• Tweet

Un par de informes de la investigación del gusano Bagle que aun esta activo y ha presentado una cronología que señala a un desarrollador profesional quien, como sus contrapartes en el mundo comercial del software, esta constatemente en pruebas, ajustes y mejoras de su codigo para su beneficio, sin el orgullo de que ser el propietario.

El gusano Bagle debutó a mediados de enero del 2004, y de acuerdo con la mayoría de las firmas antivirus, ha mutado en alrededor de 60 a 100 variaciones desde entonces. También se le relaciona con el movimiento malware-for-profit que esta empezando entre los hackers, que antes del gusano ground-breaking, generalmente eran motivados por llamar la antencion.

Jason Gordon, un analista de la firma de investigación en seguridad infectionvectors.com por las noches y un consultor para la seguridad de los clientes del departamento de defensa de día, pero el año pasado vigilando cada versión de Bagle, y recientemente termino el tercero de un informe de tres partes.

"En el año de esta liberación", escribió en el informe, "Bagle ha tenido un impacto mayor en Internet" sobre todo porque fue, y sigue siendo, "un líder en la economía del fraude en Internet por spamming, phishing y el robo de contraseñas".

Aunque otra familia de gusanos ha desencadenado mas variantes que Bagle, el gusano fue, dice Gordon, la primera confirmación real de la astucia técnica, los desarrolladores profesionales se han metido en la escritura de código malicioso.

"Bagle puede habernos engañados en el pensamiento inicial de que todo fue por llamar la atención, pero pronto fue evidente que este fue un software profesional, donde el autor estuvo agregando y deshabilitando diferentes funciones", dijo Gordon. "En verdad es la primera vez que un escritor de virus prestaba atención a los detalles, y esencialmente seguido del proceso CMMI".

CMMI(Capability Maturity Model Integration) es un modelo ideado por El Instituto de Ingeniería de Software de Carnegie Mellon para evaluar la madurez del desarrollo del software.

Gordon precisó que el escritor (o escritores, se desconoce si el gusano es el trabajo de una persona, o un grupo) constante y frecuentemente ha cambiado al gusano para hacerlo mas efectivo, mas difícil de detectar y un centro de ganancias mas lucrativo.

"El usa toda la red como un grupo de pruebas beta", dijo Gordon, que preciso que algunas variantes -- Bagle.ar en Septiembre del 2004, por ejemplo -- probo ciertas nuevas características, pero no otras, para, en esencia, probar cada nueva adición por separado.

"Las fechas de vencimiento de las versiones dentro de los Bagles mas recientes", agrego Gordon, "fueron claramente usadas porque el escritor fue probando nuevas versiones o adiciones", de hecho, dice la cronología de Gordon, el primer trimestre de Bagle, de Enero a Abril del 2004, el autor fue "mejorando la funcionalidad base, evitando la detección, y construyendo la base de equipos comprometidos".

Otros investigadores han comentado sobre el mismo tema. Kaspersky Software, una firma antivirus situada en Moscú, liberó su propia visión del Bagle y la red de ambas fue construida la semana pasada.

A principios de marzo del año pasado, por ejemplo, el creador de Bagle "evidentemente decidido a probar la velocidad de reacción de los distribuidores de antivirus", dice el reporte Kaspersky. Ese día, Bagle 15 o las piezas de código relacionadas con Bagle se esparcieron en Internet en 24 horas.

Afortunadamente para los usuarios y profesionales de seguridad, el tipo de codificador (o codificadores) quienes escribieron Bagle no crecen en los arboles. "Creo que hay un grupo reducido de desarrolladores quienes están lo suficientemente bien adiestrados para tener la dedicación para hacer lo que el autor de Bagle hizo", dijo Gordon.

Dedicación y por lo tanto entendimiento. El autor (o autores) de Bagle no solo han creado numerosas variaciones del gusano, sino que el (o ella o ellos) también están detrás de la familia Mitglieder de troyanos. Mitglieder (que significa "miembros" en Alemania) esta escrito usando el código de Bagle, pero no se replica por si mismo.

En la ultima mitad del 2004, dijo Gordon, el creador de Bagle empezó enfocándose en crear Troyanos que en algunos casos tienen propósitos muy específicos, como robar contraseñas de bancos en linea.

Combine el numero de variantes de Bagle con los troyanos Mitglieder, dice el informe de Kaspersky, y que "el autor de Bagle esta produciendo nuevas piezas de código malicioso cada dos días en promedio".

Esto conduce a Gordon a sospechar que no solamente es una persona manipulando Bagle, sino un equipo. "Tendría que estar sentado en su teclado contra reloj para sacar tanto código".

La meta de Bagle, por supuesto, es hacer dinero, "La sospecha inicial acerca de Bagle parece ser verdadera: Los individuos que intentaban beneficiarse del código malicioso manipulando al gusano", dijo Gordon. "En muchos casos la historia de Bagle es un modelo para el éxito de los criminales de Internet. El codificador(es) manipularon un gusano tan bien concebido, y después explotaron la base de víctimas para entregar los 'productos' adicionales para incrementar las ganancias de la empresa".

Esta es una de las razones de porque Bagle es importante para los investigadores el entenderlo, agregó Gordon: Esta idea de que es un modelo a seguir de otros.

En cierto grado, esto ya está pasando. La familia del gusano Mytob, que algunos análisis la conectan a los escritores de MyDoom del 2004, parece que sigue muchos de los mismos pasos y principios de los procesos que Bagle presentó.

"La ultima lección de Bagle", concluye Gordon, "es que el código malicioso provechoso se puede construir, mostrar y manejar tan bien como un software de seguridad provechoso".

Muchos análisis de virus se enfocan en la magia técnica de un gusano y pasan por alto la precisión simple y metódica de un autor quien esta motivado por el reconocimiento. Estos autores son menos susceptibles a cometer errores que un escritor descuidado que esté buscando llamar la atención".

La desconstrucción completa de Gordon acerca de Bagle puede ser descargada en tres partes en formato PDF de la pagina de Internet infectionvectors.com.