Nueva versión del gusano ¿Mydoom?

Hasta el momento, en VirusTotal se pueden contabilizar seis nombres distintos según el motor antivirus: Linort.A, Evaman.C, Mydoom.o, Mydoom.P, Mydoom.N o Mydoom-Q.

No es la primera vez que nos hacemos eco en Hispasec de la problemática que plantean las diferentes nomenclaturas de las soluciones antivirus. Recomiendo la lectura del una-al-dia “Bautizar un virus”, 26/12/2002, disponible en la dirección http://www.hispasec.com/unaaldia/1523

Con respecto a los tiempos de reacción de las diferentes soluciones antivirus, en primer lugar destacar aquellos motores que detectaban al espécimen antes de su aparición (03/08/2004) y protegían a sus usuarios en el mismo momento que comenzó a circular el gusano. Así lo hacían McAfee, NOD32 y Norman:

McAfee :: Malware.b

NOD32 :: NewHeur_PE

Norman :: W32/EMailWorm

A continuación los tiempos de reacción de las casas antivirus en proporcionar la actualización concreta para este gusano una vez había comenzado su propagación:

BitDefender 03.08.2004 17:55 :: Win32.Linort.A@mm

NOD32v2 03.08.2004 18:46 :: Win32/Evaman.C

Kaspersky 03.08.2004 19:33 :: I-Worm.Mydoom.o

Panda 03.08.2004 19:48 :: W32/Mydoom.P.worm

ClamWin 03.08.2004 20:23 :: Worm.Mydoom.N

Sophos 03.08.2004 22:41 :: W32/MyDoom-Q

TrendMicro 04.08.2004 03:07 :: WORM_MYDOOM.O

F-Prot 04.08.2004 05:55 :: W32/Mydoom.P@mm

Estos datos son proporcionados por VirusTotal, y los tiempos se encuentran en hora española (GMT+2 en verano).

* Los resultados de eTrust-Inoc están en cuarentena, comprobándose la instalación del motor y el método de actualización a petición del desarrollador.

* En el momento de escribir estas líneas la última actualización disponible de Symantec en VirusTotal es del 03.08.2004 a las 22:08, con la cual aun no detectaba el espécimen. En la descripción del web de Symantec, donde lo denomina W32.Evaman.C@mm, anuncia que incluirá las firmas en la actualización del 4 de agosto de 2004: “Virus Definitions (LiveUpdate(tm)) ** August 04, 2004”. Por lo que esperamos que en apenas unas horas sus usuarios podrán actualizarse para poder detectar y prevenir este gusano.

* Norman y McAfee continúan detectando la muestra de forma genérica por heurística, pero es de esperar que también incluyan una actualización oficial específica en breve. De hecho McAfee ya tiene publicado un DAT beta, para descarga manual, donde lo detecta como W32/Mydoom.q@MM.

En cuanto a las características del gusano, es similar a otras variantes. Puede llegar por correo electrónico con algunos de los siguientes asuntos:

SN: New secure mail

Secure delivery

failed transaction

Re: hello (Secure-Mail)

Re: Extended Mail

Delivery Status (Secure)

Re: Server Reply

SN: Server Status

En esta ocasión, además de buscar direcciones a las que enviarse en los sistemas infectados, realiza peticiones a un buscador de direcciones de Yahoo (http://email.people.yahoo.com) para obtener más e-mails, para lo que utiliza los siguientes nombres en las consultas:

Johnson, Williams, Wilson, Taylor, Anderson, Thomas, Jackson, Parker, Hernandez, Gonzalez, Roberts, Patricia, Margaret, Elizabeth, Anthony, Daniel, Patrick, Douglas, Carlos, Sanchez, Howard, Washington, Walter, Robinson, Miguel, Jennifer, Alberto, Mathew, Taylor, Walker, Mitchell, Carter, Nelson, Brooks, Jenkins, Coleman, Flores, Griffin, Morris, Rogers, Barbara, Angela, Amanda, Pamela, Martha, Frances, Cynthia, Stephanie, Nicole, Andrea, Rebeca, Steven, Anthony, George, Michael, Isabel, Marcos, Camilo, Salomon, Esteban, Francis, Nicholas, Samuel, Angela, Catherine, Susanna, Dorothy, Elizabeth, Andrew, Philip, Hester, Edward, Martin, Gabriel, Christopher, Lawrence, Christian, Christ, Dorcas, Rowland, Cecily, Margery, Turner, Torres, Brooks, Harrison, Gibson, Pierce, Arnold, Watkins, Medina, Mendoza, Santiago, Christina, Norris, Santos, Burgess, Valdez, Barber, Patton, Ortega, Estrada, Waters, Ashlee, Parson, Sparks, Morton, Allison, Monique, Summers, Cortez, Barton, Deleon, Harrell, Navarro, Woodard, Meyers, Petersen, Vannessa, Douglas, Joanna, Judith, Bridget, Jessica, Jeffrey, Timothy, Shirley, Kimberly, Sandra, Melissa, Virginia, Dennis, Junior, Heather, Collins, Garcia, Miller, Barton, Bridget, Gillian, Ursula, Hannah, Cooper, Watson, Bennett, Sanders, Ramirez, Bailey, Murphy, Campbell, Barnes, Alexis, Samantha, Madison, Joshua, Charles, Clinton, Lincoln, Houston, Claudia, Britney, Carson, Spider, Laster, Jolley, Galvin, Alecia, Karrie, Ivette, Freeman, Hunter, Simpson, Hamilton, Knight, Mcdonald, Elliott, Bradley, Duncan, Weaver, Fields, Chapman, Kelley, Wagner, Jacobs, Stanley, Fuller, Newman, Lambert, Cummings, Leonard, Barker, Norris.