¿Qué es el virus MyDoom?

El virus MyDoom, también conocido como Novarg, es otro gusano capaz de desarrollar una puerta trasera en el sistema operativo del equipo víctima.

virus mydoom

La familia de los gusanos de correo electrónico MyDoom sigue siendo una amenaza activa debido a los ordenadores personales desprotegidos y a los sistemas informáticos comprometidos, a pesar de que el virus estaba programado para desactivarse en febrero de 2004.

Debido a las infecciones generalizadas, los creadores de MyDoom pueden movilizar una enorme red de ordenadores en cualquier momento. Los expertos en virus sugieren que los equipos infectados pueden permitir ejecutar delitos que van desde obstruir el tráfico de Internet hasta causar un caos financiero a gran escala en corporaciones y bancos.

Casi todas las semanas, siguen apareciendo nuevas versiones del gusano de correo electrónico MyDoom y, por lo tanto, este virus sigue obstruyendo los servidores de correo ubicados en todo el mundo.

El virus MyDoom y sus variantes

Se sabe que el virus original de MyDoom tiene dos desencadenantes. Un desencadenante provocó que el virus iniciara un ataque de denegación de servicio (DoS) a partir del 1 de febrero de 2004.

El segundo desencadenante provocó que el virus dejara de distribuirse el 12 de febrero de 2004. Las puertas traseras creadas durante las infecciones iniciales permanecieron activas incluso después de que el virus dejó de propagarse.

Varios expertos en seguridad informática señalan que existe una ligera diferencia entre las versiones anteriores de MyDoom y sus variantes. Su propósito clave se centra en ajustar el código y expandir las capacidades del virus.

MyDoom.b tenía un código modificado que parecía estar defectuoso según algunos expertos. Los errores de codificación hicieron que esta generación del gusano MyDoom fuera menos amenazante.

MyDoom.c se dirigió a equipos que ya estaban infectados con MyDoom.a. Plus. Los informes indican que esta variante no se propagó a través del correo electrónico, sino que utilizó el puerto abierto existente.

MyDoom.d, también llamado Doomjuice.a, difundió el código actualizado, pero por lo demás era idéntico a MyDoom.a. Esta variante envió inicialmente solicitudes únicas para un ataque DoS contra Microsoft y luego cambió a una estrategia de ataque de solicitudes múltiples.

MyDoom.e, también llamado Doomjuice.b, es capaz de mantener el ataque con ataques continuos y de alta intensidad de DoS en la página principal de Microsoft en cualquier mes de febrero a diciembre, en cualquier día excepto entre el 8 y el 12 de cada mes. MyDoom.e desarrolla solicitudes para acceder a la página principal de Microsoft que se parece a las solicitudes de Internet Explorer.

¿Por qué el virus MyDoom es tan dañino?

Descubierto el 26 de enero de 2004, MyDoom.a se extendió a través de archivos adjuntos con las extensiones.bat, .cmd, .exe, .pif, .scr o .zip. El gusano desarrolló una puerta trasera en el sistema abriendo los puertos TCP 3127 a 3198.

MyDoom no posee el llamado truco de puerto abierto, mientras que los gusanos como MiMail, Bagle, SoBig y otros si tienen esta capacidad. Sin embargo, la familia MyDoom se beneficia de esta técnica al utilizarla de una manera mucho más eficiente en comparación con otros gusanos.

Estos puertos abiertos permiten que el gusano “obtenga” secretamente las nuevas instrucciones enviadas por sus autores. Un puerto abierto también desarrolla una puerta trasera que permite a un atacante conectarse al equipo infectado, controlando así su red y sus recursos individuales.

Además, la puerta trasera abierta por MyDoom permite a un atacante descargar y ejecutar de forma remota archivos. La verdadera amenaza aquí se refiere al hecho de que este malware puede activarse en cualquier momento porque el puerto TCP 3127 sigue abierto. Eliminar la infección con software antivirus es la única manera de cerrar esta puerta trasera.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *