|
|
|
Detectadas dos nuevas variantes del Mydoom |
|
|
|
|
| Noticias
relacionadas |
|
|
|
|
Dos nuevas versiones del virus, que llega a través de un correo
electrónico, infecta a las computadoras de las personas que abren el link
señalado en la carta enviada, informó el portal de la cadena estadounidense.
"'MyDoom' no llega adjunto al mensaje. Tiene capacidad de duplicarse y, si no
es reconocido, puede infectar gravemente el software de las computadoras. El
nuevo virus invita al destinatario del mensaje a conectarse a otra computadora
infectada y permanece activo como una suerte de conector telemático", indicó
McAfee.
Según el portal, los descubridores de la nueva versión de "Mydoom" son dos
"hackers" conocidos como Ned y Skylined.
Hasta ahora McAffe había recibido un centenar de advertencias por parte de
navegadores sobre Internet en Estados Unidos y Europa. Pese a la alarma, el
riesgo vinculado al virus es considerado medio, precisó la empresa.
|
W32/Mydoom.AH |
W32/Mydoom.AG |
|
Nombre |
W32/Mydoom.AH |
|
Nombre Nod32 |
Win32/Mydoom.AE |
|
Tipo |
Gusano de Internet |
|
Alias |
Mydoom.AH, W32/Mydoom.ah@MM, W32/Bofra-A, Win32/Mydoom.AE |
|
Fecha |
8/nov/04 |
|
Plataforma |
Windows 32-bit |
|
Tamaño |
21,508 bytes |
|
Puertos |
TCP 1639, TCP 6667 |
|
Variante del
Mydoom.AG detectada el 8 de noviembre de 2004 |
El gusano se propaga por medio de mensajes de correo
electrónico, enviados a direcciones obtenidas en archivos del sistema
infectado.
El mensaje no posee adjunto alguno. El enlace incluido en su texto, apunta
al sistema infectado. Haciendo clic en dicho enlace, se accede a un
servidor Web que se está ejecutando en el sistema comprometido (la
computadora que envió el mensaje). Dicho servidor ofrece un documento HTML
conteniendo el código en JavaScript para provocar un desbordamiento de
búfer, debido a un error de límites en el manejo de ciertos atributos de
las etiquetas FRAME e IFRAME por parte del Internet Explorer. Este
desbordamiento de búfer provoca la ejecución del gusano.
Los mensajes enviados poseen las siguientes características:
De: [dirección falsificada]
Asunto: [alguno de los siguientes]
- [vacío]
- Confirmation
- hey!
- hi!
Texto del mensaje:
Ejemplo 1:
Congratulations! PayPal has successfully charged $175
to your credit card. Your order tracking number is
A866DEC0, and your item will be shipped within three
business days.
To see details please click this link .
DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is
being sent by an automated message system and the reply
will not be received.
Thank you for using PayPal.
Ejemplo 2:
Hi! I am looking for new friends.
My name is Jane, I am from Miami, FL.
See my homepage with my weblog and last webcam photos!
See you!
Los mensajes contienen un enlace al equipo infectado que envía el
mensaje.
Las propiedades del mensaje, pueden contener alguno de los siguientes
campos:
X-AntiVirus: scanned for viruses by AMaViS 0.2.1
(http:/ /amavis .org/)
X-AntiVirus: Checked by Dr.Web (http:/ /www .drweb .net)
X-AntiVirus: Checked for viruses by Gordano's AntiVirus
Software
Los sistemas infectados mostrarán al Internet Explorer escuchando por
el puerto TCP 1639, el puerto donde se ejecuta el servidor Web.
Si el usuario sigue el enlace enviado por el gusano, es conectado con un
servidor Web la computadora infectada:
http://[dirección IP]:1639/index.htm
Donde [dirección IP] es la IP actual de la máquina que envió el
mensaje.
La página INDEX.HTM es la que contiene el código para provocar el
desbordamiento de búfer. Al ser visualizada, se ejecuta el código de una
consola de comandos (shell), que instruye a la máquina local a descargar
un archivo remoto:
http://[dirección IP]:1639/reactor
El archivo REACTOR (sin extensión), es almacenado en el escritorio del
usuario con el nombre de VV.DAT y luego ejecutado. |
|
Nombre |
W32/Mydoom.AG |
|
Nombre Nod32 |
Win32/Mydoom.AD |
|
Tipo |
Gusano de Internet |
|
Alias |
Mydoom.AG, W32/Mydoom.ag@MM, W32/Bofra-A, Win32/Mydoom.AD |
|
Fecha |
8/nov/04 |
|
Plataforma |
Windows 32-bit |
|
Tamaño |
20,751 bytes |
|
Puertos |
TCP 1639, TCP 6667 |
|
Esta versión del Mydoom, detectada el 8 de
noviembre de 2004 |
El gusano se propaga por medio de mensajes de correo
electrónico, enviados a direcciones obtenidas en archivos del sistema
infectado.
El mensaje no posee adjunto alguno. El enlace incluido en su texto, apunta
al sistema infectado. Haciendo clic en dicho enlace, se accede a un
servidor Web que se está ejecutando en el sistema comprometido (la
computadora que envió el mensaje). Dicho servidor ofrece un documento HTML
conteniendo el código en JavaScript para provocar un desbordamiento de
búfer, debido a un error de límites en el manejo de ciertos atributos de
las etiquetas FRAME e IFRAME por parte del Internet Explorer. Este
desbordamiento de búfer provoca la ejecución del gusano.
Los mensajes enviados poseen las siguientes características:
De: [dirección falsificada]
Asunto: [alguno de los siguientes]
- [caracteres al azar]
- [vacío]
- funny photos :)
- hello
- hey!
Texto del mensaje:
Look at my homepage with my last webcam photos!
FREE ADULT VIDEO! SIGN UP NOW!
Los mensajes contienen un enlace al equipo infectado que envía el
mensaje.
Las propiedades del mensaje, pueden contener alguno de los siguientes
campos:
X-AntiVirus: scanned for viruses by AMaViS 0.2.1
(http:/ /amavis .org/)
X-AntiVirus: Checked by Dr.Web (http:/ /www .drweb .net)
X-AntiVirus: Checked for viruses by Gordano's AntiVirus
Software
Los sistemas infectados mostrarán al Internet Explorer escuchando por
el puerto TCP 1639, el puerto donde se ejecuta el servidor Web.
Si el usuario sigue el enlace enviado por el gusano, es conectado con un
servidor Web la computadora infectada:
http://[dirección IP]:1639/webcam.htm
Donde [dirección IP] es la IP actual de la máquina que envió el
mensaje.
La página WEBCAM.HTM es la que contiene el código para provocar el
desbordamiento de búfer. Al ser visualizada, se ejecuta el código de una
consola de comandos (shell), que instruye a la máquina local a descargar
un archivo remoto:
http://[dirección IP]:1639/reactor
El archivo REACTOR (sin extensión), es almacenado en el escritorio del
usuario con el nombre de VV.DAT y luego ejecutado.
Cuando se ejecuta, el gusano crea un archivo en la carpeta System de
Windows:
c:\windows\system32\??????32.exe
Donde los "????" son caracteres al azar.
|
|
|
|
Enlaces relacionados |
|
|
|
domingo, 25 mayo 2014 |
|
|
|
 |
