ALERTA DE SEGURIDAD 2-MAY-2004 WORM_SASSER.B VIRUS DE RIESGO ALTO. Nueva variante de Sasser, la .B, es considerada como de riesgo alto debido al nivel de propagación que está teniendo entre las computadoras, particularmente de América Latina. Actúa de forma similar a la variante .A de Sasser, explotando la vulnerabilidad LSASS (Local Security Authority Subsystem Service) de Windows para que el atacante obtenga el control total del sistema afectado.
RECOMENDACIONES: Aplicar el parche de seguridad de Microsoft para solucionar la vulnerabilidad que explota el gusano. Actualizar el software antivirus. Utilizar un Firewall Personal.    «Inicio de Página»

ALERTA DE SEGURIDAD 1-MAY-2004 WORM_SASSER.A VIRUS DE RIESGO MEDIO. Se trata de un gusano que está propagándose rápidamente en los EEUU. Sasser.A explota la vulnerabilidad LSASS (Local Security Authority Subsystem Service) detectada en productos Microsoft. Un atacante podría obtener el control total del sistema afectado. La vulnerabilidad que Sasser.A aprovecha está relacionada con un buffer overrun que permite la ejecución de código de forma remota. Para propagarse, Sasser.A hace un escaneo de direcciones IP aleatorias en los sistemas vulnerables para intentar ocasionar un buffer overflow en LSASS.EXE del sistema vulnerable que haya encontrado. Al ocasionar el buffer overflow, el gusano se pone a la escucha en el puerto 9996/ TCP, crea un script CMD.FTP con instrucciones para la descarga y ejecución de código malicioso vía FTP en el sistema vulnerable. El equipo infectado entonces abre el puerto 5554/TCP para aceptar cualquier requerimiento FTP de sistemas remotos infectados. La copia del gusano a ser descargada es tipo EXE con nombre aleatorio y es guardada en el directorio system de Windows. Un síntoma de Sasser.A es que si el sistema no está actualizado, la computadora se reinicia; algo similar a lo que ocurría con el gusano Blaster. Otro síntoma es una posible disminución en el desempeño de la computadora debido al escaneo de direcciones IP aleatorias.    «Inicio de Página»

ALERTA DE SEGURIDAD 28-ABR-2004. WORM_BAGLE.Z VIRUS DE RIESGO MEDIO. Se trata de una nueva variante del gusano BAGLE que se está propagando por Europa y EEUU, vía correo-e y comparticiones de red. Bagle.Z infecta sistemas Windows 95, 98, ME, NT, 2000 y XP. Al ejecutarse se copia en la carpeta system de Windows como DRVDDLL.EXE, DRVDDLL.EXEOPEN y DRVDDLL.EXEOPENOPEN. Bagle.Z modifica el Registro del sistema para asegurar su ejecución de forma automática en cada inicio de sesión de Windows, evitar la ejecución de variantes del gusano WORM_NETSKY y para desinstalarse si la fecha del sistema es posterior al 25-Ene-2005. Bagle.Z usa su propio motor SMTP (Simple Mail Transfer Protocol) para propagarse por correo-e utilizando direcciones de correo-e que encuentra en el disco duro del equipo infectado, excepto aquellas que pudieran estar relacionadas con fabricantes de software antivirus o de organizaciones relacionadas con la seguridad informática. El mensaje de correo-e que lleva a Bagle.Z lleva adjunto un archivo con extensión COM, CPL, EXE, HTA, SCR, VBS y ZIP. En el caso de ser ZIP aparentemente viaja protegido por password, la cual va en el cuerpo del mensaje. Para propagarse por comparticiones de red, Bagle.Z se copia en carpetas que contengan el texto "shar" en su nombre. Bagle.Z tiene capacidades de puerta trasera, ya que espera en el puerto 2535 instrucciones para ejecutar comandos de forma remota seguramente por su autor. También cancela procesos relacionados con programas de seguridad y antivirus. Intenta la conexión a sitios web definidos por su autor.    «Inicio de Página»

