PandaLabs ha detectado la aparición de un nuevo gusano que hace uso de buscadores de Internet para propagarse rápida y masivamente: Mydoom.AO. Este gusano realiza búsquedas en Google, Altavista, Yahoo y Lycos de direcciones de correo electrónico a las que enviarse. De esta manera, una sola computadora infectada puede distribuir miles de copias del gusano en pocos minutos, lo que aumenta su propagación enormemente. Así, la probabilidad de que una computadora pueda ser afectada por Mydoom.AO es muy elevada.
Los clientes de Panda Software que ya tienen instaladas las nuevas Tecnologías TruPreventTM contra virus e intrusos desconocidos, han estado protegidos de forma preventiva desde que Mydoom.AO hizo su aparición, ya que han sido capaces de detectarlo y bloquearlo sin necesidad de conocerlo con anterioridad.
Mydoom.AO hace uso de la ingeniería social para tratar de engañar a los usuarios, ya que los e-mails en los llega a las computadoras simulan ser mensaj! es de error en la entrega de un correo. Entre los distintos asuntos que puede utilizar se encuentran algunos como Message could not be delivered, Mail System Error - Returned Mail, o Delivery reports about your e-mail.
Por su parte, el cuerpo de texto es también variable. Como ejemplo puede citarse:
Your message (was not|could not be) delivered because the destination (computer|server) was (not|un)reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura-tion parameters (el texto que se encuentra entre paréntesis es, a su vez, variable).
El nombre del archivo adjunto a dicho mensaje, y que contiene el código del gusano, tiene una de las siguientes extensiones: ZIP, COM, SCR, EXE, PIF, BAT o CMD.
En caso de que el usuario ejecute el archivo infectado, el gusano crea una copia de sí mismo en el equipo con el nombre JAVA.EXE y busca direcciones de correo electrónico en la libreta de W! indows, los archivos temporales de Internet, y en ficheros con determinadas extensiones que se encuentren en el ordenador. Hecho esto, selecciona los nombres de dominio de las direcciones recogidas para introducirlos como términos de búsqueda en Google, Altavista, Yahoo y Lycos. Por último, Mydoom.AO se envía a todas las direcciones encontradas. Finalmente, el gusano crea varias entradas en el registro de Windows para ejecutarse cada vez que se reinicie el sistema.
Según Luis Corrons, director de PandaLabs: “Los autores de virus han encontrado en los buscadores de Internet una herramienta muy poderosa para propagar sus creaciones rápidamente. En julio de 2004, Mydoom.N empleó esta táctica por primera vez, causando una gran conmoción, y el nuevo gusano quiere seguir su estela. Esta estrategia permite multiplicar muchas veces la capacidad de distribución de un código malicioso, por lo que es de esperar que aparezcan nuevos virus que hagan uso de ella”.
|
El gusano Mydoom.AO. realiza búsquedas en Google, Altavista, Yahoo y Lycos de direcciones de correo electrónico a las que enviarse. De esta manera, una sola computadora infectada puede distribuir miles de copias del gusano en pocos minutos. 
