En las últimas horas se ha detectado la aparición de, aparentemente,
una nueva variante de Mydoom, si bien las casas antivirus no se han
puesto de acuerdo en su denominación. Hasta el momento, en VirusTotal
se pueden contabilizar seis nombres distintos según el motor antivirus:
Linort.A, Evaman.C, Mydoom.o, Mydoom.P, Mydoom.N o Mydoom-Q.
No es la primera vez que nos hacemos eco en Hispasec de la problemática
que plantean las diferentes nomenclaturas de las soluciones antivirus.
Recomiendo la lectura del una-al-dia «Bautizar un virus», 26/12/2002,
disponible en la dirección http://www.hispasec.com/unaaldia/1523
Con respecto a los tiempos de reacción de las diferentes soluciones
antivirus, en primer lugar destacar aquellos motores que detectaban
al espécimen antes de su aparición (03/08/2004) y protegían a sus
usuarios en el mismo momento que comenzó a circular el gusano. Así
lo hacían McAfee, NOD32 y Norman:
McAfee :: Malware.b
NOD32 :: NewHeur_PE
Norman :: W32/EMailWorm
A continuación los tiempos de reacción de las casas antivirus en
proporcionar la actualización concreta para este gusano una vez había
comenzado su propagación:
BitDefender 03.08.2004 17:55 :: Win32.Linort.A@mm
NOD32v2 03.08.2004 18:46 :: Win32/Evaman.C
Kaspersky 03.08.2004 19:33 :: I-Worm.Mydoom.o
Panda 03.08.2004 19:48 :: W32/Mydoom.P.worm
ClamWin 03.08.2004 20:23 :: Worm.Mydoom.N
Sophos 03.08.2004 22:41 :: W32/MyDoom-Q
TrendMicro 04.08.2004 03:07 :: WORM_MYDOOM.O
F-Prot 04.08.2004 05:55 :: W32/Mydoom.P@mm
Estos datos son proporcionados por VirusTotal, y los tiempos se
encuentran en hora española (GMT+2 en verano).
* Los resultados de eTrust-Inoc están en cuarentena, comprobándose
la instalación del motor y el método de actualización a petición del
desarrollador.
* En el momento de escribir estas líneas la última actualización
disponible de Symantec en VirusTotal es del 03.08.2004 a las 22:08,
con la cual aun no detectaba el espécimen. En la descripción del
web de Symantec, donde lo denomina W32.Evaman.C@mm, anuncia que
incluirá las firmas en la actualización del 4 de agosto de 2004:
«Virus Definitions (LiveUpdate(tm)) ** August 04, 2004». Por lo que
esperamos que en apenas unas horas sus usuarios podrán actualizarse
para poder detectar y prevenir este gusano.
* Norman y McAfee continúan detectando la muestra de forma genérica
por heurística, pero es de esperar que también incluyan una
actualización oficial específica en breve. De hecho McAfee ya
tiene publicado un DAT beta, para descarga manual, donde lo
detecta como W32/Mydoom.q@MM.
En cuanto a las características del gusano, es similar a otras
variantes. Puede llegar por correo electrónico con algunos de los
siguientes asuntos:
SN: New secure mail
Secure delivery
failed transaction
Re: hello (Secure-Mail)
Re: Extended Mail
Delivery Status (Secure)
Re: Server Reply
SN: Server Status
En esta ocasión, además de buscar direcciones a las que enviarse
en los sistemas infectados, realiza peticiones a un buscador de
direcciones de Yahoo (http://email.people.yahoo.com) para obtener
más e-mails, para lo que utiliza los siguientes nombres en las
consultas:
Johnson, Williams, Wilson, Taylor, Anderson, Thomas, Jackson,
Parker, Hernandez, Gonzalez, Roberts, Patricia, Margaret, Elizabeth,
Anthony, Daniel, Patrick, Douglas, Carlos, Sanchez, Howard,
Washington, Walter, Robinson, Miguel, Jennifer, Alberto, Mathew,
Taylor, Walker, Mitchell, Carter, Nelson, Brooks, Jenkins, Coleman,
Flores, Griffin, Morris, Rogers, Barbara, Angela, Amanda, Pamela,
Martha, Frances, Cynthia, Stephanie, Nicole, Andrea, Rebeca, Steven,
Anthony, George, Michael, Isabel, Marcos, Camilo, Salomon, Esteban,
Francis, Nicholas, Samuel, Angela, Catherine, Susanna, Dorothy,
Elizabeth, Andrew, Philip, Hester, Edward, Martin, Gabriel,
Christopher, Lawrence, Christian, Christ, Dorcas, Rowland, Cecily,
Margery, Turner, Torres, Brooks, Harrison, Gibson, Pierce, Arnold,
Watkins, Medina, Mendoza, Santiago, Christina, Norris, Santos,
Burgess, Valdez, Barber, Patton, Ortega, Estrada, Waters, Ashlee,
Parson, Sparks, Morton, Allison, Monique, Summers, Cortez, Barton,
Deleon, Harrell, Navarro, Woodard, Meyers, Petersen, Vannessa,
Douglas, Joanna, Judith, Bridget, Jessica, Jeffrey, Timothy,
Shirley, Kimberly, Sandra, Melissa, Virginia, Dennis, Junior,
Heather, Collins, Garcia, Miller, Barton, Bridget, Gillian, Ursula,
Hannah, Cooper, Watson, Bennett, Sanders, Ramirez, Bailey, Murphy,
Campbell, Barnes, Alexis, Samantha, Madison, Joshua, Charles,
Clinton, Lincoln, Houston, Claudia, Britney, Carson, Spider,
Laster, Jolley, Galvin, Alecia, Karrie, Ivette, Freeman, Hunter,
Simpson, Hamilton, Knight, Mcdonald, Elliott, Bradley, Duncan,
Weaver, Fields, Chapman, Kelley, Wagner, Jacobs, Stanley, Fuller,
Newman, Lambert, Cummings, Leonard, Barker, Norris.
bernardo@hispasec.com
Deja una respuesta