Sigue extendiéndose a una increíble velocidad el virus Mydoom.A

por Carlos 27/01/2004 ...

Mydoom.A es un virus muy reciente y extremadamente peligroso, que se está extendiendo por todo el mundo a una velocidad muy superior a la de la mayoría de virus conocidos. En tan solo unas pocas horas ha conseguido ponerse en el primer puesto de todas las listas, superando a otros tan conocidos como el Blaster.

Sigue extendiéndose a una increíble velocidad el virus Mydoom.A, Imagen 1

Increíble gráfico y estadísticas en las que se muestra la progresión del virus

El virus puede introducirse en nuestro sistema de dos formas distintas, la primera sería mediante un e-mail. Llegaría a nuestro correo con las siguiente características:

Asunto:

test

hi

hello

Mail Delivery System

Mail Transaction Failed

Server Report

Status

Error

Cuerpo de mensaje:

Mail Transaction Failed. Partial message is available.

The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment

Nombre del fichero adjunto:

document

readme

doc

text

file

data

test

message

body

Extensión del fichero adjunto:

.pif

.scr

.exe

.cmd

.bat

.zip

Sigue extendiéndose a una increíble velocidad el virus Mydoom.A, Imagen 2

Ejemplo de un e-mail infectado

La otra forma se basa en el Kazaa, pues se distribuye mediante dicha red confundiéndose con otro tipo de archivos tales como :

Archivos distribuidos en la red kazaa

winamp5

Icq2004-final

activation_crack

strip-girl-2.0bdcom_patches

RootkitXP

office _ crack

nuke2004

Sus extensions varían entre PIF, .SCR o .BAT.

Acercandonos ahora al funcionamiento del Mydoom, lo primero a notar es que una vez el virus es ejecutado en nuestros sistema se nos abre el bloc de notas, y podremos observar una serie de símbolos ilegibles.

Sigue extendiéndose a una increíble velocidad el virus Mydoom.A, Imagen 3

Captura del bloc de notas mencionado

Hay que estar muy atentos a este síntoma pues puede ser inequívoco para detectar por nuestros propios medios la presencia de dicho virus.

Tras ser ejecutado, previa descompresión, la siguiente acción consiste en crear varios archivos:

1./Windows/System/taskmon.exe Archivo que es el virus en sí y que será ejecutado cada vez que iniciemos nuestro sistema operativo.

2./Windows/System/shingapi.dll Este archivo también será ejecutado, y su función es la de abrir una puerta trasera de la que ya hablaremos.

3./Windows/Desktop/Document.scr

Para que no iniciemos nuestro sistema operativo sin que sea ejecutado el virus, éste realiza algunos ajustes en nuestro registro de sistema añadiendo las siguientes claves:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"TaskMon" = %sysdir%\taskmon.exe

o en su defecto:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

"TaskMon" = %sysdir%\taskmon.exe

Este es también un síntoma que, aunque con algo más de conocimientos, nos permitirá detectar la presencia del virus. Para ello podemos también entrar en nuestro directorio windows y buscar los archivos que se generarían.

Cuando se inicia el sistema operativo el virus es iniciado como un subproceso de Microsoft Internet Explorer, y este hace correr el dll cuya función como se mencionó, abre una puerta trasera.

Para ello lo único que hace es abrir los puertos TCP del 3127 al 3198 y permanecer a la escucha para que en el momento que cualquier individuo intente entrar en nuestro PC pueda hacerlo.

Característico de los virus es como no su propagación, en este caso busca en todos los archivos cuya extensión sea:

Extensión de búsqueda de e-mails

pl

adb

tbb

dbx

asp

php

sht

htm

txt

Una vez hecho esto y recopiladas las direcciónes, usa un servidor SMTP para enviarse a todas y conseguir lo que está haciendo, propagarse de una forma increíblemente rápida.

A esto contribuye también el uso de la red de archivos P2P de kazaa como ya se indico, variando su nombre para no ser detectado.

Por último quedan por destacar unos puntos:

1.A partir del día 1 de Febrero comenzará a realizar un ataque DdoS sobre la página Web de SCO.com, es decir, intentará saturar dicha página haciendo peticiones cada 1.024 segundos.

2.El día 13 de Febrero tiene programado el fin de sus actuaciones.

Recordemos que con un poco de sentido común y la ayuda de un antivirus podremos no solamente librarnos de la infección, sino también colaborar para que deje de extenderse tal y como lo está haciendo. Para ello cabe estar extremadamente atento con las descargas P2P y los archivos adjuntos, y sobretodo actualizar nuestro antivirus.

En este sentido no nos queda más que recordarle que en la sección Scan PC existe a su disposición un completo sistema de detección de virus que podrá serle de gran utilidad.


Tags: Software