Nuevo gusano de propagación masiva: Novarg/Mydoom/Mimail

Escrito el 27 Enero, 2004 – 18:00 | por storm | 725 lecturas

A ultimas horas del lunes 26 de enero del corriente, fue detectado este nuevo gusano
que se distribuye de forma masiva por el correo electrónico y ya esta haciendo estragos.

Este gusano no infecta de forma automática a los sistemas, sino, que en este caso,
el usuario debe ejecutar un archivo que contiene el gusano para infectar su sistema.

El gusano suele llegar adjunto en un mensaje que simula haber tenido algún problema
con el servidor de correo, indicando que el correo electrónico contenía caracteres
no válidos y ha requerido enviarlo como archivo binario adjunto. Algunos de estos
mensajes son:

– ‘The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment’.

– ‘The message contains Unicode characters and has been sent as a binary attachment.’

– ‘Mail transaction failed. Partial message is available.’

El gusano tiene un tamaño de 22.528 bytes, y se distribuye vía correo electrónico
a través de archivos adjuntos con la extensión .BAT, .CMD, .EXE, .PIF, .SCR y .ZIP,
y con su icono en Windows simula ser un archivo de texto.

El formato del mensaje en el que viaja es variable, la dirección de remite
es falseada, el asunto es variable, habiéndose detectado los siguientes textos:

– ‘Error’

– ‘Status’

– ‘Server Report’

– ‘Mail Transaction Failed’

– ‘Mail Delivery System’

– ‘hello’

– ‘hi’

Por último se ha detectado que el gusano abre el puerto TCP 3127 en los sistemas infectados, lo que podría sugerir funcionalidades de puerta trasera.

Links de Interes:

TrenMicro/MiMail
Sophos Report
Diario Hoy

You must be logged in to post a comment.

Buscar: