Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Investigador ruso dice que el Mydoom sería más peligroso
 
VSantivirus No. 1303 Año 8, sábado 31 de enero de 2004

Investigador ruso dice que el Mydoom sería más peligroso
http://www.vsantivirus.com/31-01-04.htm

Por Angela Ruiz
angela@videosoft.net.uy


El investigador independiente Juari Bosnikovich, publicó en una lista de seguridad, nuevos detalles de la acción destructiva del gusano Mydoom, desconocidos hasta ahora.

Según Bosnikovich, las compañías antivirus podrían haber ocultado cierta información por simple omisión, o por alguna otra extraña razón.

Por ejemplo, el componente backdoor (shimgapi.dll), abre una puerta trasera por un puerto TCP. Pero esto sería solo para ocultar sus verdaderas intenciones, de las que nada se ha escrito. No está claro en el mensaje del investigador ruso, cuáles serían estas intenciones, y que relación tendrían con el Outlook Express.

Por otra parte, las descripciones del Mydoom.A, dicen que el virus sería operativo hasta el 12 de febrero. Sin embargo, esto no sería así. A partir de esa fecha el gusano pasaría a una nueva fase que Bosnikovich cataloga como Mydoom.C, y en la cuál se convertiría en mucho más peligroso.

En esta fase, el gusano podría "infectar" el Flash BIOS de la computadora, inyectando un código de 624 bytes en él. Según Bosnikovich, esto sería un backdoor escrito en forth, con el que se abriría un puerto TCP cada vez que Mydoom se ejecute después de la fecha mencionada.

No hay manera de "reparar" el BIOS infectado, salvo restaurando el original (flashing), después de que se haya desinfectado la computadora, o ésta volvería a infectarse.

Siendo el procedimiento de flashing (cargar o actualizar la memoria Flash BIOS), algo no muy al alcance de un usuario medio, de funcionar realmente esta característica, la misma convertiría al virus en una variante muy destructiva.

Y finalmente, de ser cierta toda esta información, es muy extraño que nadie la haya revelado. Y mucho más lo sería que los laboratorios de las compañías antivirus no lo hayan descubierto aún; o que lo hayan ocultado, como insinúa el investigador.

El comentario completo de Bosnikovich en el siguiente enlace (en inglés):

http://lists.netsys.com/pipermail/full-disclosure/2004-January/016353.html


NOTA VSA: El 1 de febrero se publicó que el Mydoom no infecta el BIOS, sino que instala un exploit que se vale de una vulnerabilidad de Windows para descargar y ejecutar otro componente. Más información: "Mydoom no infecta el BIOS", http://www.vsantivirus.com/01-02-04a.htm


Relacionados:

Mydoom no infecta el BIOS
http://www.vsantivirus.com/01-02-04a.htm

W32/Mydoom.A. Gusano de gran propagación
http://www.vsantivirus.com/mydoom-a.htm

Mydoom se propagó en menos de cuatro segundos
http://www.vsantivirus.com/28-01-04.htm

Mydoom.B, nuevo protagonista de una batalla sin treguas
http://www.vsantivirus.com/29-01-04.htm

W32/Mydoom.B (Novarg.B). Segunda variante de este gusano
http://www.vsantivirus.com/mydoom-b.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS