PandaLabs ha detectado la aparición de un nuevo gusano que hace uso de
buscadores de Internet para propagarse rápida y masivamente: Mydoom.AO. Este
gusano realiza búsquedas en Google, Altavista, Yahoo y Lycos de direcciones de
correo electrónico a las que enviarse. De esta manera, un solo ordenador
infectado puede distribuir miles de copias del gusano en pocos minutos, lo que
aumenta su propagación enormemente. Así, la probabilidad de que un ordenador
pueda ser afectado por Mydoom.AO es muy elevada.
Mydoom.AO hace uso de la ingeniería social para tratar de engañar a los
usuarios, ya que los e-mails en los llega a los ordenadores simulan ser mensajes
de error en la entrega de un correo. Entre los distintos asuntos que puede
utilizar se encuentran algunos como Message could not be delivered, Mail System
Error - Returned Mail, o Delivery reports about your e-mail.
Por su parte, el cuerpo de texto es también variable. Como ejemplo puede
citarse:
Your message (was not|could not be) delivered because the destination (computer|server)
was (not|un)reachable within the allowed queue period. The amount of time a
message is queued before it is returned depends on local configura-tion
parameters (el texto que se encuentra entre paréntesis es, a su vez, variable).
El nombre del archivo adjunto a dicho mensaje, y que contiene el código del
gusano, tiene una de las siguientes extensiones: ZIP, COM, SCR, EXE, PIF, BAT o
CMD.
En caso de que el usuario ejecute el archivo infectado, el gusano crea una copia
de sí mismo en el equipo con el nombre JAVA.EXE y busca direcciones de correo
electrónico en la libreta de Windows, los archivos temporales de Internet, y en
ficheros con determinadas extensiones que se encuentren en el ordenador. Hecho
esto, selecciona los nombres de dominio de las direcciones recogidas para
introducirlos como términos de búsqueda en Google, Altavista, Yahoo y Lycos. Por
último, Mydoom.AO se envía a todas las direcciones encontradas. Finalmente, el
gusano crea varias entradas en el registro de Windows para ejecutarse cada vez
que se reinicie el sistema.
Ante la alta probabilidad de un encuentro con Mydoom.AO, Panda Software
recomienda extremar las precauciones y mantener actualizado el software
antivirus. Los clientes de Panda Software ya tienen a su disposición las
correspondientes actualizaciones para la detección y desinfección de este nuevo
código malicioso. |