos).
Las excepcionales capacidades heurísticas avanzadas de NOD32,
que en última medida, podrían detectar más del 88% de todos
los virus en la calle, sin la necesidad de una actualización,
son una parte importante de ese éxito.