Nuevo virus informático

Detectada a última hora del lunes 26 de enero del 2004 un nuevo gusano que se distribuye de forma masiva a través del correo electrónico y que ha irrumpido en
Internet con mucha fuerza, a juzgar por el número de mensajes infectados
que circulan desde sus primeras horas de vida. En el momento que
escribimos esta noticia algunas casas antivirus ya alertan sobre el gusano,
bautizándolo como Novarg, Mydoom o Mimail.R, entre otros nombres, si
bien la inmensa mayoría aun no han distribuido la actualización
correspondiente para proteger a sus usuarios.
El nuevo gusano, que tiene un tamaño de 22.528 bytes, se distribuye vía
correo electrónico a través de archivos adjuntos con la extensión BAT,
.CMD, .EXE, .PIF, .SCR y .ZIP, y con su icono en Windows simula ser un
archivo de texto.

El formato del mensaje en el que viaja es variable, la dirección de
remite es falseada, el asunto es variable, habiéndose detectado los
siguientes textos:

– “Error”

– “Status”

– “Server Report”

– “Mail Transaction Failed”

– “Mail Delivery System”

– “hello”

– “hi”

Como cuerpo del e-mail se han podido confirmar los siguientes textos:

– “The message cannot be represented in 7-bit ASCII encoding and has
been sent as a binary attachment”.

– “The message contains Unicode characters and has been sent as a
binary attachment.”

– “Mail transaction failed. Partial message is available.”

– “test”

Cuando se ejecuta en un sistema crea los siguientes archivos:

– “Message” en el directorio temporal de Windows

– “shimgapi.dll” y “taskmon.exe” en el directorio de sistema (system)
de Windows

El archivo “Message” lo crea con caracteres al azar, y muestra su
contenido con el bloc de notas. Con este efecto el gusano intenta engañar al
usuario, para que crea que el archivo adjunto en el e-mail que ha
ejecutado era sólo texto sin sentido, cuando en realidad ha activado el
gusano y da comienzo su rutina de infección y propagación.

Añade las siguientes entradas en el registro de Windows para asegurarse
su ejecución en cada inicio del sistema:

– HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVersionRun

TaskMon = %System% askmon.exe

– HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

TaskMon = %System% askmon.exe

También intenta reproducirse a través de redes P2P copiándose en la
carpeta de archivos compartidos de Kazaa con las extensiones PIF, .SCR
.BAT y los siguientes nombres:

winamp5

icq2004-final

activation_crack

strip-girl-2.0bdcom_patches

rootkitXP

office_crack

nuke2004

Por último se ha detectado que el gusano abre el puerto TCP 3127 en los
sistemas infectados, lo que podría sugerir funcionalidades de puerta
trasera.

En el momento de redactar esta nota, sólo TrendMicro reconocía el
gusano desde últimas horas del lunes 26 como “WORM_MIMAIL.R”, NOD32 lo hacía
durante las primeras horas de la madrugada del ya martes 27 como
“Win32/Mydoom.A”, seguido a los pocos minutos por Antigen como “[email protected]”.

Symantec tiene publicada la alerta en su web como categoría 4 (en una
escala de 1 a 5), y Network Associates (McAfee) define la alerta como
“High-Outbreak”, si bien ambas aun están analizando el gusano y no han
proporcionado la actualización oficial a los usuarios de sus antivirus.
En el caso de McAfee sí dispone ya de una firma adicional (Extra DAT)
para actualizar a demanda. Igualmente no reconocen aun el nuevo gusano
las soluciones InoculateIT, Kaspersky, Panda y Sophos.


29 Enero, 2004

Anúnciate Gratis