Alerta máxima para el gusano MyDoom

l nuevo gusano, que tiene un tamaño de 22.528 bytes, se distribuye vía correo electrónico a través de archivos adjuntos con la extensión .BAT, .CMD, .EXE, .PIF, .SCR y .ZIP, y con su icono en Windows simula ser un archivo de texto.

El formato del mensaje en el que viaja es variable, la dirección de remite es falseada, el asunto es variable, habiéndose detectado los siguientes textos:

- "Error"
- "Status"
- "Server Report"
- "Mail Transaction Failed"
- "Mail Delivery System"
- "hello"
- "hi"

Como cuerpo del e-mail se han podido confirmar los siguientes textos:

- "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment".
- "The message contains Unicode characters and has been sent as a binary attachment."
- "Mail transaction failed. Partial message is available."
- "test"

Cuando se ejecuta en un sistema crea los siguientes archivos:

- "Message" en el directorio temporal de Windows
- "shimgapi.dll" y "taskmon.exe" en el directorio de sistema (system) de Windows

El archivo "Message" lo crea con caracteres al azar, y muestra su contenido con el bloc de notas. Con este efecto el gusano intenta engañar al usuario, para que crea que el archivo adjunto en el e-mail que ha ejecutado era sólo texto sin sentido, cuando en realidad ha activado el gusano y da comienzo su rutina de infección y propagación.

Añade las siguientes entradas en el registro de Windows para asegurarse su ejecución en cada inicio del sistema:

- HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVersionRun
TaskMon = %System% askmon.exe

- HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
TaskMon = %System% askmon.exe

También intenta reproducirse a través de redes P2P copiándose en la carpeta de archivos compartidos de Kazaa con las extensiones .PIF, .SCR .BAT y los siguientes nombres:

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

Por último se ha detectado que el gusano abre el puerto TCP 3127 en los sistemas infectados, lo que podría sugerir funcionalidades de puerta trasera.

En el momento de redactar esta nota, sólo TrendMicro reconocía el gusano desde últimas horas del lunes 26 como "WORM_MIMAIL.R", NOD32 lo hacía durante las primeras horas de la madrugada del ya martes 27 como "Win32/Mydoom.A", seguido a los pocos minutos por Antigen como "MyDoom.A@m".

Symantec tiene publicada la alerta en su web como categoría 4 (en una escala de 1 a 5), y Network Associates (McAfee) define la alerta como "High-Outbreak", si bien ambas aun están analizando el gusano y no han proporcionado la actualización oficial a los usuarios de sus antivirus. En el caso de McAfee sí dispone ya de una firma adicional (Extra DAT) para actualizar a demanda. Igualmente no reconocen aun el nuevo gusano las soluciones InoculateIT, Kaspersky, Panda y Sophos.

Más información:

WORM_MIMAIL.R

W32.Novarg.A@mm

W32/Mydoom@MM