WORM_ANIG.B es un gusano que se está propagando vía comparticiones de red. Tiene capacidades de keylogger para robar información relacionada con nombres y contraseñas de cuentas de usuario que guarda en un archivo para ser recuperado por un usuario remoto. El keylogger trabaja su código malicioso en sistemas con Windows NT, 2000 y XP. Al ejecutarse, el gusano se copia como NTOSA32.EXE en la carpeta de Windows y modifica el Registro del sistema para asegurar su ejecución en cada inicio de sesión. El archivo donde guarda la información el keylogger se llama NTKBH32.DLL y se puede encontrar en la carpeta system de Windows. El programa malicioso escucha en el puerto 5190/TCP en espera de comandos remotos e intenta usarlo para sesiones ICQ para comunicarse posiblemente con su autor.   «Inicio de Página»

WORM_RBOT.SN es un gusano que afecta sistemas Windows NT, 2000 y XP. Se está propagando vía comparticiones de red con password débil. Para ello, lleva una lista oculta de aproximadamente 1,400 nombres de usuario y 135 contraseñas. Rbot.SN tiene funciones de puerta trasera e intenta hacer conexiones a un servidor IRC (Internet Relay Chat) y esperar instrucciones del posible atacante. El gusano se copia como winuser32.exe en el directorio System de Windows y al mismo tiempo modifica el Registro del sistema para asegurar su ejecución en cada inicio de sesión de Windows.    «Inicio de Página»

ALERTA DE SEGURIDAD 29-MAR-2004: WORM_NETSKY.Q VIRUS DE RIESGO MEDIO. Nueva variante del gusano NETSKY que se está propagando masivamente en Japón y China. Netsky.Q corre en Windows 95, 98, ME, NT, 2000 y XP. Se está difundiendo por correo-e y comparticiones de red, aprovechando una vulnerabilidad conocida de Internet Explorer (MS01-020) que permite la ejecución automática de archivos adjuntos cuando el mensaje de correo-e con la infección es leído o previsualizado en Microsoft Outlook y Outlook Express. Usa su propio motor SMTP para enviar correo-e infectado por el gusano. Al ejecutarse, Netsky.Q deposita archivos en la carpeta Windows y modifica el Registro del sistema para asegurar su ejecución automática en cada inicio de sesión de Windows. El gusano además está programado para realizar un ataque de negación de servicio a sitios web entre el 8 y 11 de abril de 2004. Hasta el momento se han reportado cinco sitios web específicos para el ataque de Netsky.Q. El correo-e en el que viaja el gusano contiene textos generados de forma aleatoria para incorporarlos en el campo Asunto (subject) y en el contenido del mensaje, así como en el nombre del archivo adjunto que puede ser extensión .PIF, .SCR o .ZIP. Esta generación aleatoria de textos tiene el propósito de engañar o confundir al usuario víctima del gusano para que abra el archivo adjunto y el gusano siga trabajando en su propagación. Para ello, Netsky.Q cosecha direcciones de correo-e del disco duro, buscando en archivos que tengan las extensiones ADB, ASP, CFG, CGI, DBX, DHTM, DOC, EML, HTM, HTML, JSP, MMF, MSG, OFT, PHP, PL, PPT, RTF, SHT, SHTM, TBB, TXT, UIN, VBS, WAB, WSH, XLS y XML. Al igual que sus predecesores, el gusano evita enviar correo-e a las direcciones de correo-e cuyo dominio asocie con el nombre de algún fabricante de software antivirus o de seguridad. Para ello, se vale de cadenas de texto predefinidas, como @antivi, @avp, @bitdefender, @f-pro, @f-secur, @kaspersky, @mcafee, @messagel, @microsof, @norman, @norton, @pandasof, @sophos, @symantec, entre otros.   «Inicio de Página»

ALERTA DE SEGURIDAD 26-MAR-2004: WORM_BAGLE.U VIRUS DE RIESGO MEDIO. Esta nueva variante del virus Bagle se está esparciendo en EU, Europa, Japón y Korea, afectando sistemas Windows 95, 98, ME, NT, 2000 y XP. Bagle.U se difunde vía correo-e a las direcciones de correo-e que recoge de la computadora infectada. El correo-e infectado incluye un archivo adjunto del tipo .EXE y nombre aleatorio. El gusano tiene capacidades de puerta trasera, ya que abre el puerto 4751 de TCP para que un atacante pueda ejecutar comandos de forma remota. Bagle.U no se ejecuta si la fecha del sistema es mayor o igual al 01-Ene-2005. «Inicio de Página»

ALERTA DE SEGURIDAD 22-MAR-2004: WORM_NETSKY.P VIRUS DE RIESGO MEDIO. Esta nueva variante de NETSKY se está esparciendo por EE.UU. y Europa. Para ello se vale del correo-e, redes locales y P2P así como a carpetas servidor ftp y http. Corre en sistemas Windows 95, 98, ME, NT, 2000 y XP. Tiene capacidades de puerta trasera. Para propagarse utiliza su propio motor SMTP (Simple Mail Transfer Protocol) y direcciones de correo-e que obtiene del disco duro del equipo infectado. El correo-e de Netsky.P contiene datos aleatorios en el mensaje, asunto y nombre del archivo adjunto, que además incluye una doble extensión que combina los textos .txt, .doc, con .pif, .exe, y .scr. También puede incluir caracteres de espacios blancos entre ambas extensiones para confundir al usuario que se pretende infectar. Netsky.P también puede viajar en un archivo .ZIP con nombre aleatorio. Explota una vulnerabilidad conocida en Internet Explorer en el manejo de encabezados MIME (MS01-020) que permite que el archivo adjunto sea ejecutado de forma automática una vez que el correo-e es leído o visualizado. Por supuesto, el archivo adjunto al correo-e de Netsky.P es de tipo malicioso. Al ejecutarse, se copia en la carpeta Windows y modifica el Registro del sistema para asegurar su ejecución automática en cada inicio de sesión de Windows. Netsky.P evita propagarse a direcciones de correo-e con dominio de algunos fabricantes de software antivirus, del FBI, de Microsoft y de organizaciones anti-spam. También modifica el Registro del sistema infectado para evitar la ejecución automática de los gusanos Bagle, Nachi, MyDoom y DeadHat.   «Inicio de Página»

PHATBOT es un programa troyano que permite a un atacante remoto controlar a muchos sistemas. El troyano intenta propagarse aprovechando algunas vulnerabilidades descubiertas en los sistemas Windows de Microsoft y donde el usuario no ha aplicado los parches de seguridad liberados por Microsoft para corregir la vulnerabilidad. Si la computadora es infectada por el troyano Phatbot, entonces el atacante remoto tendrá acceso a los archivos y programas de la computadora infectada. Phatbot desactiva programas antivirus y realiza actividades de negación distribuida de servicio con el envío de correo spam.    «Inicio de Página»

ALERTA DE SEGURIDAD. 18-MAR-2004. PE_BAGLE.Q VIRUS DE RIESGO MEDIO. Es un virus que se está progagando por correo-e y redes Kazaa. El virus corre en Windows 95/98/ME/NT/2000/XP/Server 2003 y es capaz de infectar archivos. La variante de este virus, en relación con sus antecesores, es que el correo-e en el que viaja no lleva adjunto un archivo sino que está hecho en formato HTML para explotar una vulnerabilidad conocida de Outlook (MS03-040), que permite la ejecución automática de código sin la intervención del usuario. El correo-e HTML contiene un link que, al abrir dicho correo-e, descarga de forma automática un archivo con el virus. Entonces, el virus usa su propio motor SMTP para enviar correos-e con el link malicioso a las direcciones de correo-e que recopiló del disco duro del equipo infectado. Para difundirse por la red Kazaa, el virus se copia en las carpetas compartidas cuyo nombre tienen el texto "shar", como C:\Program Files\Kazaa\My Shared Folder. PE_BAGLE.Q también actúa como puerta trasera, ya que abre algunos puertos de la computadora infectada, en particular el puerto 2556, para que intrusos puedan ejecutar comandos de forma remota. Además cancela la ejecución de programas antivirus y firewalls. Modifica el Registro del sistema para asegurar su ejecución en cada inicio de sesión de Windows. El equipo infectado puede actuar como servidor para almacenar los archivos maliciosos necesarios para infectar a otros sistemas. 
RECOMENDACIONES: Aplicar las recomendaciones contenidas en el Boletín de Seguridad MS03-040 de Microsoft. Actualizar el software antivirus.   «Inicio de Página»

ALERTA DE SEGURIDAD. 15-MAR-2004. PE_BAGLE.P VIRUS DE RIESGO MEDIO. Se trata de un virus que está afectando sistemas Windows 95, 98, ME, NT, 2000 y XP. Busca en el disco duro del equipo infectado, direcciones de correo-e para auto-enviarse usando su propio motor SMTP (Simple Mail Transfer Protocol). Los correos-e enviados llevan en el campo del remitente (from) una dirección de correo-e también obtenida del equipo infectado, con el propósito de engañar al usuario destinatario o víctima del virus que viaja en el correo-e en un archivo adjunto. PE_BAGLE.P también se está propagando por la red Kazaa, copiándose en la carpeta compartida predeterminada de dicha aplicación. El virus cancela procesos relacionados con programas antivirus y firewall. En particular, modifica el Registro del sistema infectado para cancelar la ejecución automática de variantes del gusano NETSKY. También posee capacidades de puerta trasera ya que abre el puerto TCP/2556 para la ejecución de comandos por usuarios remotos.
RECOMENDACIONES: Actualizar el software antivirus. Evitar abrir archivos adjuntos de correos-e dudosos. Aún cuando se conozca la dirección remitente, preguntarse si hay motivo para haber recibido el archivo. En todo caso, en lugar de abrirlo primero páselo por el software antivirus.    «Inicio de Página»

WORM_CONE.C es un gusano que trabaja en Windows NT/2000. CONE viaja en un archivo .ZIP dentro de un correo-e y también se propaga en redes Kazaa al copiarse en el directorio compartido de Kazaa. Actúa sobreescribiendo el archivo HOSTS del sistema infectado para evitar que el usuario accese sitios web de fabricantes antivirus. Al ejecutarse, el gusano escribe archivos dll en el directorio System32 de Windows y modifica el Registro del sistema para asegurar su ejecución en cada inicio de sesión de Windows. También se copia como WEBCHECK.PIF en la carpeta de Inicio o Startup de Windows.   «Inicio de Página»

ALERTA DE SEGURIDAD. 1-MAR-2003. WORM_NETSKY.D. VIRUS DE RIESGO MEDIO es una nueva variante del gusano NETSKY que está ejecutándose en sistemas Windows 95, 98, ME, NT, 2000 y XP. Netsky.d se está difundiendo por la red rápidamente usando su propio motor SMTP (Simple Mail Transfer Protocol). El gusano emite sonidos beep si detecta que la fecha del sistema es 2-Mar-2004 y la hora está entre las 6am y las 9am. Al ejecutarse se copia como WINLOGON.EXE en la carpeta Windows y modifica el Registro del sistema para asegurar su ejecución en cada inicio de sesión, además de borrar entradas en el Registro realizadas por los gusanos MYDOOM, MIMAIL, NETSKY, DEADHAT, BAGLE, NACHI y PARITE. Netsky.d envía correo-e a las direcciones de correo-e que encuentra en el disco duro de la computadora infectada, en los archivos con extensión ADB, ASP, CGI, DBX, DHTM, DOC, EML, HTM, HTML, MSG, OFT, PHP, PL, RTF, SHT, SHTM, TBB, TXT, UIN, VBS y WAB, evitando emplear direcciones de correo-e que contengan los siguientes textos: "abuse", "antivi", "aspersky", "avp", "cafee", "fbi", "f-pro", "f-secur", "icrosoft", "itdefender", "orman", "orton", “skynet”, "spam" y "ymantec". Esto para evitar que sea detectado por programas de seguridad, como antivirus, y organismos asociados con dichos textos. El archivo adjunto donde viaja Netsky.d es del tipo .pif.   «Inicio de Página»

ALERTA DE SEGURIDAD. 27-FEB-2004. WORM_BAGLE.C VIRUS DE RIESGO MEDIO. Se ha reportado la propagación masiva de WORM_BAGLE.C en los EE.UU. Este gusano se difunde vía correo-e, depositando los siguientes archivos maliciosos en la carpeta System de Windows: readme.exe, onde.exe, doc.exe y readme.exeopen. Lleva un archivo .ZIP de nombre README.EXE con representación visual como un archivo de Excel. Tiene capacidades de puerta trasera, ya que abre el puerto 2745 para recibir comandos remotos una vez que envía comuncaciones a ciertos sitios we. Intenta terminar procesos relacionados con programas antivirus y se desactiva si la fecha es 14-Mar-2004 o posterior. Bagle.C corre en Windows 95, 98, ME, NT, 2000 y XP.   «Inicio de Página»

