Peligro sobre el nuevo gusano W32/Mydoom.A

por ^3oR^ 27/01/2004 ...

Nuevo gusano denominado Mydoom.A, posee un tamaño de 22528 Bytes cuando se encuentra comprimido mediante UPX, y de 32768 Bytes una vez descomprimido. A pesar de que su vida en la red es de escasas horas, ha causado ya numerosas incidencias entre miles de usuarios de varios países que se han visto afectados por el ataque inesperado de un nuevo virus preparado para distribuirse rápidamente, en lo que hace un mas que posible epidemia mundial.

En comparación a los últimos virus, (Mydoom.A) no utiliza ninguna vulnerabilidad de Microsoft para atacar a los equipos.

Mydoom.A se propaga por correo electrónico mediante un fichero adjunto, al abrir este fichero no sólo infecta al equipo destinado, sino que se propaga por sí solo a todos los contactos de la libreta de direcciones.

El contenido del mensaje es variable, en la que puede contener las siguientes frases:

Asunto:

test

hi

hello

Mail Delivery System

Mail Transaction Failed

Server Report

Status

Error

Cuerpo de mensaje:

Mail Transaction Failed. Partial message is available.

The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment

Nombre del fichero adjunto:

document

readme

doc

text

file

data

test

message

body

Extensión del fichero adjunto:

.pif

.scr

.exe

.cmd

.bat

.zip

Además Mydoom.A busca direcciones de e-mail en los ficheros del equipo que tengan las siguientes extensiones: .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab, .txt. El gusano envía por correo electrónico utilizando su propio motor SMTP. Sin embargo Mydoom.A, no se envía a las direcciones que presenten las siguientes características:

- El dominio que contenga una de las siguientes palabras: .gov , .mil, acketst, arin., avp, berkeley, borlan, bsd, example, fido, foo., fsf., gnu, google, gov., hotmail, iana, ibm.com, icrosof, ietf, inpris, isc.o, isi.e, kernel, linux, math, mit.e, mozilla, msn., mydomai, nodomai, panda, pgp, rfc-ed, ripe., ruslis, secur, sendmail, sopho, syma, tanford.e, unix, usenet, utgers.ed.

- El nombre que contenga una de las siguientes direcciones: anyone , info, me, nobody, noone, nothing, postmaster, root, samples, someone, webmaster, you, your.

Pero Mydoom.A no acaba aquí, si el usuario infectado utiliza un programa especifico "peer to peer" llamado (KaZaa), el citado gusano copia un fichero en el directorio compartido que permite su propagación a través de este programa, así su facilidad de propagación seria aun mayor. Dicho fichero puede tener alguno de los siguientes nombres:

winamp5

Icq2004-final

activation_crack

strip-girl-2.0bdcom_patches

RootkitXP

office _ crack

nuke2004

y la extensiones. PIF, .SCR o .BAT.

Cuando el usuario ya es infectado por (Mydoom.A) este lanza una determinada (DLL) llamada SHIMGAPI.DLL, la cual es un backdoor y abre el puerto TCP 3127 de la maquina acechada, lo que significa que cualquier usuario malicioso podría entrar remotamente en tu maquina para robar, manipular, o mismamente eliminar

Todo gusano tiene objetivo, aparte de infectar a usuarios y distribuirse por KaZzA, el objetivo principal de Mydoom.A es colapsar las redes informáticas de las grandes compañías, impidiendo a los trabajadores de esta, desempeñar su labor frente el ordenador. Así, las compañías que se han visto afectadas han podido ver paralizada su producción debido al gran tráfico que genera Mydoom.A al reenviarse automáticamente a los contactos de las libretas de direcciones de los equipos afectados.

El mayor número de infecciones han sido registradas en EEUU, ya que la aparición del gusano coincidió con su jornada laboral. La situación de España es de menor peligrosidad, pero a medida que el dia avance el número de incidencias aumenten, por ahora Mydoom. A esta en proceso de distribución, aunque ya empieza a notarse sus efectos.

Mydoom.A se reconoce fácilmente cuando un usuario es infectado, pues cuando es ejecutado, este abre el Bloc de notas de Windows automáticamente mostrando texto basura.

Otras de las notas a comentar de este gusano es que realizara ataques de Denegación de Servicio Distribuida (DDoS) contra la página Web www.sco.com entre el 1 y el 12 de Febrero de 2004. Realizara esta acción lanzando peticiones GET/ HTTP/ 1.1 cada 1024 milisegundos.

Los Alias de este peligro gusano son: I-Worm/Novarg, WORM_MIMAIL.R W32/Mydoom@MM I-Worm/Novarg@MM.

Las Plataformas afectadas por este gusano son:Windows 95/98/ME/2000/NT/XP/2003.

Su nivel de propagación esta valorado como: Muy Alto.

Por suerte ya ahí disponible un herramienta gratuita llamada (pPQRemove) para eliminar a Mydoom.A. y sus efectos, disponible aquí


Tags: Redes