Las dos variantes del gusano original se desarrollan en
computadoras conectadas en red que usan el sistema Windows y que previamente
fueron infectadas por Mydoom, indicaron asesores en informática citados por la
BBC.
Doomjuice, la variante más extendida, lanza un ataque "de privación de
servicios", es decir, que evita el acceso al sitio web de Microsoft.
Por su parte Deadhat desinstala otras versiones del virus Mydoom que encuentre y
luego trata de neutralizar la protección anti-virus de la computadora.
Ambas, a diferencia del Mydoom original, no viajan a través del correo
electrónico, sino que buscan direcciones e-mail en máquinas conectadas
infectadas.
Doomjuice y Deadhat pueden diseminarse en esta forma porque Mydoom abrió puertas
traseras en máquinas que infectó para permitir al creador del virus controlar en
forma remota cualquier computadora contaminada.
Doomjuice se ha instalado hasta ahora en unas 75 mil máquinas, previamente
contaminadas por Mydoom.A, una versión que en su momento de mayor actividad
infectó a un millón de computadoras personales que utilizan el sistema Windows.
Se sospecha que Doomjuice fue escrito por el autor de Mydoom.A, ya que carga una
copia del código de origen del virus en las máquinas que puede encontrar,
táctica para dificultar las investigaciones, afirmó la firma de servicios anti-virus
F-Secure.
El director de investigación anti-virus de la compañía F-Secure, Mikko Hypponen,
dijo que "antes del primer incidente con Doomjuice sólo los autores de Mydoom.A
tenían el código-fuente original".
"Probablemente cientos de millares de usuarios lo tienen en sus discos duros
sin saberlo", agregó.
Según Netcraft, una firma que monitorea la red, la acción de Doomjuice pudo ser
responsable de la interrupción temporal la víspera del funcionamiento normal del
sitio web de Microsoft.
Si Doomjuice es responsable de esta interrupción, entonces ha tenido más éxito
que la variante Mydoom.B que no se diseminó tan ampliamente y que causó pocas
dificultades a Microsoft.
Microsoft ha creado como precaución contra estos ataques una imagen de espejo de
su sitio, en previsión de que su dominio principal sea invadido. También ha
cambiado una propiedad clave del sitio en caso de que tenga que moverse
rápidamente a otra página.
Deadhat, que no se ha extendido tanto, si encuentra una máquina previamente
infectada, elimina todas las copias de Mydoom.A y de Mydoom.b, se instala a sí
mismo y luego trata de detener el programa anti-virus instalado en la
computadora o impedir que se actualice
|