Bagle (gusano informático)

Gusano informático

Bagle (también conocido como Beagle) era un gusano informático que se enviaba por correo masivo a Microsoft Windows . La primera cepa, Bagle.A , no se propagó ampliamente. Una segunda variante, Bagle.B , fue considerablemente más virulenta.

Descripción general

Bagle utilizó su propio motor SMTP para enviarse correos masivos como archivo adjunto a destinatarios obtenidos del equipo infectado, buscando en todos los archivos .htm, .html, .txt y .wab del equipo direcciones de correo electrónico. ^[1] No se envía correos a direcciones que contengan determinadas cadenas como "@hotmail.com", "@msn.com", "@microsoft", "@avp" o ".r1". ^[2] Bagle simula ser un tipo de archivo diferente (una Calculadora de Windows de 15.872 bytes para Bagle.A y un archivo de audio de 11.264 bytes para Bagle.B), con un nombre aleatorio, y luego abrirá ese tipo de archivo como tapadera para abrir su propio archivo .exe . ^{[3] [4] [1]} Se copia a sí mismo en el directorio del sistema de Windows (Bagle.A como bbeagle.exe , Bagle.B como au.exe ), agrega claves de ejecución HKCU al registro y abre una puerta trasera en un puerto TCP (6777 para Bagle.A y 8866 para Bagle.B). ^{[4] [1]} Mediante una solicitud HTTP GET , Bagle.B también informa al programador del virus que la máquina ha sido infectada con éxito. ^{[4] [5]} Las variantes de Bagle, incluidas Bagle.A y Bagle.B, generalmente tienen una fecha en la que dejan de propagarse incluida en su programación. ^[6] Las computadoras infectadas con versiones anteriores de Bagle se actualizan cuando se lanzan las más nuevas. ^[7]

Historia

La cepa inicial, Bagle.A, fue avistada por primera vez el 18 de enero de 2004, aparentemente originaria de Australia. ^[1] El nombre de archivo original del virus Bagle era Beagle, pero los científicos informáticos decidieron llamarlo Bagle en su lugar como una forma de fastidiar al programador de Bagle. ^[8] Aunque comenzó fuerte con más de 120.000 computadoras infectadas, rápidamente disminuyó en eficacia. ^[9] A veces acompañado por Trojan.Mitglieder.C, dejó de propagarse después del 28 de enero de 2004, como estaba previsto. ^{[9] [1]}

La segunda cepa, Bagle.B, fue avistada por primera vez el 17 de febrero de 2004. ^[5] Estaba mucho más extendida y apareció en grandes cantidades; Network Associates la calificó como una amenaza "media". Fue diseñada para dejar de propagarse después del 25 de febrero de 2004.

En un momento dado de 2004, los virus Bagle y Netsky intercambiaron insultos y palabras duras entre sí en sus códigos, comenzando con Bagle.I el 3 de marzo de 2004. ^[6] Cabe destacar que Bagle.J contenía el mensaje “Hey, NetSky, vete a la mierda, perra, no arruines nuestro negocio, ¿quieres empezar una guerra?”, y Netsky-R incluía, “Sí, es cierto, lo tienes que entender. Bagle es un tipo de mierda, abre una puerta trasera y gana mucho dinero. Netsky no, Netsky es Skynet, un buen software, buenos tipos detrás de él. Créanme o no. Lanzaremos miles de nuestras versiones de Skynet, mientras Bagle esté ahí…”. ^{[10] [11]} Además, Bagle y Netsky intentaron eliminarse mutuamente de un sistema infectado. ^[12]

Posteriormente se descubrieron variantes posteriores. Para el 26 de julio de 2004, había 35 variantes de Bagle, y para el 22 de abril de 2005, ese número había aumentado a más de 100. ^{[13] [6]} Aunque no todas han tenido éxito, varias siguen siendo amenazas importantes. Además, el 3 y 4 de julio de 2004, se publicaron Bagle.AD y Bagle.AE, con el código fuente del virus, escrito en Assembly , apareciendo visiblemente en ambas. ^[14]

Algunas de estas variantes contienen el siguiente texto:

 "Un saludo a las empresas de antivirus. En un mundo difícil, En un tiempo sin nombre, Quiero sobrevivir, ¡¡¡Así que serás mía!!! -- Bagle Autor, 29.04.04, Alemania."

Esto ha llevado a algunos a creer que el gusano se originó en Alemania.

Desde 2004, el riesgo de amenaza de estas variantes se ha modificado a "bajo" debido a la disminución de su prevalencia. Sin embargo, se advierte a los usuarios de Windows que tengan cuidado.

