mydoom, también conocido como W32.MyDoom@mm , Novarg , Mimail.R y Shimgapi , es un gusano informático que afecta a Microsoft Windows . Fue avistado por primera vez el 26 de enero de 2004. Se convirtió en el gusano de correo electrónico de más rápida propagación de la historia, superando los récords anteriores establecidos por el gusano Sobig y ILOVEYOU , un récord que hasta el 2021 aún no se ha superado. [1]
MyDoom parece haber sido comisionado por spammers de correo electrónico para enviar correo basura a través de computadoras infectadas. [2] El gusano contiene el mensaje de texto "Andy; solo estoy haciendo mi trabajo, nada personal, lo siento", lo que lleva a muchos a creer que se le pagó al creador del gusano. Al principio, varias empresas de seguridad expresaron su creencia de que el gusano se originó en un programador en Rusia. Se desconoce el autor real del gusano.
El gusano parecía ser un correo electrónico mal enviado, y la mayoría de las personas a las que originalmente se les envió el gusano lo ignoraron, pensando que era spam. Sin embargo, solo porque un par de personas abrieron el archivo adjunto, más tarde se propagó hasta infectar más de 50 millones de computadoras en todo el mundo.
La cobertura especulativa temprana sostuvo que el único propósito del gusano era perpetrar un ataque distribuido de denegación de servicio contra SCO Group . El 25 por ciento de los hosts infectados con MyDoom.A apuntaron a SCO Group con una avalancha de tráfico. La conjetura de la prensa especializada, impulsada por las propias afirmaciones de SCO Group, sostenía que esto significaba que el gusano fue creado por un partidario de Linux o de código abierto en represalia por las controvertidas acciones legales y declaraciones públicas de SCO Group contra Linux. Esta teoría fue rechazada de inmediato por los investigadores de seguridad. Desde entonces, también ha sido rechazado por los agentes de la ley que investigan el virus, quienes lo atribuyen a bandas delictivas organizadas en línea.
El análisis inicial de Mydoom sugirió que era una variante del gusano Mimail, de ahí el nombre alternativo Mimail.R, lo que generó especulaciones de que las mismas personas eran responsables de ambos gusanos. Los análisis posteriores fueron menos concluyentes en cuanto al vínculo entre los dos gusanos.
Mydoom fue nombrado por Craig Schmugar, un empleado de la firma de seguridad informática McAfee y uno de los primeros descubridores del gusano. Schmugar eligió el nombre después de notar el texto "mydom" dentro de una línea del código del programa. Señaló: "Desde el principio era evidente que esto sería muy importante. Pensé que sería apropiado incluir 'condenación' en el nombre". [3]
Resumen técnico
Mydoom se transmite principalmente por correo electrónico , que aparece como un error de transmisión, con líneas de asunto que incluyen "Error", "Sistema de entrega de correo", "Prueba" o "Error de transacción de correo" en diferentes idiomas, incluidos inglés y francés. El correo contiene un archivo adjunto que, si se ejecuta , reenvía el gusano a las direcciones de correo electrónico que se encuentran en archivos locales, como la libreta de direcciones de un usuario. También se copia a sí mismo en la "carpeta compartida" de la aplicación de intercambio de archivos punto a punto Kazaa en un intento de propagarse de esa manera.
Mydoom evita apuntar a direcciones de correo electrónico en determinadas universidades, como Rutgers , MIT , Stanford y UC Berkeley , así como en determinadas empresas como Microsoft y Symantec . Algunos informes iniciales afirmaron que el gusano evita todas las direcciones .edu , pero este no es el caso.
La versión original, Mydoom.A , se describe con dos cargas útiles :
- Una puerta trasera en el puerto 3127 / tcp para permitir el control remoto de la PC subvertida (colocando su propio archivo SHIMGAPI.DLL en el directorio system32 y ejecutándolo como un proceso secundario del Explorador de Windows ); esta es esencialmente la misma puerta trasera utilizada por Mimail .
