Lecciones aprendidas con Bagle/Beagle

Durante todo el año 2004 y principios de este año 2005, hemos asistido a una continua avalancha de variantes del gusano Bagle, que se propagaba a través de archivos adjuntos en mensajes de correo electrónico, enviados de forma masiva desde los sistemas infectados. Las diversas variantes de Bagle, conjuntamente con los otros gusanos con los que coincidió temporalmente, provocaron en los dos primeros meses de 2004 más actividad que la registrada durante todo el año 2003.

En “Lessons from Virus Developers: The Beagle Worm History”, estudio recientemente publicado en tres partes y disponible en la dirección que facilitamos en el apartado de “Más información”, se realiza un completo análisis de la evolución histórica del gusano, desde las primeras variantes detectadas a finales de enero de 2004 hasta las últimas, identificadas en enero de 2005.

El estudio presenta un análisis de las características más destacadas de las diversas variantes y la evolución en los mecanismos utilizados para su propagación y como poco a poco el gusano se iba haciendo más y más complejo, hasta el extremo de llegar a incorporar su propio servidor de nombres de dominio, la capacidad para desactivar y/o inhabilitar las medidas de seguridad instaladas en los sistemas infectados, la distribución en archivos cifrados con contraseña para saltarse los antivirus en el servidor de correo, etc…

El objetivo de este trabajo no es tanto informar de las capacidades técnicas del gusano sino presentarlo como un ejemplo de la evolución histórica de un ejemplo paradigmático de malware. No se trata de un estudio técnico ni un análisis exhaustivo del funcionamiento del gusano; solo presenta la evolución histórica del mismo con la idea que conociendo esta información los administradores de seguridad podrán aplicar este conocimiento en la optimización de sus herramientas en vistas a futuros gusanos más o menos equivalentes.