Noticias relacionadas Nuevo MyDoom ataca a Microsoft  Symantec descubre que MyDoom almacena en una lista los equipos infectados y bloquea su entrada a otros virus "competidores" Miles de ordenadores "zombies" atacan servidores de  "DoubleClick" y provocan su caída Universidades, principal foco distribución España virus Mydoom.m  Nuevas versiones del renovado "MyDoom" pueden atacar en breve  Google bloqueó las búsquedas proveedores de correo electrónico gratuito Google, Yahoo y otros buscadores atacados por virus MyDoom   W32/Mydoom.R. Gusano de gran propagación: ¿Como desinfectar el equipo?

Como ya preveyeron algunos expertos la técnica empleada por MyDoom esta siendo utilizado por nuevos códigos maliciosos para infectar equipos y atacar nuevos sitios.

Si los principales buscadores fueron las victimas del primer ataque de MyDoom, ahora es Microsoft el blanco de un código malicioso que se extendió ayer rápidamente por la red y que entre sus objetivo figura tirar abajo el servidor del gigante informático.

El Zindos.A  es un derivado de MyDoom y el primero de una posible nueva "saga" de virus. Los expertos creen que ambos virus fueron creados por el mismo autor y que su estrategía se basa en un ataque en dos etapas o ..... muchas más.

¿Como se propaga?

Este gusano se propaga con la ayuda del Mydoom.R, utilizando el troyano Zincite.A ( un servidor de puerta trasera que instala el Mydoom) y que al ejecutarse intenta conectarse con otros sistemas infectados, probando direcciones al azar por el puerto 1034.

A través de este puerto se propaga el Zindos.A, buscando otros equipos infectados por el Mydoom.R, a los que luego se envía y ejecuta.


Mydomm.R infecta los ordenadores y luego ejecuta el backdoor Zincite, repetiendose de nuevo el fenomeno hasta el infinito.

Cuando Zindos se ejecuta, crea una copia de si mismo en la carpeta TEMP con un nombre al azar (la extensión es siempre .EXE):
\TEMP\[nombre].exe

NOTA: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.

También crea una de las siguientes entradas en el registro, para ejecutarse automáticamente en cada reinicio del sistema:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Tray = [Nombre del gusano].exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Tray = [Nombre del gusano].exe

Luego, realiza un ataque de denegación de servicio al sitio de Microsoft.

El ataque a www.microsoft.com comienza a los 3 minutos de ejecutarse el gusano. Luego, intenta en forma continua descargar una página, cada 50ms (los intervalos de descarga comienzan cada 1 segundo y van aumentando el tiempo de descarga en 0,25 segundos en cada descarga).

Según los expertos este virus tiene la capacidad de generar millones de peticiones al sitio de Microsoft, generando tal volumen de tráfico que lleve a la caída del sistema.