ALERTA DE SEGURIDAD. 25-FEB-2004. WORM_NETSKY.C. VIRUS DE RIESGO ALTO. Nueva variante del gusano NETSKY que se está propagando rápidamente por los EE.UU. Netsky.C está viajando por correo-e, usando su propio motor SMTP, y deposita copias de sí mismo en carpetas compartidas de Windows utilizando nombres que atraen al usuario o que contienen el texto "shar" en el nombre del archivo bajo el directorio de Windows. También se copia en la carpeta Windows como WINLOGON.EXE. Corre Windows 95, 98, ME, NT, 2000 y XP. Si la fecha del sistema es 26-Feb-2004 y la hora se encuentra entre las 6am y las 9am, el gusano empieza a generar sonidos de beep. Modifica el Registro del sistema para ejecutarse en cada inicio de Windows y borra entradas relacionadas con el gusano WORM_MYDOOM. Se envía por las direcciones de correo-e que encuentra en el equipo infectado y utiliza datos aleatorios en el asunto, contenido y archivo adjunto el correo-e infectado. El archivo adjunto puede ser formato .ZIP con archivos dentro del tipo .PIF, .COM, .SCR o .EXE. También intenta engañar al usuario al contar con doble extensión (la primera puede ser .TXT, .RTF, .DOC o .HTM), inclusive puede el nombre puede contener espacios en blanco para ocultar la segunda extensión del archivo adjunto.
UPDATE. 26-FEB-2004. Por su nivel de propagación, NETSKY.C se ha convertido en un virus de riesgo alto. Se han reportado numerosas infecciones en Australia.    «Inicio de Página»

ALERTA DE SEGURIDAD. 18-FEB-2004. WORM_NETSKY.B. VIRUS DE RIESGO MEDIO. Se ha reportado que este gusano se está esparciendo rápidamente por correo-e en Japón y Alemania. Netsky.B se propaga por correo-e y redes peer-to-peer, afectando a los sistemas Windows 95, 98, ME, NT, 2000 y XP. Se copia en las carpetas compartidas y se representa con el ícono de Microsoft Word. Al ejecutarse se copia como SERVICES.EXE en la carpeta Windows y modifica el Registro del sistema para asegurar su ejecución en cada inicio de Windows. Utiliza su propio motor SMTP para propagarse a las direcciones de correo-e que encuentra en archivos ADB, ASP, DBX, DOC, EML, HTM, HTML, MSG, OFT, PHP, PL, RTF, SHT, TBB, TXT, UIN, VBS y WAB en el equipo infectado. La dirección remitente del correo-e infectado es engañosa y confunde a la víctima ya que es seleccionada de forma aleatoria de las direcciones recogidas de los archivos anteriores en el equipo infectado. El archivo adjunto al correo-e, donde viaja el virus, puede tener la extensión DOC, HTM, RTF, TXT, COM, EXE, PIF o SCR, inclusive puede llegar en un archivo ZIP.  Para propagarse en redes P2P, el gusano se copia en carpetas compartidas cuyo nombre contenga el texto "sharing" o "shared".   «Inicio de Página»

ALERTA DE SEGURIDAD. 17-FEB-2004. WORM_BAGLE.B VIRUS DE RIESGO MEDIO. Se ha identificado la propagación masiva de este gusano en Francia. Bagle.B envía copias de sí mismo en correo-e utilizando su propio motor SMTP y las direcciones de correo-e que encuentra en archivos .HTM, .HTML, .TXT y .WAB del equipo infectado, con excepción de aquellas que tienen dominios .r1u, @hotmail.com, @msn.com, @microsoft y @avp. Bagle.B corre en sistemas Windows 95, 98, ME, NT, 2000 y XP. Usa direcciones engañosas en el remitente del correo-e en el que viaja, además de enviar un archivo adjunto ejecutable, formato . EXE y nombre aleatorio. Al ejecutarse se copia en la carpeta system de Windows con el nombre AU.EXE y utiliza el ícono asociado con archivos de sonido. También modifica el Registro del sistema para asegurar su ejecución en cada inicio de sesión. WORM_BAGLE.B incluye capacidades de puerta trasera, abriendo puertos para conexiones remotas y para descargar y ejecutar una copia actualizada del programa del virus.   «Inicio de Página»

