El 18 de enero de 2004, un gusano de correo electrónico llamado Bagle fue detectado por primera vez. Este malware dio lugar a una nueva familia de gusanos informáticos creados explícitamente para fines nefastos. Bagle estaba pensado para instalar servidores proxy troyanos en las máquinas de sus víctimas y éstos eran utilizados para enviar mansajes masivos de spam.

En la noche del 26 y 27 de enero, una epidemia de malware estalló. Fue causada por la primera versión del gusano de correos electrónicos Mydoom. La epidemia se disparó al instante, lo cual sugería que su propagación se efectuaba mediante el envío masivo de mensajes infectados a través de redes zombi. El número de correos electrónicos generados automáticamente era tan grande que muchos servidores de correo corporativo fallaron o vieron drásticamente reducidas sus salidas, incapaces de manejar el abrumador flujo del tráfico. Mydoom tuvo también un marcado carácter criminal, instaló servidores proxy troyanos en las máquinas de las víctimas con el fin de enviar emails de spam al igual que Bagle. Al mismo tiempo, un troyano backdoor se instalaba en las computadoras de las víctimas, dando a los cibercriminales un control total sobre los equipos infectados. La epidemia llegó a su punto más alto el 1 de febrero de 2004, cuando el gusano comenzó un ataque DDoS en el sitio web de SCO (www.sco.com), un fabricante de sistemas UNIX. Como consecuencia, el sitio fue dado de baja, y la empresa tuvo que utilizar un sitio alternativo (www.thescogroup.com) por algún tiempo.

El 9 de febrero, estalló una epidemia de un gusano llamado Doomjuice. Este gusano se propagó a través de las máquinas infectadas con Mydoom, penetrando a través de un puerto de red que había sido abierto por su predecesor, y que permitía el envío de comandos remotos para controlar las PCs. Si un equipo infectado respondía a la solicitud de los gusanos, Doomjuice establecía una conexión y se copiaba en la PC comprometida.

El 15 de febrero 2004 se inició la primera epidemia causada por el gusano Netsky-class. Este gusano eliminaba las versiones conocidas de Mydoom de los equipos de las víctimas. Luego, Netsky fue capaz de eliminar también a Bagle de máquinas infectadas. En marzo de 2004, una guerra sin cuartel comenzó entre los dos grupos creadores de estos malware: los partidarios de NetSky por un lado y los de Mydoom y Bagle por el otro. El 3 de marzo de 2004, cinco nuevas variantes de estos gusanos aparecieron en un espacio de 3 horas. Durante marzo y abril de 2004, las versiones más prolíficas de estos gusanos generaron entre un 80 y un 90% de la totalidad del tráfico web malicioso. Las versiones posteriores de estos gusanos estaban prácticamente orientadas para destruir los códigos maliciosos creados por el grupo rival e incluían mensajes despectivos para los adversarios:

NetSky.c:

¡Somos Skynet – no puedes esconderte! – Matamos a los creadores de malware (¡no tienen ninguna posibilidad!) – [LaMeRz ->] MyDoom.F robó nuestra idea! – – – -> ->

NetSky.f:

Skynet Antivirus – Bagle – ¡¡¡eres un perdedor!!!!

Mydoom.f:

A los creadores de Netsky: en mi humilde opinión, Skynet es una red descentralizada peer-to-peer neural. Hemos visto P2P sólo en Slapper y en Sinit. Ellos sí pueden llamarse skynets. Su aplicación de m*erda, no.

Bagle.i:

Hey, Netsky, vete a la m*erda!, no arruines nuestro negocio. ¿Quieres empezar una guerra?

El 30 de abril de 2004 tuvo lugar una importante epidemia de Sasser, un gusano de red. El gusano penetró computadoras a través de una falla en el servicio LSASS de Microsoft Windows, provocando que los equipos infectados se reiniciaran. Sasser se propagó rápidamente, congelando millones de computadoras en todo el mundo. Miles de empresas, universidades y agencias gubernamentales tuvieron que detener sus operaciones, debido a esta amenaza. Por su parte, algunas compañías aéreas (British Airways, Delta Airlines) tuvieron que posponer o cancelar sus vuelos. Además, varios bancos de Goldman Sachs & Westpac Bank cerraron y 130 filiales del banco finlandés Samp tuvieron que clausurar temporalmente sus oficinas locales como medida preventiva. En Taiwán, la epidemia afectó la exposición técnica de Computex y detuvo las operaciones de un tercio de las oficinas de correo del país. En Hong Kong, el gusano dejó hospitales estatales sin soporte informático y en Australia produjo un cese intempestivo en el ferrocarril Australian Railways.

