Mydoom.A y Mydoom B se propagan a través del correo electrónico -en un mensaje con características variables-, y a través del programa de ficheros compartidos (P2P) KaZaA. Entre las acciones que llevan a cabo en el equipo al que afectan destacan las siguientes:
– Introducen una librería de enlace dinámico que, a su vez, crea un backdoor que abre el primer puerto TCP disponible desde el 3127 al 3198.
– Realizan ataques de Denegación de Servicio Distribuida (DDoS) contra la página web w w w.sco.com, lanzando peticiones GET/ HTTP/ 1.1.
– Abren el Bloc de notas de Windows (NOTEPAD.EXE) y muestran texto basura.
Además de compartir estas características, las citadas versiones se diferencian en otros aspectos, entre los que sobresalen los que se mencionan a continuación.
– Para asegurarse de que no coincida la ejecución de dos copias suyas, Mydoom.A genera un mutex llamado SwebSipcSmtxSO.
– Mydoom.B sobrescribe el fichero de hosts de Windows, lo que le permite redirigir determinadas direcciones de Internet, entre las que se hallan las de varias compañías antivirus, impidiendo así que muchos antivirus puedan descargar las actualizaciones correspondientes.
– Mydoom.B está diseñado para causar ataques de denegación de servicio contra los servidores de Microsoft.
Los siguientes gusanos a los que nos referimos son las variantes S y Q de Mimail, que se difunden por correo electrónico en mensajes con características variables. Lo más significativo de ambas es que, para conseguir que el usuario les proporcione información confidencial (número de tarjeta de crédito, clave personal (PIN), etc.), muestran un formulario que simula proceder de Microsoft. Los datos que recogen los envían a una dirección de correo.
Gaobot.DK, por su parte, es un gusano que afecta a ordenadores con sistemas operativos Windows 2003/XP/2000/NT. Para propagarse al mayor número de ordenadores posible aprovecha las vulnerabilidades RPC Locator, RPC DCOM y WebDAV. A su vez, se difunde realizando copias de sí mismo en recursos compartidos de red a los que logra acceso.
Una vez ejecutado, Gaobot.DK se conecta a un servidor IRC determinado y espera órdenes de control. En la práctica, finaliza procesos pertenecientes a programas antivirus, firewalls y herramientas de monitorización del sistema, dejando así al equipo vulnerable al ataque de otros virus y gusanos. Igualmente, concluye los procesos correspondientes a Nachi.A, Autorooter.A, Sobig.F y a diferentes variantes de Blaster. También merece reseñarse que Gaobot.DK permite obtener información del ordenador al que afecta, ejecutar ficheros en él, realizar ataques de tipo de Denegación de Servicio Distribuida (DDoS), subir ficheros por FTP, etc.
El último gusano que analizamos hoy es Dumaru.Z, que se propaga a través del correo electrónico en un mensaje cuyo asunto es: «Important information for you. Read it immediately !», e incluye un fichero llamado «MYPHOTO.ZIP». Se envía a sí mismo a todas las direcciones que encuentra en un e-mail que incluye el código Exploit/Iframe, lo que le permite activarse si el mensaje es visualizado a través de la Vista previa de Outlook.
En el equipo al que afecta, la variante Z de Dumaru roba información sobre cuentas e-gold, al tiempo que abre los puertos de comunicaciones 2283 y 10000. Además, descarga el gusano Spybot.FC, que intenta conectarse al servidor IRC del dominio egold-hosting.com, y desactiva varias herramientas administrativas como, por ejemplo, el Administrador de tareas y el editor del Registro de Windows.
Finalizamos el presente informe con Govnodav.A, que es un troyano con características de Keylogger. Aunque no se propaga por sí mismo ha sido enviado de forma masiva a través del correo electrónico. Si encuentra ciertas cadenas de texto en las pulsaciones que registra, las guarda en un fichero que envía a su creador, a través del correo electrónico.
Más información sobre estos u otros códigos maliciosos en la Enciclopedia de Virus de Panda Software, disponible en la dirección:
http://www.pandasoftware.es/virus_info/enciclopedia/