WORM_DEADHAT.B es un gusano que se está difundiendo en sistemas afectados por los gusanos MyDoom.A y MyDoom.B. También puede propagarse vía la aplicación SoulSeek para redes P2P. Corre en sistemas Windows 95, 98, ME, NT, 2000 y XP. Al ejecutarse, el gusano se copia en la carpeta Windows como MSGSVR32.EXE y modifica el Registro del sistema para que sea ejecutado en cada inicio de sesión de Windows. DeadHat.B enumera los procesos en ejecución y detiene la ejecución de programas antivirus. También borra algunos archivos del sistema e intenta la conexión a un servidor IRC (Internet Relay Chat) para permitir la ejecución remota de comandos en el equipo infectado. Para propagarse, DeadHat.B hace un escaneo de direcciones IP en busca de puertos por donde pueda haber intrusión. Abre los puertos vulnerables utilizando un componente del gusano MYDOOM para que usuarios remotos puedan accesar al equipo infectado. También se propaga usando SoulSeek, una aplicación para redes P2P, para lo cual se copia en la carpeta compartida con un nombre aleatorio.   «Inicio de Página»

WORM_ANIG.A es un gusano que se difunde vía comparticiones de red y que tiene capacidades de puerta trasera. El gusano roba información para inicio de sesión (login), que deposita en un archivo para que después sea recuperado por un usuario remoto. Anig.A corre en sistemas Windows 95, 98, ME, NT, 2000 y XP. Al ejecutarse, se copia en el directorio system de Windows con el nombre de NTOSA32.EXE. Es posible que el gusano pueda cambiar este nombre de archivo en posteriores infecciones. Anig.A modifica el Registro del sistema para asegurar su ejecución en cada inicio de sesión. Para robar la información que se ingresa al hacer el login del sistema, el gusano hace uso de un keylogger que instala sustituyendo el componente DLL de Microsoft para la identificación y autenticación del usuario (MSGINA.DLL -  Microsoft Graphical Identification and Authentication DLL ) por el archivo NTGINA.DLL en el directorio system de Windows. Modifica el Registro del sistema para sustituir el MSGINA por el NTGINA y sea éste el que se utilice por el sistema infectado, haciendo posible el robo de información introducida en el login del sistema. El gusano utiliza sus capacidades de puerta trasera para escuchar en puertos abiertos y esperar instrucciones para ejecutar comandos remotos.   «Inicio de Página»

DUMARU.J es un gusano que se propaga vía correo-e en un archivo .zip, afectando a los ambientes Windows Server 2003, Windows 2000, NT, XP, 98, 95 y ME. El correo-e en el que viaja Dumaru.J lleva en el asunto el texto "Important information for you. Read it immediately!". Al ejecutarse, el gusano copia los archivos l32x.exe y vxd32v.exe en el directorio System de Windows; rundllx.sys en el directorio Windows; y dllxw.exe en el directorio Startup de Windows. Para propagarse, el gusano busca direcciones de correo-e en el disco duro del equipo infectado, a las cuales se envía utilizando su propio motor SMTP en el puerto 25. Dumaru.J tiene capacidades de puerta trasera ya que abre y escucha comandos remotos en el puerto 10000/TCP, permitiendo el acceso al sistema sin restricción alguna. Intenta interceptar mensajes, lo que se escribe en el teclado, acciones del ratón y otros eventos antes de que lleguen a la aplicación que los procesará. Así, el gusano puede robar passwords que sean introducidas en formularios y aplicaciones web. Las passwords robadas las guarda en un archivo identificado como vxdload.log que, una vez que alcance un tamaño determinado por el gusano, es enviado por Dumaru.J a un servidor remoto FTP. También el gusano busca conexiones activas a Internet y de encontrarlas, se pone a escuchar en los puertos TCP 10000 y 2283 para que haya acceso remoto por el atacante y lograr el control del sistema infectado o usarlo como un puente para otros sistemas.   «Inicio de Página»

ALERTA DE SEGURIDAD 26-ENE-2004: WORM_MIMAIL.R, VIRUS DE RIESGO MEDIO. Una nueva variante del gusano MIMAIL se está esparciendo por los EE.UU. Afecta a las computadoras que ejecutan Windows 95, 98, ME, NT, 2000 y XP. El gusano tiene la capacidad de generar mensajes de correo-e con datos aleatorios en el asunto, nombre del archivo adjunto y en el contenido del mensaje de correo-e. Se ha identificado  en el cuerpo del mensaje de correo-e infectado, que incluye cualquiera de los siguientes textos:

* The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
* The message contains Unicode characters and has been sent as a binary attachment.
* Mail transaction failed. Partial message is available.

El archivo adjunto puede ser del tipo .exe, .pif, .cmd y .scr, probablemente en un archivo comprimido .zip. MiMail.R también posee capacidades de puerta trasera, abriendo el puerto 3127, lo que incrementa el riesgo de comprometer la seguridad del equipo infectado. Al trabajar modifica el Registro del sistema para asegurarse de ser ejecutado en cada inicio de sesión de Windows. 
UPDATE: Otros nombres de este gusano son W32/Mydoom.A.worm, Win32:Mydoom [Wrm], Worm/MyDoom.A2, I-Worm.Win32.Mydoom.22528, W32.Novarg.A@mm, Win32/Mydoom.A@mm, I-Worm.Novarg, W32/Mydoom.A@mm, Win32.HLLM.MyDoom.32768. Usa SMTP para propagarse, obteniendo las direcciones de correo-e destino de la Libreta de Direcciones de Windows, buscando en la carpeta "Archivos Temporales de Internet" y construyendo direcciones de correo-e para determinados dominios. El correo-e donde viaja el gusano es engañoso, la dirección de correo-e del remitente no es la del usuario del equipo infectado sino que el gusano la obtiene de las direcciones que encontró en el equipo infectado. Se ha detectado que MyDoom.A también se propaga a través de redes compartidas peer-to-peer como Kazaa. El gusano realiza ataques de negación de servicio (DoS-Denial of Service) contra el sitio www.sco.com, si la fecha del sistema es 1-Feb-2004 o posterior. El gusano detiene el ataque el 12-Feb-2004. Sin embargo, contiene capacidades de puerta trasera en el archivo SHIMGAPI.DLL que al actuar abre los puertos 3127 a 3198 para permitir a usuarios remotos el acceso y manipulación del sistema infectado. El acceso remoto es permitido aún después del 12-Feb-2004.
UPDATE 28-Ene-2004: Se ha detectado una nueva variante llamada MyDoom.B que se está esparciendo de forma rápida entre las computadoras. Esta variante intenta ejecutar un ataque distribuido de negación de servicio (DDoS-Distributed Denial of Service) contra Microsoft.com y está enviando correos-e con datos aleatorios, disfrazando la dirección de correo-e del remitente usando los dominios aol.com, msn.com, yahoo.com y hotmail.com. 

El asunto del correo-e con el gusano puede ser:

* Delivery Error
* hello
* Error
* Mail Delivery System
* Mail Transaction Failed
* Returned mail
* Server Report
* Status
* Unable to deliver the message

El mensaje puede incluir cualquiera de los siguientes textos:

* RANDOMIZED CHARACTERS
* test
* The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
* sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received
* The message contains Unicode characters and has been sent as a binary attachment.
* The message contains MIME-encoded graphics and has been sent as a binary attachment.
* Mail transaction failed. Partial message is available.

El archivo adjunto al correo-e infectado puede llamarse:

* body
* doc
* text
* document
* data
* file
* readme
* message

La extensión del archivo adjunto puede ser .exe, .bat, .scr, .cmd o .pif. Si es ejecutado, abre el Block de Notas de Windows (notepad.exe) y muestra datos binarios no entendibles (basura), haciendo creer al usuario que el archivo adjunto no tenía ningún sentido. Sin embargo, el gusano se ha activado y dado inicio a su rutina de infección, generando los archivos explorer.exe y dtfmon.dll en el directorio System de Windows. También modifica el Registro del sistema para asegurarse de ser ejecutado en cada inicio de Windows. El archivo dtfmon.dll es una puerta trasera que escanea el sistema buscando puertos por donde se pueda accesar de forma remota al sistema infectado. 

