Este viernes Symantec alertaba de la llegada de una nueva
variante de MyDoom. El comunicado de la compañía bautizaba a esta como MyDoom.N.
Al poco tiempo, Sophos alertaba de la llegada de "otra variante", conocida como
Mydoom.O y otros fabricantes también se unían a la confusión, anunciándolo como
Mydoom.S.
La realidad es que todos ellos se estaban refiriendo al mismo código malicioso y
que los distintos nombres son fruto, también de la particular guerra, que entre
estos se libra para liderar el mercado de la seguridad informática.
¿En que consiste esta nueva variante?
Según publica vsantivirus.com, esta variante del gusano esta escrito en Visual
C++ y comprimido con la utilidad ASPack, que se propaga por correo electrónico,
utilizando su propio motor SMTP.
Como la variante anterior (Mydoom.R), utiliza los motores de búsqueda de
Internet (Google, etc.), utilizando los nombres de dominios de las direcciones
encontradas en las máquinas infectadas, y luego examina los resultados para
extraer nuevas direcciones.
El gusano utiliza las siguientes máquinas de búsqueda, en un porcentaje
diferente en cada caso:
www.google.com (lo usa un 45% de las veces)
search.lycos.com (lo usa un 22.5%)
search.yahoo.com (lo usa un 20%)
www.altavista.com (lo usa un 12.5%)
Una vez localizadas las direcciones elimina aquellas que pueden ir dirigidos a
administradores de sistemas, de listas o de control de spam y que permiten la
activación de filtros de bloqueo.
Con las nuevas direcciones inicia un ciclo sin fin, remitiéndoles el gusano e
intentando infectar el equipo con la presencia de un archivo comprimido "zip"
que contiene el gusano (java.exe) por una parte y un troyano (services.exe) que
permite a un usuario remoto ejecutar ciertas acciones en los equipos infectados.
Este componente (SERVICES.EXE) es idéntico al de la variante identificada por
algunos antivirus con alguno de los siguientes nombres:
Back/Zincite.A
Backdoor.Zincite.A
I-Worm.Mydoom.M
I-Worm.Mydoom.m
MyDoom.M
Mydoom.N
Mydoom.R
W32/Mydoom.M.worm
W32/Mydoom.N.worm
W32/Mydoom.o@MM
W32/MyDoom-O
Win32/Mydoom.R
WORM_MYDOOM.M
Zincite.A
|