Escrito originalmente por jiXo Un nuevo virus bautizado como Mydoom fue detectado ayer propagándose en varias compañías norteamericanas, y en 24 horas se ha extendido de forma alarmante por todo Internet. Los motivos de su rápida extensión son que se reenvía por el correo electrónico y también a través de las redes P2P, pero es necesario ejecutar el archivo que contiene el virus para infectarse. Sus efectos son abrir unos puertos del ordenador a través de los cuales puede descargar archivos y ejecutarlos, y a partir del 1 de febrero realizará un ataque masivo a la web de SCO. Tenéis un completo análisis del gusano en Hispasec.
El nuevo gusano, que tiene un tamaño de 22.528 bytes, se distribuye
vía correo electrónico a través de archivos adjuntos con la extensión
.BAT, .CMD, .EXE, .PIF, .SCR y .ZIP, y con su icono en Windows simula
ser un archivo de texto.
El formato del mensaje en el que viaja es variable, la dirección de
remite es falseada, el asunto es variable, habiéndose detectado los
siguientes textos:
- "Error"
- "Status"
- "Server Report"
- "Mail Transaction Failed"
- "Mail Delivery System"
- "hello"
- "hi"
Como cuerpo del e-mail se han podido confirmar los siguientes textos:
- "The message cannot be represented in 7-bit ASCII encoding and has
been sent as a binary attachment".
- "The message contains Unicode characters and has been sent as a
binary attachment."
- "Mail transaction failed. Partial message is available."
- "test"
Cuando se ejecuta en un sistema crea los siguientes archivos:
- "Message" en el directorio temporal de Windows
- "shimgapi.dll" y "taskmon.exe" en el directorio de sistema (system)
de Windows
El archivo "Message" lo crea con caracteres al azar, y muestra su
contenido con el bloc de notas. Con este efecto el gusano intenta
engañar al usuario, para que crea que el archivo adjunto en el
e-mail que ha ejecutado era sólo texto sin sentido, cuando en
realidad ha activado el gusano y da comienzo su rutina de infección
y propagación.
Añade las siguientes entradas en el registro de Windows para
asegurarse su ejecución en cada inicio del sistema:
- HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe
También intenta reproducirse a través de redes P2P copiándose
en la carpeta de archivos compartidos de Kazaa con las extensiones
.PIF, .SCR .BAT y los siguientes nombres:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
Por último se ha detectado que el gusano abre el puerto TCP 3127
en los sistemas infectados, lo que podría sugerir funcionalidades
de puerta trasera.
En el momento de redactar esta nota, sólo TrendMicro reconocía el
gusano desde últimas horas del lunes 26 como "WORM_MIMAIL.R",
NOD32 lo hacía durante las primeras horas de la madrugada del ya
martes 27 como "Win32/Mydoom.A", seguido a los pocos minutos por
Antigen como "MyDoom.A@m".
Symantec tiene publicada la alerta en su web como categoría 4 (en
una escala de 1 a 5), y Network Associates (McAfee) define la
alerta como "High-Outbreak", si bien ambas aun están analizando el
gusano y no han proporcionado la actualización oficial a los
usuarios de sus antivirus. En el caso de McAfee sí dispone ya de
una firma adicional (Extra DAT) para actualizar a demanda.
Igualmente no reconocen aun el nuevo gusano las soluciones
InoculateIT, Kaspersky, Panda y Sophos.
![[360º]](/images/smilies/nuevos/vueltas.gif "como la niña del exorcista")
![[poraki]](/images/smilies/nuevos/dedos.gif "por aquí!")
Si lo que pretenden es atacar a SCO, no seria mas facil bajarse una utilidad DDoS y darles un poco de caña? ![[666]](/images/smilies/nuevos2/masmalo.gif "maloso")
Y digo yo que no soy el unico al que se le ocurre meterlo en el bug de IE para instalarlo automaticamente... ![[qmparto]](/images/smilies/net_quemeparto.gif "Que me parto!")
, bueno, pos eso, no abrais mails de pivas diciendo "te kiero" jeje 
), me la dejaba funcionando todo el dia ![[buaaj]](/images/smilies/nuevos2/vomitivo.gif "mas potas")
![[uzi]](/images/smilies/nuevos2/uzi.gif "uzi")
![[sati]](/images/smilies/nuevos2/demonio.gif "demoniaco")
![[sonrisa]](/images/smilies/nuevos/risa_ani1.gif "sonrisa")
![[lapota]](/images/smilies/nuevos2/masvomitos.gif "potando")
![[tomaaa]](/images/smilies/nuevos2/tomaa.gif "toma")
![[looco]](/images/smilies/nuevos2/borracho.gif "loco")
![[jaja]](/images/smilies/nuevos2/otrasonrisa.gif "otra sonrisa")
