Cuídese del efecto zombie del Mydoom

Cuídese del efecto zombie del Mydoom
	VSantivirus No. 1311 Año 8, domingo 8 de febrero de 2004 Cuídese del efecto zombie del Mydoom http://www.vsantivirus.com/mydoom-zombie.htm Por Angela Ruiz angela@videosoft.net.uy La conocida consultora americana en tecnología, Gartner Group, aconseja a las empresas que no deben confiarse en que el gusano finalice por si solo su ejecución el próximo 12 de febrero. Según Gartner, en lugar de ello se debe buscar y destruir en forma agresiva, todo rastro del gusano. Algunos usuarios podrían no hacer nada ante la información de que el gusano posee una "fecha de vencimiento", prevista para el 12 de febrero (Mydoom.A). Sin embargo, Mydoom posee (y dejará), una puerta trasera abierta en todas las máquinas infectadas. El gusano ha creado de este modo un verdadero ejército de "zombies", que pueden ser utilizados por piratas informáticos, para ejecutar ataques adicionales en el futuro. Además, según una investigación reciente publicada en VSAntivirus (ver "Mydoom no infecta el BIOS", http://www.vsantivirus.com/01-02-04a.htm), cuando una máquina infectada con el gusano se reinicia por segunda vez después que el reloj del sistema indique 12 de febrero, el virus podría inyectar un troyano capaz de descargar y ejecutar lo que algunos suponen sería una nueva versión del gusano. Lo cierto, es que después de esa fecha, dejarían de funcionar las rutinas de propagación y las del ataque al sitio de SCO (el ataque al sitio de Microsoft, presente en la versión "B" del gusano, finalizaría el 1 de marzo). Pero las máquinas infectadas actualmente, lo seguirán estando, dejando abierta su puerta trasera. Virus como el W32/Vesser.A (o Deadhat), ya se valen de esta característica para propagarse. La amenaza estará presente hasta que el Mydoom sea quitado de todas las computadoras infectadas, advierte la consultora Gartner. A nivel de redes corporativas, se deben tomar de inmediato las medidas necesarias para bloquear los puertos abiertos por el gusano (TCP/3127, 3128 y 1080), y quitar el mismo de todas las máquinas. Las empresas, deben además instruir a sus empleados para que examinen sus equipos domésticos, los que pueden haber sido usados para conectarse a sus redes fuera de hora. Existen varias herramientas para eliminar las versiones A y B del Mydoom, las que pueden ser descargadas de nuestro sitio. También Microsoft puso a disposición de sus usuarios, un ejecutable de 109 Kb que elimina dichas versiones, y además repara el archivo HOSTS, que en la versión B es modificado para impedir el acceso a los principales sitios de antivirus. Más información sobre ésta utilidad (en inglés): http://www.microsoft.com/security/antivirus/mydoom.asp Relacionados: Experto: "MyDoom es una herramienta de spam" http://www.vsantivirus.com/dt04-02-04.htm Microsoft no es afectado por el Mydoom.B http://www.vsantivirus.com/03-02-04.htm Mydoom y el mayor ataque de la historia http://www.vsantivirus.com/02-02-04.htm Mydoom no infecta el BIOS http://www.vsantivirus.com/01-02-04a.htm Investigador ruso dice que el Mydoom sería más peligroso http://www.vsantivirus.com/31-01-04.htm Cuentos y verdades sobre el Mydoom http://www.vsantivirus.com/faq-mydoom.htm W32/Mydoom.A. Gusano de gran propagación http://www.vsantivirus.com/mydoom-a.htm Mydoom se propagó en menos de cuatro segundos http://www.vsantivirus.com/28-01-04.htm Mydoom.B, nuevo protagonista de una batalla sin treguas http://www.vsantivirus.com/29-01-04.htm W32/Mydoom.B (Novarg.B). Segunda variante de este gusano http://www.vsantivirus.com/mydoom-b.htm El mecanismo de ataque DoS del Mydoom tendría errores http://www.vsantivirus.com/ev-mydoom-dos.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com