Noticias relacionadas

En su reporte semanal de virus, la firma se refiere a la sexta versión, el gusano WORM_MIMAIL.H, que afecta a los sitios de Internet de empresas proveedoras de protección contra el correo no deseado, a las cuales lanza ataques de los llamados "Denegación del Servicio".

Explica que este comportamiento podría ser interpretado como un signo de identidad entre los autores de virus y los remitentes de SPAM (correo no deseado) en el mundo.

"Es sumamente difícil establecer una identidad clara de los remitentes tanto de mensajes de correo electrónico masivo como de los virus adjuntados a los mensajes", puntualiza.

Sin embargo, apunta, la "colaboración" entre ellos habla al menos de cierto tipo de acuerdo y, por qué no, de una forma de organización para facilitarse mutuamente la realización de sus actividades ilícitas".

WORM.MIMAIL.H es un gusano destructivo residente en memoria que se propaga a través de su propio motor SMTP; infecta computadoras que corren en Windows 95, 98, ME, NT, 2000 y XP al envíar un mensaje de correo electrónico que oculta al verdadero.

El correo puede identificarse como "De:john@<nombre del dominio del destinatario>" y "Asunto: don`t be late wgfaxaam".

En cuanto al cuerpo de mensaje este puede ser "Will meet tonight as we agreed, because on Wednesday I don`t think I`ll make it, so don`t be late. And yes, by the way here is the file you asked for. It`s all written there. See you. wgfwxaax";además puede contener "Archivo Adjunto: readnow.zip (10.9KB)".

Luego de ejecutarse, MIMAIL.H deposita una copia de sí mismo con el nombre CNFRM33.EXE en el directorio de Windows, para después crear una entrada en el registro de manera que el gusano corra en cada inicio del sistema.

La entrada en el registro queda consignada en la lista de tareas como un proceso del sistema, lo que dificulta identificación en máquinas que corren en Windows 95, 98 y ME.

El gusano borra los archivos ZIP.TMP, EXE.TMP y EML.TMP cuando los encuentra en la computadora infectada, para después sustituirlos por otros, aunque con el mismo nombre.

Después crea una copia de sí mismo en el directorio de Windows con el nombre EXE.TMP, el cual es utilizado a su vez para crear un nuevo archivo llamado ZIP.TMP, comprimido en formato .ZIP, que también contiene otro con el código maligno que lleva el nombre READNOW.DOC.SCR.
Para la creación de este último archivo .ZIP, WORM.MIMAIL.H utiliza un compresor de código predeterminado, al que agrega datos que son una copia en sí mismo del gusano y el resultado es un archivo comprimido, que contiene el código maligno sin comprimir.

Para instalarse en una computadora y propagarse a otros sistemas, es necesario que el usuario abra y ejecute manualmente el archivo adjunto que viene comprimido.

Las direcciones de correo electrónico que utiliza como destinatarios de los mensajes las obtiene de todos los archivos de la máquina que no poseen las extensiones COM, WAV, CAB, PDF, RAR, ZIP, TIF, PSD, OCX, VXD, MP3, MPG, AVI, DLL, EXE, GIF, JPG y BMP.

En su reporte, Trend Micro señala que este gusano despliega un ataque aleatorio del tipo Negación de Servicio (Denial of Service) contra los sitios en la red que pertenecen a proveedores de servicios contra el correo no solicitado, como www.spamhaus.org y www.spews.org.
Al ser instalado, intenta encontrar la dirección www.google.com, de manera que pueda comprobar que existe una conexión activa a Internet; una vez lograda dicha conexión ejecuta sus rutinas de infección, borrado de archivos y propagación.

MIMAIL.H es detectado y eliminado por antivirus de Trend Micro con el patrón #674 o superior, por lo que recomienda visitar su sitio www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL. .

A su vez, la proveedora de soluciones antivirus, Panda Software, informa en su reporte semanal sobre el código malicioso denominado Darker.A y cuatro variantes de MIMAIL, los cuales, señala, se propagan por medio de correo electrónico que cuentan con un archivo adjunto.

Refiere que éste gusano y sus variantes intenta engañar al usuario, toda vez que le hacen creer que se trata de una aplicación informática interesante.

Una vez que se ejecuta se envía a contactos que encuentra en programas -como Outlook o MSN Messenger- o en archivos con extensiones específicas como -WAB, HTM,HTML,TXT-. en el equipo al que ha afectado.
El virus Darker.A, añade la firma, se reproduce creando copias de sí mismo sin infectar otros archivos, además de que se conecta a un servidor IRC para permitir a los piratas informáticos acceder, de manera remota, a la PC y realizar en él diferentes acciones.

Destaca que algunas de las acciones que efectúa son; descargar, ejecutar y borrar archivos, obtener información del sistema, cerrar aplicaciones antivirus y ejecutar comandos ICMP.

Mientras que las variantes E, F, G y H de MIMAIL se propagan a través del correo electrónico en un mensaje que tiene como asunto el texto: "don`t be late!", e incluye un archivo adjunto llamado READNOW.ZIP, en el cual se integra otro archivo con doble extensión llamado READNOW.DOC.SCR.

Panda Software expone que las variantes de MIMAIL se caracterizan por estar diseñadas para enviarse masivamente a través de correo electrónico utilizando su propio motor SMTP.
Al mismo tiempo intentan provocar ataques de Denegación de Servicio (DoS) a varios sitios web, y se instalan de forma residente en la memoria de la computadora.

Sin embargo la empresa antivirus explica que el Darker.A y sus variantes se diferencian, entre otros, porque los servidores contra los que realizan los ataques de Denegación de Servicio; es decir la variantes E y F los dirigen hacia las páginas web de spews.org, spamhaus.org y spamcop.net.

Mientras que la variante F lo hace contra fethard.biz y fethard-finance.com, y la G contra mysupersales.com, abunda Panda Software, las cuatro variantes están escritas en el lenguaje de programación C con el compilador LCC Win32.

Finalmente, Trend Micro menciona que en la última semana los 10 códigos maliciosos más detectados fueron WORM_LOVGATE.G, WORM_MSBLAST A, WORM_SWEN.A, WORM_MSBLAST.C, PE_NIMDA.A, WORM_KLEZ.H, WORM_NACHI.A, TROJ_DASMIN.B, WORM_ANTINNY.A y JAVA_BYTVERIFY.A.