- Un ataque de denegación de servicio contra el sitio web de la controvertida empresa SCO Group , programado para comenzar el 1 de febrero de 2004. Muchos analistas de virus dudaban de que esta carga útil realmente funcionara. Pruebas posteriores sugieren que funciona solo en el 25% de los sistemas infectados.
Una segunda versión, Mydoom.B , además de llevar las cargas útiles originales, también se dirige al sitio web de Microsoft y bloquea el acceso a los sitios de Microsoft y a los sitios populares de antivirus en línea modificando el archivo de hosts , bloqueando así las herramientas de eliminación de virus o las actualizaciones del software antivirus. El menor número de copias de esta versión en circulación significó que los servidores de Microsoft sufrieron pocos efectos nocivos. [4] [5]
Cronología
- 26 de enero de 2004: el virus Mydoom se identifica por primera vez alrededor de las 8 am EST (1300 UTC), justo antes del comienzo de la jornada laboral en América del Norte. Los primeros mensajes se originan en Rusia. Durante un período de unas pocas horas al mediodía, la rápida propagación del gusano ralentiza el rendimiento general de Internet en aproximadamente un diez por ciento y el tiempo promedio de carga de la página web en aproximadamente un cincuenta por ciento. Las empresas de seguridad informática informan que Mydoom es responsable de aproximadamente uno de cada diez mensajes de correo electrónico en este momento.
- Aunque el ataque de denegación de servicio de Mydoom estaba programado para comenzar el 1 de febrero de 2004, el sitio web de SCO Group se desconecta brevemente en las horas posteriores al lanzamiento del gusano. No está claro si Mydoom fue responsable de esto. SCO Group afirmó que fue el objetivo de varios ataques distribuidos de denegación de servicio en 2003 que no estaban relacionados con virus informáticos.
- 27 de enero de 2004: SCO Group ofrece una recompensa de 250.000 dólares estadounidenses por información que conduzca al arresto del creador del gusano. En Estados Unidos, el FBI y el Servicio Secreto inician investigaciones sobre el gusano.
- 28 de enero de 2004: se descubre una segunda versión del gusano dos días después del ataque inicial. Los primeros mensajes enviados por Mydoom.B se identifican alrededor de las 1400 UTC y también parecen provenir de Rusia. La nueva versión incluye el ataque original de denegación de servicio contra SCO Group y un ataque idéntico dirigido a Microsoft.com a partir del 3 de febrero de 2004; sin embargo, se sospecha que ambos ataques están rotos o un código señuelo no funcional destinado a ocultar la función de puerta trasera de Mydoom. Mydoom.B también bloquea el acceso a los sitios web de más de 60 empresas de seguridad informática, así como a los anuncios emergentes proporcionados por DoubleClick y otras empresas de marketing online.
- La propagación de los picos de MyDoom; Las empresas de seguridad informática informan que Mydoom es responsable de aproximadamente uno de cada cinco mensajes de correo electrónico en este momento.
- 29 de enero de 2004: La propagación de Mydoom comienza a disminuir a medida que los errores en el código de Mydoom.B impiden que se propague tan rápidamente como se anticipó. Microsoft ofrece una recompensa de 250.000 dólares estadounidenses por información que conduzca al arresto del creador de Mydoom.B.
- 1 de febrero de 2004: Se estima que un millón de computadoras en todo el mundo infectadas con Mydoom comienzan el ataque masivo distribuido de denegación de servicio del virus, el mayor ataque de este tipo hasta la fecha. Cuando el 1 de febrero llega a Asia oriental y Australia, SCO elimina www.sco.com del DNS alrededor de las 1700 UTC del 31 de enero. (Todavía no hay una confirmación independiente de www.sco.com que de hecho sufra el DDOS planeado).
