Como ya preveyeron algunos expertos la técnica empleada por
MyDoom esta siendo utilizado por nuevos códigos maliciosos para infectar equipos
y atacar nuevos sitios.
Si los principales buscadores fueron las victimas del primer ataque de MyDoom,
ahora es Microsoft el blanco de un código malicioso que se extendió ayer
rápidamente por la red y que entre sus objetivo figura tirar abajo el servidor
del gigante informático.
El Zindos.A es un derivado de MyDoom y el primero de una
posible nueva "saga" de virus. Los expertos creen que ambos virus fueron creados
por el mismo autor y que su estrategía se basa en un ataque en dos etapas o
..... muchas más.
¿Como se propaga?
Este gusano se propaga con la ayuda del Mydoom.R, utilizando el troyano
Zincite.A ( un servidor de puerta trasera que instala el Mydoom) y que al
ejecutarse intenta conectarse con otros sistemas infectados, probando
direcciones al azar por el puerto 1034.
A través de este puerto se propaga el Zindos.A, buscando otros equipos
infectados por el Mydoom.R, a los que luego se envía y ejecuta.
Mydomm.R infecta los ordenadores y luego ejecuta el backdoor Zincite,
repetiendose de nuevo el fenomeno hasta el infinito.
Cuando Zindos se ejecuta, crea una copia de si mismo en la carpeta TEMP con un
nombre al azar (la extensión es siempre .EXE):
\TEMP\[nombre].exe
NOTA: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents
and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.
También crea una de las siguientes entradas en el registro, para ejecutarse
automáticamente en cada reinicio del sistema:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Tray = [Nombre del gusano].exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Tray = [Nombre del gusano].exe
Luego, realiza un ataque de denegación de servicio al sitio de Microsoft.
El ataque a www.microsoft.com comienza a los 3 minutos de ejecutarse el gusano.
Luego, intenta en forma continua descargar una página, cada 50ms (los intervalos
de descarga comienzan cada 1 segundo y van aumentando el tiempo de descarga en
0,25 segundos en cada descarga).
Según los expertos este virus tiene la capacidad de generar millones de
peticiones al sitio de Microsoft, generando tal volumen de tráfico que lleve a
la caída del sistema.
|