SEGURIDAD | Noticias | 17 FEB 2005

Saltan las alertas por la versión AO del virus Mydoom

Diversas compañías de seguridad, como Computer Associates (CA) y Panda Software, han dado la señal de alerta ante la virulencia que, con el transcurso de las horas, está adquiriendo Mydoom.AO. Estas empresas han dado a conocer las principales características de este nuevo gusano que intenta sacar partido, a la hora de acometer sus fechorías, de los principales buscadores de Internet.
Arantxa Herranz
En las últimas horas se está detectando una importante y rápida propagación de un nuevo gusano, bautizado como Mydoom.AO. Según la información que facilitan diversas empresas de seguridad, este virus saca partido de los principales buscadores de Internet para propagarse rápida y masivamente.

Así, Mydoom.AO lleva a cabo búsquedas de correo electrónico en Google, Altavista, Yahoo y Lycos para enviarse, por lo que, según los expertos, un único PC infectado puede llegar a distribuir miles de copias del virus en cuestión de minutos. Esto provoca una propagación muy rápida y sencilla, por lo que, según estas fuentes, la probabilidad de que un ordenador pueda ser afectado por Mydoom.AO es muy elevada.

Además, la versión AO del famoso virus Mydoom también emplea la ingeniería social con el fin de confundir y engañar a los usuarios. Según informa Panda Software, los mensajes de correo electrónico en los que viene este gusano simulan ser los típicos mensajes de error en la entrega de un correo. Entre los distintos asuntos que puede utilizar se encuentran algunos como Message could not be delivered, Mail System Error - Returned Mail, o Delivery reports about your e-mail.

Además, el cuerpo de texto también varía, aunque son muy parecidos a los que suele recibir el usuario cuando, de verdad, un e-mail no ha podido enviarse (“Your message (was not|could not be) delivered because the destination (computer|server) was (not|un)reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura-tion parameters”).

El nombre del archivo adjunto en dicho mensaje, y que contiene el código del gusano, tiene una de las siguientes extensiones: ZIP, COM, SCR, EXE, PIF, BAT o CMD.

En caso de que el usuario ejecute el archivo infectado, el gusano crea una copia de sí mismo en el equipo con el nombre JAVA.EXE y busca direcciones de correo electrónico en la libreta de Windows, los archivos temporales de Internet, y en ficheros con determinadas extensiones que se encuentren en el ordenador. Una vez completada esta operación, el gusano se encarga de seleccionar los nombres de dominio de las direcciones recogidas para introducirlos como términos de búsqueda en Google, Altavista, Yahoo y Lycos. Por último, Mydoom.AO se envía a todas las direcciones encontradas y crea varias entradas en el registro de Windows para ejecutarse cada vez que se reinicie el sistema.




Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios