Mientras las infecciones producidas por Mydoom.A apenas
comienzan a disminuir, un nuevo gusano ha aparecido en escena aprovechándose de
los daños producidos por el primero: Doomjuice.A. Tal y como todos los indicios
apuntaban, parece que el ataque de Mydoom no va a parar el próximo día 12, fecha
en la que al parecer la distribución del gusano cesaba. Presumiblemente, el
mismo autor ha lanzado un nuevo código malicioso que ni siquiera es detectable a
través del correo electrónico, dado que se aprovecha de los puertos abiertos por
Mydoom.A y Mydoom.B. El comportamiento de este nuevo virus recuerda al de
SQLSlammer, es decir, un gusano de red que se aprovecha de un puerto abierto al
igual que aquél lo hacía de una vulnerabilidad del servidor.
Entre las acciones que Doomjuice.A lleva a cabo en los equipos a los que afecta
destacan las siguientes:
- Para asegurar su ejecución, crea la siguiente entrada de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Gremlin"
intrenat.exe
- Genera una copia de sí mismo en %system% con el nombre intrenat.exe (36864
bytes)
- Crea el fichero sync-src-1.00.tbz (28.569) en %Windows%, en %Temp%, en
%System% y en C: El citado archivo está comprimido y contiene en su interior el
código fuente de Mydoom.A.
- Lanza un ataque de Denegación de Sevicio (DoS) contra www.microsoft.com
Todo parece apuntar a que el autor de Doomjuice.A es el mismo que el de Mydoom.A.
En estos momentos, los expertos de Panda Software se encuentran estudiando este
código malicioso. A medida que PandaLabs disponga de más información será
puntualmente ofrecida en la página web de la compañía (<http://www.pandasoftware.es>).
Ante la aparición de Doomjuice.A, Panda Software aconseja extremar las
precauciones y actualizar lo antes posible las soluciones antivirus.
|