En un comunicado, la firma explicó que esta nueva variante es de riesgo medio,
fue escrita en Visual Basic y cuenta con un mecanismo SMTP que le permite
propagarse de forma masiva a través del correo electrónico fingiendo ser un
parche de Microsoft.
Para llevar a cabo la propagación por correo, este virus obtiene las direcciones
de archivos con extensiones .LOG, .MDB, .XLS, .ASP, .PHP, y que son copiadas en
el archivo MSLogs32.DLL, ubicado en el directorio System de Windows.
Además, el programa se aprovecha de la dirección del destinatario para
determinar el idioma en el cual se escribirá el mensaje.
Entre sus características está el hecho de que el virus pone a un remitente
oficial de Microsoft con la respectiva extensión del país donde se encuentra la
computadora infectada.
El asunto a su vez el aleatorio y por lo general suele mandar mensajes en inglés
o alemán con leyendas que dicen: "Microsoft Alarm: Bitte Lesse! y Microsoft
Alert: Please Read!"
Asimismo, el cuerpo del mensaje puede venir en inglés o español advirtiendo
sobre la aparición de una nueva versión de W32.Mydoom, mientras que en el
adjunto puede existir un archivo con la extensión .EXE o .ZIP.
Al ser ejecutado el archivo adjunto el usuario recibe las siguientes señales de
alerta: "This patch has been successfully instaled" o "This patch does not need
to be installed on this system. Status: OK".
McAfee Security recomienda como siempre mantener actualizados los programas
antivirus y mantenerse al pendiente para cualquier tipo de alerta, variante o
nuevo virus que pueda surgir.
|