Peligro sobre el nuevo gusano W32/Mydoom.A
En comparación a los últimos virus, (Mydoom.A) no utiliza ninguna vulnerabilidad de Microsoft para atacar a los equipos.
Mydoom.A se propaga por correo electrónico mediante un fichero adjunto, al abrir este fichero no sólo infecta al equipo destinado, sino que se propaga por sí solo a todos los contactos de la libreta de direcciones.
El contenido del mensaje es variable, en la que puede contener las siguientes frases:
Asunto:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Cuerpo de mensaje:
Mail Transaction Failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment
Nombre del fichero adjunto:
document
readme
doc
text
file
data
test
message
body
Extensión del fichero adjunto:
.pif
.scr
.exe
.cmd
.bat
.zip
Además Mydoom.A busca direcciones de e-mail en los ficheros del equipo que tengan las siguientes extensiones: .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab, .txt. El gusano envía por correo electrónico utilizando su propio motor SMTP. Sin embargo Mydoom.A, no se envía a las direcciones que presenten las siguientes características:
- El dominio que contenga una de las siguientes palabras: .gov , .mil, acketst, arin., avp, berkeley, borlan, bsd, example, fido, foo., fsf., gnu, google, gov., hotmail, iana, ibm.com, icrosof, ietf, inpris, isc.o, isi.e, kernel, linux, math, mit.e, mozilla, msn., mydomai, nodomai, panda, pgp, rfc-ed, ripe., ruslis, secur, sendmail, sopho, syma, tanford.e, unix, usenet, utgers.ed.
- El nombre que contenga una de las siguientes direcciones: anyone , info, me, nobody, noone, nothing, postmaster, root, samples, someone, webmaster, you, your.
Pero Mydoom.A no acaba aquí, si el usuario infectado utiliza un programa especifico "peer to peer" llamado (KaZaa), el citado gusano copia un fichero en el directorio compartido que permite su propagación a través de este programa, así su facilidad de propagación seria aun mayor. Dicho fichero puede tener alguno de los siguientes nombres:
winamp5
Icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
RootkitXP
office _ crack
nuke2004
y la extensiones. PIF, .SCR o .BAT.
Cuando el usuario ya es infectado por (Mydoom.A) este lanza una determinada (DLL) llamada SHIMGAPI.DLL, la cual es un backdoor y abre el puerto TCP 3127 de la maquina acechada, lo que significa que cualquier usuario malicioso podría entrar remotamente en tu maquina para robar, manipular, o mismamente eliminar
Todo gusano tiene objetivo, aparte de infectar a usuarios y distribuirse por KaZzA, el objetivo principal de Mydoom.A es colapsar las redes informáticas de las grandes compañías, impidiendo a los trabajadores de esta, desempeñar su labor frente el ordenador. Así, las compañías que se han visto afectadas han podido ver paralizada su producción debido al gran tráfico que genera Mydoom.A al reenviarse automáticamente a los contactos de las libretas de direcciones de los equipos afectados.
El mayor número de infecciones han sido registradas en EEUU, ya que la aparición del gusano coincidió con su jornada laboral. La situación de España es de menor peligrosidad, pero a medida que el dia avance el número de incidencias aumenten, por ahora Mydoom. A esta en proceso de distribución, aunque ya empieza a notarse sus efectos.
Mydoom.A se reconoce fácilmente cuando un usuario es infectado, pues cuando es ejecutado, este abre el Bloc de notas de Windows automáticamente mostrando texto basura.
Otras de las notas a comentar de este gusano es que realizara ataques de Denegación de Servicio Distribuida (DDoS) contra la página Web www.sco.com entre el 1 y el 12 de Febrero de 2004. Realizara esta acción lanzando peticiones GET/ HTTP/ 1.1 cada 1024 milisegundos.
Los Alias de este peligro gusano son: I-Worm/Novarg, WORM_MIMAIL.R W32/Mydoom@MM I-Worm/Novarg@MM.
Las Plataformas afectadas por este gusano son:Windows 95/98/ME/2000/NT/XP/2003.
Su nivel de propagación esta valorado como: Muy Alto.
Por suerte ya ahí disponible un herramienta gratuita llamada (pPQRemove) para eliminar a Mydoom.A. y sus efectos, disponible aquí
Fin del Artículo. ¡Cuéntanos algo en los Comentarios!