- 3 de febrero de 2004: comienza el ataque distribuido de denegación de servicio de Mydoom.B contra Microsoft, para el cual Microsoft se prepara ofreciendo un sitio web que no se verá afectado por el gusano, information.microsoft.com. [6] Sin embargo, el impacto del ataque sigue siendo mínimo y www.microsoft.com sigue siendo funcional. Esto se atribuye a la distribución comparativamente baja de la variante Mydoom.B, la alta tolerancia a la carga de los servidores web de Microsoft y las precauciones tomadas por la empresa. Algunos expertos señalan que la carga es menor que la de las actualizaciones de software de Microsoft y otros servicios basados en la web.
- 9 de febrero de 2004: Doomjuice, un gusano "parásito", comienza a propagarse. Este gusano usa la puerta trasera que dejó Mydoom para propagarse. No ataca equipos no infectados. Su carga útil, similar a una de Mydoom.B, es un ataque de denegación de servicio contra Microsoft. [7]
- 12 de febrero de 2004: Mydoom.A está programado para dejar de propagarse. Sin embargo, la puerta trasera permanece abierta después de esta fecha.
- 1 de marzo de 2004: Mydoom.B está programado para dejar de propagarse; al igual que con Mydoom.A, la puerta trasera permanece abierta.
- 26 de julio de 2004: una variante de Mydoom ataca a Google , AltaVista y Lycos , deteniendo por completo la función del popular motor de búsqueda de Google durante la mayor parte de la jornada laboral y creando una ralentización notable en los motores de AltaVista y Lycos durante horas.
- 10 de septiembre de 2004: Aparecen las versiones U, V, W y X de MyDoom, lo que genera preocupaciones de que se esté preparando un nuevo y más potente MyDoom.
- 18 de febrero de 2005: aparece la versión AO de MyDoom.
- Julio de 2009: MyDoom reaparece en los ciberataques de julio de 2009 que afectaron a Corea del Sur y Estados Unidos. [8]
Ver también
- Cronología de virus y gusanos informáticos
Referencias
- ^ "Empresa de seguridad: el gusano MyDoom más rápido hasta ahora" . CNN.com . Time Warner. 2004-01-28.
- ^ Tiernan Ray (18 de febrero de 2004). "Los virus de correo electrónico acusados de spam aumentan drásticamente" . El Seattle Times . The Seattle Times Company.
- ^ "¿Más Doom?" . Newsweek . Compañía del Washington Post . 2004-02-03.
- ^ "El virus Mydoom comienza a desaparecer" . BBC News . BBC. 2004-02-04.
- ^ https://abcnews.go.com/Technology/ZDM/story?id=97385
- ^ "Información de Microsoft: MyDoom (Wayback Archive desde el 4 de febrero de 2004)" . microsoft.com . 2004-02-04. Archivado desde el original el 4 de febrero de 2004.CS1 maint: URL no apta ( enlace )
- ^ "W32.HLLW.Doomjuice" . Symantec Corporation. 2007-02-13.
- ^ "Hacker perezoso y gusano pequeño desencadenan el frenesí de la guerra cibernética" . Noticias por cable . 2009-07-08 . Consultado el 9 de julio de 2009 .
enlaces externos
- Ataques MyDoom y DDoS
- "Email-Worm.Win32.Mydoom.a" . Viruslist.com . Kaspersky Lab. Archivado desde el original el 15 de octubre de 2006.
- SCO ofrece recompensa por arresto y condena del autor del virus Mydoom - comunicado de prensa de SCO, 27 de enero de 2004. Tenga en cuenta la afirmación de que el ataque de denegación de servicio ya había comenzado en esta fecha.
- "Mydoom" . Páginas de información de virus informáticos F-Secure . Corporación F-Secure.
- "Win32.Mydoom.A" . Asesor de seguridad . Computer Associates International. Archivado desde el original el 10 de abril de 2005 . Consultado el 30 de abril de 2005 .
- Información sobre el gusano Mydoom de Symantec.com
- "Virus informático que causó daños de $ 50 mil millones" . El canal de YouTube de InfoGraphics Show.