Red de bots

La botnet Bagle (descubrimiento inicial a principios de 2004 ^{[6] [15]} ), también conocida por sus alias Beagle , Mitglieder y Lodeight , ^[16] es una botnet involucrada principalmente en el spam de correo electrónico de proxy a retransmisión .

Se estima que la botnet Bagle está formada por entre 150.000 y 230.000 ^{[17] ordenadores infectados con el} gusano informático Bagle . Se calcula que la botnet era responsable de alrededor del 10,39% del volumen de spam mundial el 29 de diciembre de 2009, con un aumento de hasta el 14% el día de Año Nuevo ^[18] , aunque el porcentaje real parece subir y bajar rápidamente [ ^19] . Se calcula que, a fecha de abril de 2010, la botnet envía aproximadamente 5.700 millones de mensajes de spam al día, o alrededor del 4,3% del volumen de spam mundial ^{[17] .}

Véase también

• Zombie (informática)
• Netsky (gusano informático)
• Red de bots
• Software malicioso
• Correo no deseado (spam)
• Delito en Internet
• Seguridad en Internet
• McColo
• Operación: Bot Roast
• Red de bots Srizbi
• Alureón
• Conficante
• Fin del juego ZeuS
• Red de bots Storm
• Red de bots Rustock
• Red de bots ZeroAccess
• Regin (malware)
• Zeus (malware)

Referencias

1. Munro, Jay (26 de enero de 2021). "Cómo detener la propagación del virus del bagel". ABC News . Archivado desde el original el 26 de enero de 2021. Consultado el 13 de abril de 2021 .
2. "Email-Worm:W32/Bagle". F-Secure . Archivado desde el original el 26 de enero de 2021 . Consultado el 13 de abril de 2021 .
3. "Perfil de virus: W32/Bagle@MM". McAfee . Archivado desde el original el 2008-01-27 . Consultado el 2021-04-13 .
4. "Febrero". Seguridad en redes . 2004 (3): 5–7. Marzo de 2004. doi :10.1016/S1353-4858(04)00049-2.
5. Fisher, Dennis (17 de febrero de 2004). "El nuevo virus de Bagle cobra impulso". eWeek . Consultado el 13 de abril de 2021 .^{[ enlace muerto permanente ]}
6. Mashevsky, Yury (22 de abril de 2005). "La botnet Bagle". Securelist. Archivado desde el original el 19 de enero de 2021. Consultado el 30 de julio de 2010 .
7. Hines, Matt (17 de abril de 2006). "Un ataque de spam mantiene a Bagle en ebullición". eWeek . Consultado el 13 de abril de 2021 .
8. Husted, Bill (21 de enero de 2004). "El último gusano informático causa menos estragos en Estados Unidos que en el extranjero". Atlanta Journal-Constitution .
9. Seltzer, Larry (21 de enero de 2004). "La tasa de infección de Bagle está disminuyendo". eWeek . Consultado el 13 de abril de 2021 .
10. "Los creadores de virus inician una guerra de palabras". Internet Magazine . 118 : 10. 2004 – vía Gale.
11. "Netsky-R, el último en una andanada de gusanos en guerra". Software World . 35 (3). 2004 – vía Gale.
12. "La batalla Bagle-Netsky continúa con nuevos jugadores". Computergram International . MarketLine . 17 de marzo de 2004 – vía Gale.
13. Fisher, Dennis (26 de julio de 2004). "El éxito del virus Bagle desconcierta a los investigadores". eWeek . Consultado el 13 de abril de 2021 .
14. "¿Le gustaría obtener información de fuentes con su Bagle?". Infosecurity Today . 1 (4): 46. 2004-07-01. doi :10.1016/S1742-6847(04)00095-3. ISSN  1742-6847.
15. "¿Un poco de spam con tu Bagle?". M86 Security. 4 de junio de 2009. Archivado desde el original el 12 de marzo de 2012. Consultado el 30 de julio de 2010 .
16. "Bagle". M86 Security . 17 de junio de 2009. Archivado desde el original el 1 de enero de 2011. Consultado el 30 de julio de 2010 .
17. http://www.messagelabs.com/mlireport/MLI_2010_04_Apr_FINAL_EN.pdf ^{[ enlace muerto permanente ]}
18. Dan Raywood. "Nuevas amenazas de botnets surgen en el nuevo año de la mano de Lethic y Bagle". SC Magazine UK . Consultado el 30 de julio de 2010 .
19. Raywood, Dan (11 de enero de 2010). "Nueva botnet de spam en aumento". Revista SC . DarkReading. Archivado desde el original el 8 de agosto de 2016. Consultado el 30 de julio de 2010 .