La nueva versión de MyDoom incrementa el tráfico de la Red y satura los servidores de correo electrónico
17 de agosto- La actividad de este gusano se concentró en países de lejano oriente como Japón, Corea y China, así como en los Estados Unidos. Algunas empresas antivirus lo denominaron MyDoom. R, mientras que otras, como Trend Micro, lo llamaron MyDoom.S.
Características de la nueva versión de MyDoomNombre: WORM_MYDOOM.SNivel de Riesgo: Medio Tipo de Virus: Gusano Alias: WORM_RATOS.A; W32.Mydoom.Q@mm, I-Worm.Win32.Ratos, W32/Mydoom.s@MM, W32/MyDoom-SPotencial de daño ALTO Potencial de distribución ALTO Destructivo: NO Encriptado: NOPlataformas: Windows 95, 98, ME, NT, 2000, XPLa aparición de MyDoom. S se detectó en la madrugada de ayer y la propagación registrada hasta ahora ha sido masiva. Este gusano corre en Windows 95, 98, ME, NT, 2000 y XP, y en los primeros análisis se encontraron los siguientes efectos asociados a una infección: Despliega una rutina de propagación masiva de correo electrónico, hacia direcciones que encuentra en la libreta de direcciones, en los archivos de la carpeta de archivos temporales de Internet, y a partir de datos que obtiene de ciertas entradas del registro. Descarga e instala un componente de puerta trasera desde una larga lista de sitios Web llamado WINVPN32.EXE, (identificado como BKDR_RATOS.A), que compromete la seguridad del sistema ante ataques de usuarios remotos malintencionados. La propagación genera un enorme incremento de la actividad en la red, lo que podría tener consecuencias no sólo a nivel de los usuarios personales, sino en la estabilidad de los sistemas.
TrendLabs liberó el patrón de virus número 1.957.00 quince minutos después de que se había encontrado la epidemia, y en él se nombró el gusano como WORM_RATOS.A. Durante los trabajos posteriores de análisis del código y comunicación cercana con clientes y la industria antivirus, se encontró que en realidad se trata de una variante de MYDOOM. Para evitar confusiones, este gusano será renombrado en un patrón de virus posterior, que se emitirá una vez que los riesgos para nuestros clientes hayan sido controlados. El mensaje de correo en el que viaja el gusano tiene los siguientes detalles: De: Asunto: photosCuerpo del Mensaje: LOL!;))))Archivo Adjunto: photos_arc.exe Imagen de un mensaje de correo electrónico infectado con MYDOOM.S. Para construir la lista de direcciones de su rutina de envío masivo, MYDOOM.S crea direcciones a partir de la combinación de una lista de nombres comunes y otra de dominios de Internet: Lista de nombres comunes: adam alex alice andrew anna bill bob bob Brenda brent brian claudia dan dave david debby Fred george helen jack james jane jerry jim jimmy joe john jose julie kevin leo linda maria mary matt michael mike peter ray robertsamsandrasergsmithstanstevetedtomLista de Servidores de correo: aol.com hotmail.com msn.com yahoo.comTrendLabs continúa trabajando en el análisis de WORM_MYDOOM.S, también llamado WORM_RATOS.A, y de su complemento BKDR_RATOS.A para proporcionar mayores detalles en el momento en que se obtengan. Los clientes de los servicios de Trend Micro están protegidos a través del más reciente patrón de virus número 1.957.00. Reiteramos que en este patrón de virus, este gusano es identificado como WORM_RATOS.A y en los subsecuentes será renombrado como WORM_MYDOOM.S.