Controlado desde el
19/10/97 por NedStat
|
|
Cuentos y verdades sobre el Mydoom
|
| |
VSantivirus No. 1304 Año 8, domingo 1 de febrero de 2004
Cuentos y verdades sobre el Mydoom
http://www.vsantivirus.com/faq-mydoom.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
[Fecha última actualización 8/2/04 15:29 GMT/UTC]
Mucho se ha hablado de este gusano, y más allá de sus características que lo convierten en el más propagado de la historia, existe mucha información que en algunos casos se ha vuelto confusa
(en la fecha de la primera versión de este artículo, redactábamos otro sobre la posibilidad de que el Mydoom infectara el BIOS, por ejemplo).
Sin que este artículo pretenda demostrar la verdad absoluta sobre todas las dudas planteadas, si desea resumir la información actualmente comprobada.
¿El Mydoom infecta el BIOS?
- No, no lo hace. El propio investigador que había anunciado esta posibilidad, lo desmintió luego de una prueba realizada por
él mismo. Ver "Mydoom no infecta el BIOS",
http://www.vsantivirus.com/01-02-04a.htm.
El gusano tiene capacidad de "keylogger"
- No hay evidencias que el Mydoom posea la capacidad de capturar la salida del teclado (keylog), o de que instale algún componente relacionado con ello al ejecutarse por primera vez. Sin embargo, puede descargar y ejecutar archivos de Internet (la versión A cualquier archivo, la B solo dos predefinidos por el autor).
Con la versión A, quien sepa hacerlo, puede usar ésta característica para descargar y ejecutar casi cualquier archivo en cualquier máquina infectada. Con la versión B solo pueden descargarse y ejecutarse dos archivos seleccionados por el autor. Probablemente uno de ellos sea una nueva versión del propio gusano.
Se puede acceder a sistemas infectados desde Internet
- Como mencionamos antes, con la versión A se puede hacer esto. La propia versión B busca máquinas infectadas con la
A, para copiarse y ejecutarse en ellas.
Los creadores del Mydoom son spammers
- Podrían serlo. No hay pruebas ni existen razones claras para afirmarlo, aunque una de sus características, usar las máquinas infectadas como servidores proxy, podría ser empleada por los spammer para lanzar sus mensajes (habría que complementarlo con otro software, pero Mydoom.A, como vimos, acepta se instalen otros programas en el equipo infectado).
Los ataques DoS al sitio de SCO y al de Microsoft no se llevarán a cabo
- Los ataques si ocurren o ocurrirán, a pesar de algunos fallos (ver "El mecanismo de ataque DoS del Mydoom tendría errores",
http://www.vsantivirus.com/ev-mydoom-dos.htm).
El gusano fue creado para combatir la piratería
- Esto lo escuchamos más de una vez, pero es una tontería afirmar que algún gigante informático u organización como la RIAA (Asociación de la Industria Grabadora de Estados Unidos), estén implicadas directamente en la creación o propagación de este gusano. El desprestigio sería mayor que cualquier otra intención al respecto.
El Mydoom fue creado por programadores de SCO
- Esta noticia es falsa, sin embargo, fue publicada por varios sitios de Internet en un momento en que la información disponible lo aseguraba. Se trata de un "bulo" lanzado por una publicación rusa, luego que un informe de Kaspersky Labs relacionaba el gusano con programadores de ese país. Ver "Mydoom, el rey de las infecciones... y de los bulos",
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=386
El Mydoom dejaría de actuar el 12 de febrero de 2004
En el código de la versión "A" está prevista su desactivación para esta fecha. Pero ello significa solamente que se dejarían de ejecutar algunas de sus rutinas, como las
que realizan el ataque al sitio corporativo de SCO y las de su propagación. Sin embargo, seguiría activa la puerta trasera (backdoor), instalada en la PC infectada. El gusano ha creado de este modo un verdadero ejército de "zombies", que pueden ser utilizados por piratas informáticos, para ejecutar cualquier clase de programa. Virus como el W32/Vesser.A (o Deadhat),
http://www.vsantivirus.com/vesser-a.htm, ya se valen de esta característica para propagarse.
La versión "B" del Mydoom, tiene como fecha de caducidad el 1 de marzo de 2004.
Conclusiones
Existen otras dudas sobre este gusano. Aquí iremos actualizando, a medida que surjan, todas las referencias comprobadas sobre esos temas.
Más información:
Cuídese del efecto zombie del Mydoom
http://www.vsantivirus.com/mydoom-zombie.htm
Experto: "MyDoom es una herramienta de spam"
http://www.vsantivirus.com/dt04-02-04.htm
Microsoft no es afectado por el Mydoom.B
http://www.vsantivirus.com/03-02-04.htm
Mydoom y el mayor ataque de la historia
http://www.vsantivirus.com/02-02-04.htm
Mydoom no infecta el BIOS
http://www.vsantivirus.com/01-02-04a.htm
Investigador ruso dice que el Mydoom sería más peligroso
http://www.vsantivirus.com/31-01-04.htm
Cuentos y verdades sobre el Mydoom
http://www.vsantivirus.com/faq-mydoom.htm
W32/Mydoom.A. Gusano de gran propagación
http://www.vsantivirus.com/mydoom-a.htm
Mydoom se propagó en menos de cuatro segundos
http://www.vsantivirus.com/28-01-04.htm
Mydoom.B, nuevo protagonista de una batalla sin treguas
http://www.vsantivirus.com/29-01-04.htm
W32/Mydoom.B (Novarg.B). Segunda variante de este gusano
http://www.vsantivirus.com/mydoom-b.htm
El mecanismo de ataque DoS del Mydoom tendría errores
http://www.vsantivirus.com/ev-mydoom-dos.htm
Actualizaciones:
02/02/04 - Bulo: El Mydoom fue creado por programadores de SCO
08/02/04 - El Mydoom dejaría de actuar el 12 de febrero de 2004
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
 
|
|
