|
Noticias
relacionadas |
|
|
|
Trend Micro informó que la presencia MIMAIL en ningún caso tuvo
grado de peligrosidad de la variante C que apareció a finales de octubre.
En su reporte semanal de virus, la firma se refiere a la
sexta versión, el gusano WORM_MIMAIL.H, que afecta a los sitios de Internet de
empresas proveedoras de protección contra el correo no deseado, a las cuales
lanza ataques de los llamados "Denegación del Servicio".
Explica que este comportamiento podría ser interpretado como
un signo de identidad entre los autores de virus y los remitentes de SPAM
(correo no deseado) en el mundo.
"Es sumamente difícil establecer una identidad clara de los
remitentes tanto de mensajes de correo electrónico masivo como de los virus
adjuntados a los mensajes", puntualiza.
Sin embargo, apunta, la "colaboración" entre ellos habla al
menos de cierto tipo de acuerdo y, por qué no, de una forma de organización para
facilitarse mutuamente la realización de sus actividades ilícitas".
WORM.MIMAIL.H es un gusano destructivo residente en memoria
que se propaga a través de su propio motor SMTP; infecta computadoras que corren
en Windows 95, 98, ME, NT, 2000 y XP al envíar un mensaje de correo electrónico
que oculta al verdadero.
El correo puede identificarse como "De:john@<nombre del
dominio del destinatario>" y "Asunto: don`t be late wgfaxaam".
En cuanto al cuerpo de mensaje este puede ser "Will meet
tonight as we agreed, because on Wednesday I don`t think I`ll make it, so don`t
be late. And yes, by the way here is the file you asked for. It`s all written
there. See you. wgfwxaax";además puede contener "Archivo Adjunto: readnow.zip
(10.9KB)".
Luego de ejecutarse, MIMAIL.H deposita una copia de sí mismo
con el nombre CNFRM33.EXE en el directorio de Windows, para después crear una
entrada en el registro de manera que el gusano corra en cada inicio del sistema.
La entrada en el registro queda consignada en la lista de
tareas como un proceso del sistema, lo que dificulta identificación en máquinas
que corren en Windows 95, 98 y ME.
El gusano borra los archivos ZIP.TMP, EXE.TMP y EML.TMP
cuando los encuentra en la computadora infectada, para después sustituirlos por
otros, aunque con el mismo nombre.
Después crea una copia de sí mismo en el directorio de
Windows con el nombre EXE.TMP, el cual es utilizado a su vez para crear un nuevo
archivo llamado ZIP.TMP, comprimido en formato .ZIP, que también contiene otro
con el código maligno que lleva el nombre READNOW.DOC.SCR.
Para la creación de este último archivo .ZIP, WORM.MIMAIL.H utiliza un compresor
de código predeterminado, al que agrega datos que son una copia en sí mismo del
gusano y el resultado es un archivo comprimido, que contiene el código maligno
sin comprimir.
Para instalarse en una computadora y propagarse a otros
sistemas, es necesario que el usuario abra y ejecute manualmente el archivo
adjunto que viene comprimido.
Las direcciones de correo electrónico que utiliza como
destinatarios de los mensajes las obtiene de todos los archivos de la máquina
que no poseen las extensiones COM, WAV, CAB, PDF, RAR, ZIP, TIF, PSD, OCX, VXD,
MP3, MPG, AVI, DLL, EXE, GIF, JPG y BMP.
En su reporte, Trend Micro señala que este gusano despliega
un ataque aleatorio del tipo Negación de Servicio (Denial of Service) contra los
sitios en la red que pertenecen a proveedores de servicios contra el correo no
solicitado, como www.spamhaus.org y www.spews.org.
Al ser instalado, intenta encontrar la dirección www.google.com, de manera que
pueda comprobar que existe una conexión activa a Internet; una vez lograda dicha
conexión ejecuta sus rutinas de infección, borrado de archivos y propagación.
MIMAIL.H es detectado y eliminado por antivirus de Trend
Micro con el patrón #674 o superior, por lo que recomienda visitar su sitio
www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL. .
A su vez, la proveedora de soluciones antivirus, Panda
Software, informa en su reporte semanal sobre el código malicioso denominado
Darker.A y cuatro variantes de MIMAIL, los cuales, señala, se propagan por medio
de correo electrónico que cuentan con un archivo adjunto.
Refiere que éste gusano y sus variantes intenta engañar al
usuario, toda vez que le hacen creer que se trata de una aplicación informática
interesante.
Una vez que se ejecuta se envía a contactos que encuentra en
programas -como Outlook o MSN Messenger- o en archivos con extensiones
específicas como -WAB, HTM,HTML,TXT-. en el equipo al que ha afectado.
El virus Darker.A, añade la firma, se reproduce creando copias de sí mismo sin
infectar otros archivos, además de que se conecta a un servidor IRC para
permitir a los piratas informáticos acceder, de manera remota, a la PC y
realizar en él diferentes acciones.
Destaca que algunas de las acciones que efectúa son;
descargar, ejecutar y borrar archivos, obtener información del sistema, cerrar
aplicaciones antivirus y ejecutar comandos ICMP.
Mientras que las variantes E, F, G y H de MIMAIL se propagan
a través del correo electrónico en un mensaje que tiene como asunto el texto: "don`t
be late!", e incluye un archivo adjunto llamado READNOW.ZIP, en el cual se
integra otro archivo con doble extensión llamado READNOW.DOC.SCR.
Panda Software expone que las variantes de MIMAIL se
caracterizan por estar diseñadas para enviarse masivamente a través de correo
electrónico utilizando su propio motor SMTP.
Al mismo tiempo intentan provocar ataques de Denegación de Servicio (DoS) a
varios sitios web, y se instalan de forma residente en la memoria de la
computadora.
Sin embargo la empresa antivirus explica que el Darker.A y
sus variantes se diferencian, entre otros, porque los servidores contra los que
realizan los ataques de Denegación de Servicio; es decir la variantes E y F los
dirigen hacia las páginas web de spews.org, spamhaus.org y spamcop.net.
Mientras que la variante F lo hace contra fethard.biz y
fethard-finance.com, y la G contra mysupersales.com, abunda Panda Software, las
cuatro variantes están escritas en el lenguaje de programación C con el
compilador LCC Win32.
Finalmente, Trend Micro menciona que en la última semana los
10 códigos maliciosos más detectados fueron WORM_LOVGATE.G, WORM_MSBLAST A,
WORM_SWEN.A, WORM_MSBLAST.C, PE_NIMDA.A, WORM_KLEZ.H, WORM_NACHI.A,
TROJ_DASMIN.B, WORM_ANTINNY.A y JAVA_BYTVERIFY.A. |