Aun siguen apareciendo variantes del Mydoom, en este caso la P

por Carlos 04/08/2004 ...

Hace mucho tiempo que apareció la primera variante del Mydoom, pero incluso ahora siguen apareciendo nuevos tipos. En concreto la P, Mydoom.P. Quizás lo más curioso no sea que aun estén apareciendo, sino que siguen infectando a usuarios.

En este caso se propaga por correos electrónicos, de hecho incorpora su propio motor SMTP para enviarse masivamente tras encontrar la lista de contactos del usuario.

Los asuntos, por si nos llega alguno de este tipo, que podamos eliminarlo son:

"SN: New secure mail"

"Secure delivery"

"failed transaction"

"Re: hello (Secure-Mail)"

"Re: Extended Mail"

"Delivery Status (Secure)"

"Re: Server Reply"

"SN: Server Status"

Si nos llega un e-mail con uno de estos asuntos lo que tenemos que hacer es eliminarlos, sin abrirlos siquiera, y cuanto antes mejor.

Pero si queremos olvidarnos de estos y de la mayoría de los virus, gusanos y troyanos, hay una fácil solución. Se llama TruPrevent y es de Panda.

Esta tecnología ha sido capaz, entre otras cosas, de impedir el acceso al Mydoom.P a un ordenador incluso antes de que se conociese su existencia. Y ¿cómo es esto posible?

Aun siguen apareciendo variantes del Mydoom, en este caso la P, Imagen 1

Bien, pues olvidemos todo en lo que se basa un antivirus, todo el análisis y comparación de código, pues TruPrevent no tiene absolutamente nada que ver con esto.

Cuando un programa se inicia, ya sea la calculadora, el bloc de notas o el mismo Mydoom, TruPrevent comprobará su certificado y en el caso de que no se encuentre en su lista, que contiene unas 80.000 entradas, lo detendrá inmediatamente y bloqueará las posibles salidas del ordenador para que no pueda propagarse.

Una vez hecho esto se añadirá a una lista de programas sospechosos que podremos enviar a Panda para que nos informe sobre si es o no peligroso.

Aun siguen apareciendo variantes del Mydoom, en este caso la P, Imagen 2

El programa en sí es muy sencillo de instalar, se actualiza continuamente y consume pocos recursos. Muchos podrían pensar que es todo lo contrario, quizás incluso lo comparen con el análisis heurístico, pero nada más lejos de la realidad.

Además, la interfaz para trabajar con él es de lo más cómoda con un simple icono junto a nuestro reloj.

Pero en HispaZone queríamos llegar más lejos y, tras instalarlo, hemos intentado introducir varios virus, incluso el conocido troyano SubSeven ha sido detectado en cuanto intentábamos ejecutarlo.

Aun siguen apareciendo variantes del Mydoom, en este caso la P, Imagen 3

Tenemos que decir que no pensamos que fuese capaz de detectarlo, y no solo nos avisó y eliminó el archivo que se supone infecta nuestro ordenador, sino también el que nos permite acceder a los ordenadores infectados, es decir, detectó y eliminó el cliente y el servidor.

Antes de terminar, recordamos que no se trata de un sustituto de los antivirus, sino de un complemento. La carga que soportaría si tuviese que realizar todo el trabajo, tal y como ocurriría si no estuviese instalado un antivirus, si sería considerable y afectaría al rendimiento general del ordenador.


Tags: Redes