Panda detecta virus que ataca a buscadores de Internet

21 Feb 2005 en Seguridad

PandaLabs ha detectado la aparición de un nuevo gusano que hace uso de buscadores de Internet para propagarse rápida y masivamente: Mydoom.AO. Este gusano realiza búsquedas en Google, Altavista, Yahoo y Lycos de direcciones de correo electrónico a las que enviarse. De esta manera, un solo ordenador infectado puede distribuir miles de copias del gusano en pocos minutos, lo que aumenta su propagación enormemente. Así, la probabilidad de que un ordenador pueda ser afectado por Mydoom.AO es muy elevada.

Los clientes de Panda Software que ya tienen instaladas las nuevas Tecnologías TruPreventTM contra virus e intrusos desconocidos, han estado protegidos de forma preventiva desde que Mydoom.AO hizo su aparición, ya que han sido capaces de detectarlo y bloquearlo sin necesidad de conocerlo con anterioridad (más información sobre las nuevas Tecnologías TruPreventTM en http://www.pandasoftware.es/truprevent).

Mydoom.AO hace uso de la ingeniería social para tratar de engañar a los usuarios, ya que los e-mails en los llega a los ordenadores simulan ser mensajes de error en la entrega de un correo. Entre los distintos asuntos que puede utilizar se encuentran algunos como Message could not be delivered, Mail System Error – Returned Mail, o Delivery reports about your e-mail.

Por su parte, el cuerpo de texto es también variable. Como ejemplo puede citarse:

Your message (was not|could not be) delivered because the destination (computer|server) was (not|un)reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura-tion parameters (el texto que se encuentra entre paréntesis es, a su vez, variable).

El nombre del archivo adjunto a dicho mensaje, y que contiene el código del gusano, tiene una de las siguientes extensiones: ZIP, COM, SCR, EXE, PIF, BAT o CMD.

En caso de que el usuario ejecute el archivo infectado, el gusano crea una copia de sí mismo en el equipo con el nombre JAVA.EXE y busca direcciones de correo electrónico en la libreta de Windows, los archivos temporales de Internet, y en ficheros con determinadas extensiones que se encuentren en el ordenador. Hecho esto, selecciona los nombres de dominio de las direcciones recogidas para introducirlos como términos de búsqueda en Google, Altavista, Yahoo y Lycos. Por último, Mydoom.AO se envía a todas las direcciones encontradas. Finalmente, el gusano crea varias entradas en el registro de Windows para ejecutarse cada vez que se reinicie el sistema.

Según Luis Corrons, director de PandaLabs: “Los autores de virus han encontrado en los buscadores de Internet una herramienta muy poderosa para propagar sus creaciones rápidamente. En julio de 2004, Mydoom.N empleó esta táctica por primera vez, causando una gran conmoción, y el nuevo gusano quiere seguir su estela. Esta estrategia permite multiplicar muchas veces la capacidad de distribución de un código malicioso, por lo que es de esperar que aparezcan nuevos virus que hagan uso de ella”. 
 
Ante la alta probabilidad de un encuentro con Mydoom.AO, Panda Software recomienda extremar las precauciones y mantener actualizado el software antivirus. Los clientes de Panda Software ya tienen a su disposición las correspondientes actualizaciones para la detección y desinfección de este nuevo código malicioso.

Asimismo, los clientes de Panda Software ya tienen disponibles las actualizaciones para instalar las nuevas Tecnologías TruPreventTM junto con su antivirus y estar, así, protegidos de forma preventiva frente a éste u otros nuevos códigos maliciosos. Por otro lado, para usuarios que cuenten con otros antivirus del mercado, Panda TruPreventTM Personal es la solución idónea, ya que es compatible y complementaria a éstos y proporciona una segunda línea de defensa y una protección preventiva que actúa mientras el antivirus es actualizado, disminuyendo el riesgo de ser infectados. Más información sobre las Tecnologías TruPreventTM en http://www.pandasoftware.es/truprevent.

Para la detección y desinfección gratuita de los ordenadores, los usuarios pueden utilizar el antivirus on-line Panda ActiveScan, disponible en http://www.pandasoftware.es

Más información sobre Mydoom.AO en la Enciclopedia de Virus de Panda Software, en la dirección http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=59552&sind=0

Sobre PandaLabs

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Para más información: http://www.pandasoftware.es/virus_info/