• 13/12/2025
ALERTA

La nueva versión de MyDoom incrementa el tráfico de la Red y satura los servidores de correo electrónico

Las caracterí­sticas del gusano hicieron que Trend Micro lo denominara, al principio como RATOS, pero luego se descubrió que era una nueva modificación de MyDoom.
iProfesional | Actualidad |
Por iProfesional
17/08/2004 - 03:00hs
La nueva versión de MyDoom incrementa el tráfico de la Red y satura los servidores de correo electrónico

17 de agosto- La actividad de este gusano se concentró en paí­ses de lejano oriente como Japón, Corea y China, así­ como en los Estados Unidos. Algunas empresas antivirus lo denominaron MyDoom. R, mientras que otras, como Trend Micro, lo llamaron MyDoom.S.

Caracterí­sticas de la nueva versión de MyDoom

Nombre: WORM_MYDOOM.S
Nivel de Riesgo: Medio
Tipo de Virus: Gusano
Alias: WORM_RATOS.A; W32.Mydoom.Q@mm, I-Worm.Win32.Ratos, W32/Mydoom.s@MM, W32/MyDoom-S
Potencial de daño ALTO
Potencial de distribución ALTO
Destructivo: NO
Encriptado: NO
Plataformas: Windows 95, 98, ME, NT, 2000, XP

La aparición de MyDoom. S se detectó en la madrugada de ayer y la propagación registrada hasta ahora ha sido masiva. Este gusano corre en Windows 95, 98, ME, NT, 2000 y XP, y en los primeros análisis se encontraron los siguientes efectos asociados a una infección:

Despliega una rutina de propagación masiva de correo electrónico, hacia direcciones que encuentra en la libreta de direcciones, en los archivos de la carpeta de archivos temporales de Internet, y a partir de datos que obtiene de ciertas entradas del registro. Descarga e instala un componente de puerta trasera desde una larga lista de sitios Web llamado WINVPN32.EXE, (identificado como BKDR_RATOS.A), que compromete la seguridad del sistema ante ataques de usuarios remotos malintencionados. La propagación genera un enorme incremento de la actividad en la red, lo que podrí­a tener consecuencias no sólo a nivel de los usuarios personales, sino en la estabilidad de los sistemas.

TrendLabs liberó el patrón de virus número 1.957.00 quince minutos después de que se habí­a encontrado la epidemia, y en él se nombró el gusano como WORM_RATOS.A. Durante los trabajos posteriores de análisis del código y comunicación cercana con clientes y la industria antivirus, se encontró que en realidad se trata de una variante de MYDOOM. Para evitar confusiones, este gusano será renombrado en un patrón de virus posterior, que se emitirá una vez que los riesgos para nuestros clientes hayan sido controlados.

El mensaje de correo en el que viaja el gusano tiene los siguientes detalles:

De:
Asunto: photos
Cuerpo del Mensaje: LOL!;))))
Archivo Adjunto: photos_arc.exe

Imagen de un mensaje de correo electrónico infectado con MYDOOM.S.


Para construir la lista de direcciones de su rutina de enví­o masivo, MYDOOM.S crea direcciones a partir de la combinación de una lista de nombres comunes y otra de dominios de Internet:

Lista de nombres comunes:
adam
alex
alice
andrew
anna
bill
bob
bob
Brenda
brent
brian
claudia
dan
dave
david
debby
Fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
jose
julie
kevin
leo
linda
maria
mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom

Lista de Servidores de correo:
aol.com
hotmail.com
msn.com
yahoo.com

TrendLabs continúa trabajando en el análisis de WORM_MYDOOM.S, también llamado WORM_RATOS.A, y de su complemento BKDR_RATOS.A para proporcionar mayores detalles en el momento en que se obtengan.

Los clientes de los servicios de Trend Micro están protegidos a través del más reciente patrón de virus número 1.957.00. Reiteramos que en este patrón de virus, este gusano es identificado como WORM_RATOS.A y en los subsecuentes será renombrado como WORM_MYDOOM.S.