Un nuevo virus se ha propagado masivamente en España desde el lunes a última hora, si bien no ha sido hasta el martes cuando las casas antivirus han reaccionado e incluido la firma del código en sus bases de datos. Se ha bautizado de diferentes formas, Novarg, Mydoom o Mimail.R, y su capacidad de infección está asombrando a los expertos.

La velocidad de propagación de este gusano fue tal, que algunas empresas como MessageLabs, informaron haber monitorizado más de un millón de mensajes infectados entre las 13:00 GMT del lunes y las 9:00 del martes, esto es, uno de cada 12 mensajes estaba infectados.

Si bien se dieron los primeros casos fuera de nuestro país durante el fin de semana, no se pensaba que fuese a penetrar en España y el resto del mundo de esta manera, pues su mensaje está escrito exclusivamente en inglés. Pero el lunes se alertó de una propagación masiva y descontrolada. Novarg, Mydoom o Mimail.R (algunos lo han tomado como una nueva variación del persistente y mutante Mimail, aunque es más conocido por Mydoom) se distribuye por correo, con archivos adjuntos con la extensión .BAT, .CMD, .EXE, .PIF, .SCR y .ZIP, aunque su icono simula siempre ser un archivo de texto de Windows. Todas las extensiones son o pueden esconder ficheros ejecutables, condición necesaria para contener código malicioso activo. Estas extensiones deberían ser directamente prohibidas por los administradores a través del servidor de correo o de un servidor interno.

Aunque en inglés, el asunto del mensaje invita a la confusión. Suele distribuirse con dirección falseada y, entre otros, uno de estos asuntos:

- "Error"
- "Status"
- "Server Report"
- "Mail Transaction Failed"
- "Mail Delivery System"

Lo que hace pensar a la víctima que se trata de un correo enviado que no ha llegado a su destino, y el servidor (configurado en inglés) le notifica automáticamente al respecto. Es por esto que muchos usuarios, aun cautelosos siempre com los virus, han abierto el mensaje creyendo que quizás algún correo legítimo no había sido entregado correctamente.

Además, el cuerpo del mensaje suele ser: "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment","The message contains Unicode characters and has been sent as a binary attachment.", "Mail transaction failed. Partial message is available." o "test"

Mydoom, crea en el sistema infectado varios ficheros, como "Message" en el directorio temporal y "shimgapi.dll" y "taskmon.exe" en el directorio de sistema de Windows. El archivo "Message" no son más que caracteres de texto aleatorios que se muestran en el bloc de notas cuando el fichero adjunto del mensaje es ejecutado. Así la víctima piensa que el contenido adjunto no era más que basura, cuando el gusano en realidad acaba de ser activado.

El gusano comienza a intentar reproducirse a través de nuevos correos (evitando infectar a los dominios raíz ".edu") y copiarse al directorio de archivos compartidos de Kazaa para esparcirse a través de redes P2P, con nombres de programas conocidos.

Se le han observado también funciones de troyano, pues el virus abre un puerto del sistema (entre 3127 y 3198), para que la máquina infectada pueda ser controlada desde el exterior, y ejecutar así código arbitrario.

Además de la infección, la carga negativa del virus recae en su capacidad para realizar un ataque de denegación de servicio distribuido (DDOS) contra el servidor web de la empresa SCO (www.sco.com). A partir del uno de febrero el gusano dejará de propagarse e iniciará un ataque contra esta empresa, realizando peticiones masivas desde todos los sistemas infectados. Este ataque concluirá automáticamente el día doce del mismo mes. SCO es una empresa en boga últimamente entre la comunidad Linux, por demandar a importantes empresas del sector, argumentando que el código fuente de Linux contiene fragmentos del sistema Unix de la compañía. Ahora ofrece una recompensa de 250.000 dólares por información que lleve a la detención, enjuiciamiento y condena de los creadores del virus.

Más información y referencias:

W32/Mydoom.A. Gusano de gran propagación
http://www.vsantivirus.com/mydoom-a.htm

MyDoom se propagó en menos de cuatro segundos
http://www.vsantivirus.com/28-01-04.htm

SCO ofrece 250.000 dólares de recompensa por creadores de MyDoom
http://www.diarioti.com/gate/n.php?id=5247

Sergio de los Santos
http://www.forzis.com