Microsoft Corporation anunció una recompensa de 250.000 dólares a cambio de cualquier información que conduzca a los autores del malware Mydoom y Sasser. Finalmente, en mayo de 2004, Sven Jaschan, un estudiante alemán de 18 años de edad fue arrestado y acusado de crear y propagar Netsky y Sasser pero se desconoce quién creó Mydoom.

Durante el año 2004, varios virus conceptuales surgieron uno tras otro. Usualmente, este tipo de amenazas no llevan una carga maliciosa ni generan beneficios para sus creadores y están diseñados simplemente para demostrar las nuevas técnicas de propagación de malware. Prácticamente, todos estos virus fueron escritos por miembros del famoso grupo de hackers 29A y enviados directamente a compañías antivirus.

El 27 de mayo, apareció Rugrat, el primer virus capaz de infectar archivos ejecutables de Windows de 64 bits.

En tanto, el 14 de junio vio la aparición de Cabir, el primer gusano para teléfonos inteligentes que funcionan bajo la plataforma Symbian. Cabir se propagaba a través de la red Bluetooth. Este virus analizaba los teléfonos inteligentes en busca de conexiones Bluetooth abiertas y enviaba un código malicioso. Después de algún tiempo, los informes de infección empezaron a llegar desde diferentes países de todo el mundo.

El 17 de julio, Duts, el primer virus para Windows Mobile hizo su aparición. Windows Mobile era una de las plataformas más populares de dispositivos móviles, como PDA y teléfonos inteligentes.
Luego, el 05 de agosto apareció Brador. Este fue el primer troyano backdoor para equipos de bolsillo que corrían bajo Windows CE o en versiones más recientes de Windows Mobile. Brador fue también el primer programa malicioso para dispositivos móviles diseñado con el propósito de generar ganancias ilegales.

A finales de 2004 surgió una versión de Gpcod. Ese troyano cifraba datos de los usuarios y posteriormente trataba de extorsionar a las víctimas a cambio del descifrado de los archivos bloqueados.

A partir de 2004, la mayor parte de los gusanos y troyanos comenzaron a crearse con el objetivo de generar dinero de manera ilícita. El malware ‘molesto’ fue disminuyendo hasta convertirse en un número insignificante si se lo compara con la creciente cantidad de crimeware diseñado para robar identidades digitales y datos confidenciales, realizar ataques DDoS y enviar spam. Los llamados ataques bancarios aumentaron. El número de ataques phishing también se incrementó rápidamente con el mismo objetivo: obtener acceso a las cuentas bancarias personales.

En 2004 también se registró un aumento del número de investigaciones de la policía. En total, alrededor de un centenar de personas fueron detenidas en diferentes países por varios tipos de crímenes cibernéticos, según se informó en fuentes de información abiertas.
En cuanto a las epidemias de malware en 2004, se pueden dividir en dos períodos distintos. Durante la primera mitad del año hubo numerosas epidemias de gusanos de correo electrónico. El punto de inflexión se produjo en el verano, cuando tuvo lugar una reducción dramática en su número y variedad. Las razones involucraron varios factores:

  • Los proveedores de antivirus aprendieron a responder con prontitud a los brotes de malware y a publicar actualizaciones de seguridad, mientras que los proveedores de Internet aprendieron a asegurarse de que los programas de seguridad estuvieran instalados en todo momento. Estos esfuerzos frenaron el desarrollo de epidemias de gusanos de correo electrónico y redujeron considerablemente su alcance.
  • Las noticias sobre la detención de varios autores de malware recibieron una amplia cobertura en los medios de comunicación y fueron ofrecidas grandes recompensas a cambio de información que condujera a la condena de los delincuentes de más alto perfil. Todo esto desalentó a los programadores de crear malware altamente contagioso.
  • En cuanto a los intereses de los delincuentes cibernéticos, las grandes epidemias que involucraron a millones de computadoras infectadas eran mucho menos eficientes que las infecciones lentas y controlables de menor escala que sólo involucraban a decenas de miles de equipos.