Panda Software anuncia la disponibilidad de su herramienta gratuita PQRemove que detecta y elimina Mydoom.A.worm de los equipos infectados y, además, restaura las configuraciones que el ordenador tuviera antes de ser afectado por el gusano. Dicha herramienta puede ser descargada desde http://www.pandasoftware.es/descargas/utilidades.

Mydoom.A.worm se ha convertido en el virus más peligroso de 2004 y puede alcanzar cotas de epidemias históricas, tal como la del pasado verano protagonizada por Bugbear y Sobig. En sólo unas horas, ha infectado miles de equipos, sobre todo de entornos corporativos, y en distintos países. Hasta el momento, el mayor número de infecciones han sido registradas en Estados Unidos, debido a que su aparición coincidió con su jornada laboral. Es presumible que en las próximas horas, con el inicio del día en, sobre todo, los países europeos, su distribución y el número de incidencias aumenten.

El objetivo fundamental de Mydoom.A.worm es colapsar los parques informáticos de las compañías, impidiendo a los usuarios trabajar con el ordenador. Utiliza una técnica de ingeniería social que, aunque puede engañar a todo tipo de usuarios, parece estar especialmente diseñada para administradores de red, dado que contiene mensajes técnicos relativos a un error en el servidor de correo o una transacción fallida, entre otros.

Así, las compañías que se han visto afectadas han podido ver paralizada su producción debido al gran tráfico que genera Mydoom.A al reenviarse automáticamente a los contactos de las libretas de direcciones de los equipos afectados.

Mydoom.A llega en un mensaje de correo electrónico que tiene un fichero adjunto. Al igual que los últimos protagonistas de grandes epidemias, utiliza las técnicas de ingeniería social para engañar al usuario y hacer que abra dicho mensaje. Al hacerlo, no sólo infecta al equipo que lo ha recibido, sino que se reenvía por sí solo a todos los contactos de la libreta de direcciones.

Además, abre el puerto TCP 3127 del ordenador afectado, permitiendo el control del equipo desde el exterior, lo que quiere decir que cualquier hacker malicioso podría introducirse en él y robar, manipular o destruir todo tipo de información contenida en el equipo.

Como dato interesante, reseñar que está preparado para lanzar un ataque de denegación de servicio DoS al sitio web www.sco.com el próximo 1 de febrero del presente año.

Mydoom.A busca direcciones de correo electrónico en los ficheros del equipo que tengan las siguientes extensiones: .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab, .txt. Se envía por correo electrónico utilizando su propio motor SMTP.

El contenido del mensaje es variable, y puede estar compuesto por las siguientes frases:

Asunto:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Cuerpo:
Mail Transaction Failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment

Nombre del fichero adjunto:
document
readme
doc
text
file
data
test
message
body

Extensión del fichero adjunto:
.pif
.scr
.exe
.cmd
.bat
.zip

Una vez ha infectado un equipo, si el usuario utiliza la red de intercambio de ficheros “peer to peer” KaZaa, copia un fichero en el directorio compartido que permite su distribución a través de este sistema. Dicho fichero puede tener alguno de los siguientes nombres:

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
y la extensión.PIF, .SCR o .BAT.

La multinacional ya ha puesto a disposición de sus clientes las correspondientes actualizaciones de sus productos para la detección y eliminación de Mydoom.A, por lo que si no tienen su software configurado para realizarlo de modo automático, pueden proceder a actualizar sus antivirus desde http://www.pandasoftware.es.

Además, y ante la posibilidad de un encuentro con Mydoom.A, Panda Software aconseja extremar las precauciones con los mensajes de correo electrónico recibidos, así como actualizar lo antes posible las soluciones antivirus y contar con un buen firewall.

Los usuarios que lo deseen pueden analizar de forma on-line sus ordenadores con la solución antivirus gratuita Panda ActiveScan, que se encuentra disponible en la página web de la compañía, en http://www.pandasoftware.es.