Elevado nivel de incidencias por la aparición del virus MyDoom.BB
Comenzó a registrarse anoche una inusual reincidencia del gusano MYDOOM.M, que había provocado una alerta de mediano riesgo el pasado mes de julio de 2004. Al analizar las primeras muestras del código malicioso que se recibieron en TrendLabs, se determinó que se trata de una versión virtualmente idéntica a aquella modalidad, con la diferencia de que está comprimida con una herramienta diferente (MEW, en lugar de UPX), por lo que se decidió llamarle WORM_MYDOOM.BB. Al incrementarse la actividad de este gusano, TrendLabs decidió lanzar la tercera Alerta Amarilla del año, para contener su propagación. La mayoría de los reportes iniciales fueron recibidos desde Singapur y los Estados Unidos. Afecta a plataformas Windows 95, 98, ME, NT, 2000 y XP.Al igual que las versiones anteriores, MYDOOM.BB se propaga por correo electrónico con su propio motor SMTP, recabando las direcciones de sus víctimas de la libreta de direcciones de Windows, así como de los archivos que encuentra en la computadora infectada con ciertas extensiones.
Igualmente, cuando encuentra una dirección de correo electrónico, toma el nombre de dominio y consulta los siguientes motores de búsqueda para encontrar otras direcciones en esos mismos dominios: http://search.lycos.com, http://www.altavista.com, http://search.yahoo.com, http://www.google.com. El mensaje que se recibe tiene las siguientes características: Asunto: (Cualquiera de los siguientes) • The original message was included as attachment • The/Your m/Message could not be delivered • hello • hi error • status • test • report • delivery failed • Message could not be delivered • Mail System Error - Returned Mail • Delivery reports about your e-mail • Returned mail: see transcript for details • Returned mail: Data format error En el cuerpo del mensaje, el gusano utiliza información que encuentra en la computadora, de manera que el usuario identifique datos familiares en él. í‰ste es uno de los posibles mensajes que se puede recibir:
- Dear user , (dominio tomado del sistema infectado)
- Your e-mail account was used to send a huge amount of unsolicited e-mail messages during the recent week.
- Most likely your computer had been infected by a recent virus and now runs a hidden proxy server.
- Please follow our instruction in the attached file in order to keep your computer safe. Virtually yours, The (dominio tomado de la dirección del usuario) support team.
Esta técnica de ingeniería social logra que el usuario, al recibir un mensaje de esta naturaleza, abra el archivo adjunto sin pensarlo demasiado, con lo que infecta su computadora e inicia un nuevo ciclo infeccioso. Además de la rutina descrita de propagación por correo electrónico, este gusano tiene características de backdoor, dejando vulnerable a la PC infectada para que se pueda acceder a ella remotamente. Este componente de puerta trasera se activa como SERVICES.EXE en el directorio de Windows, el cual abre el puerto 1034 de TCP y espera por las conexiones externas. Esta rutina virtualmente le permite a un atacante externo tomar el control de la PC infectada.