W32.Mydoom.A@mm

Debido a la disminución en el número de notificaciones recibidas de esta amenaza, Symantec Security Response ha cambiado de Categoría 3 a Categoría 2 el nivel de esta amenaza, a partir del 30 de marzo del 2004.

W32.Mydoom.A@mm (también conocido como W32.Novarg.A@mm) es un nuevo gusano de envío masivo de correo electrónico, los archivos adjuntos tienen extensiones .bat, .cmd, .exe, .pif, .scr, o .zip.

Cuando una computadora es infectada por este gusano, se crea un "backdoor" dentro del sistema abriendo los puertos TCP dentro del rango del 3127 al 3198. Lo cual permite al atacante conectarse al equipo y utilizarlo como proxy para obtener el acceso a los recursos compartidos de red.

Adicionalmente al "backdoor" (puerta trasera) tiene la habilidad de descargar y ejecutar archivos en forma arbitraria.

Existe un 25 % de probabilidades de que el gusano lleva a cabo una negación de servicio (DoS) en un equipo infectado el cual comienza el 1o de febrero del 2004 a las 16:09:18 UTC es decir 00:09:18 PST, basándose en la hora y fecha del equipo local (infectado). Si el gusano comienza el ataque de negación de servicio DoS, no hará envío masivo de correos a si mismo. También cuenta con un mecanismo de disparo para dejar de dispersarse el día 12 de febrero del 2004. Mientras que el gusano dejará de dispersarse el 12 de febrero del 2004, el backdoor continuará su función después de esa fecha.

---

Nota:

• Los productos Symantec para consumidor que soportan la función Bloqueo de gusanos detectan automáticamente esta amenaza al momento que intenta acceder al equipo.
• Symantec Security Response ha desarrollado una herramienta para limpiar las infecciones causadas por W32.Mydoom.A@mm.
• Las definiciones de virus posteriores al 4 de febrero del 2004, detectarán esta amenaza como W32.Novarg.A@mm.

---

Cuando W32.Mydoom.A@mm envía un correo electrónico, evita distribuirse a los dominios que cuentan con alguno de los siguientes valores:

• avp
• syma
• icrosof
• msn.
• hotmail
• panda
• sopho
• borlan
• inpris
• example
• mydomai
• nodomai
• ruslis
• .gov
• gov.
• .mil
• foo.
• berkeley
• unix
• math
• bsd
• mit.e
• gnu
• fsf.
• ibm.com
• google
• kernel
• linux
• fido
• usenet
• iana
• ietf
• rfc-ed
• sendmail
• arin.
• ripe.
• isi.e
• isc.o
• secur
• acketst
• pgp
• tanford.e
• utgers.ed
• mozilla
  
  
  cuentas que coinciden con alguno de los siguientes valores:

• root
• info
• samples
• postmaster
• webmaster
• noone
• nobody
• nothing
• anyone
• someone
• your
• you
• me
• bugs
• rating
• site
• contact
• soft
• no
• somebody
• privacy
• service
• help
• not
• submit
• feste
• ca
• gold-certs
• the.bat
• page
  
  
  o cuentas con alguno de los siguientes valores:

• admin
• icrosoft
• support
• ntivi
• unix
• bsd
• linux
• listserv
• certific
• google
• accoun

El gusano también evita alguno de los siguientes nombres de dominio obtenidos

• adam
• alex
• alice
• andrew
• anna
• bill
• bob
• brenda
• brent
• brian
• claudia
• dan
• dave
• david
• debby
• fred
• george
• helen
• jack
• james
• jane
• jerry
• jim
• jimmy
• joe
• john
• jose
• julie
• kevin
• leo
• linda
• maria
• mary
• matt
• michael
• mike
• peter
• ray
• robert
• sam
• sandra
• serg
• smith
• stan
• steve
• ted
• tom