Para propagarse sobre redes P2P, Mydoom se copia en el directorio compartido KaZaA con nombres aleatorios, como:

* attackXP-1.26
* BlackIce_Firewall_Enterpriseactivation_crack
* MS04-01_hotfix
* NessusScan_pro
* icq2004-final
* winamp5
* xsharez_scanner
* zapSetup_40_148

La extensión de estos archivos puede ser .exe, .scr, .pif o .bat. El gusano recoge direcciones de correo-e de los archivos temporales de Internet localizados en el equipo infectado. Filtra las direcciones obtenidas, evitando las que contengan las palabras: abuse, accoun, certific, listserv, ntivi, icrosoft, admin, page, the.bat, gold-certs, feste, submit, help, service, privacy, somebody, soft, contact, site, rating, bugs, your, someone, anyone, nothing, nobody, noone, webmaster, postmaster, support, samples, info, root, ruslis, nodomai, mydomai, example, inpris, borlan, nai., sopho, foo., .mil, gov., .gov, panda, icrosof, syma, kasper, mozilla, utgers.ed, tanford.e, acketst, secur, isc.o, isi.e, ripe., arin., sendmail, rfc-ed, ietf, iana, usenet, fido, linux, kernel, google, ibm.com, fsf., mit.e, math, unix, berkeley y spam.
RECOMENDACIONES:  Asegurarse de usar un software antivirus y cuidar el mantenerlo actualizado con periodicidad. Sospechar de los archivos adjuntos de procedencia dudosa y no abrirlos, en particular los .exe o ejecutables. Asegurarse de que en los servidores de correo-e se examinen los archivos adjuntos y que los firewalls realicen filtrado de puertos y protocolos que no sean necesarios. Educar a los usuarios sobre el riesgo de los virus y establecer políticas de seguridad para su pabrir archivos adjuntos en correos-e, particularmente los ejecutables. Use un firewall personal en su computadora.   «Inicio de Página»

ALERTA DE SEGURIDAD 19-ENE-2004: WORM_ BAGLE.A, VIRUS DE RIESGO MEDIO. Un nuevo gusano informático de propagación masiva por correo-e se está esparciendo rápidamente. Se llama BAGLE.A y corre en Windows 95, 98, ME, NT, 2000 y XP. El gusano está ocasionando la interrupción al tráfico de servidores de correo-e en EE.UU. y Europa. BAGLE.A viaja en un correo-e con remitente, asunto y contenido formado aleatoriamente, y lleva adjunto un archivo tipo EXE, también con nombre aleatorio, que se presenta con el icono de la calculadora de Windows. Por ejemplo:

Subject: Hi
Message Body: Test =)
Bqkqcjenbjycliy
--
Test, yep.
Attachment: ltdm.exe

El remitente del correo-e es engañoso, ya que es seleccionado de forma aleatoria de las direcciones de correo-e que el gusano encontró en el equipo infectado. Al ejecutar el archivo adjunto en el correo-e malicioso, BAGLE.A realiza un escaneo del equipo infectado en busca de direcciones de correo-e en archivos con extensiones WAB, TXT, HTM y HTML para autoenviarse de forma masiva por correo-e utilizando su propio motor SMTP ( Simple Mail Transfer Protocol). Además, el gusano abre el puerto 6777/TCP en la computadora infectada para intentar conexiones con sitios web y permitir el acceso remoto, comprometiendo la seguridad del equipo infectado y de la red a la que se conecta. También modifica el Registro del sistema para ejecutarse en cada inicio de sesión. El gusano durará hasta el 28 de enero del 2004. 

UPDATE. 23-01-04: 2. La diseminación del virus ha sido atacada y actualmente el riesgo de dispersión es bajo. El gusano se copia en la carpeta del sistema Windows como BBEAGLE.EXE, que se ejecuta de forma oculta al usuario del equipo infectado. Evita enviar correos-e a direcciones con dominio @hotmail.com, @msn.com, @microsoft y @avp.
RECOMENDACIONES:  Actualizar el producto antivirus.   «Inicio de Página»

HTML_CITIFRAUD.A es un virus que explota una vulnerabilidad en Microsoft Internet Explorer (IE) que permite falsificar la dirección que aparece en el navegador para hacer creer al usuario infectado que se encuentra en determinado sitio web. Esta vulnerabilidad permite que un atacante construya un enlace de forma que al seleccionarlo el usuario visualice una URL concreta en la barra de direcciones de IE, cuando en realidad está visitando un sitio web diferente. Citifraud.A hace creer al usuario que accesa al sitio web de Citibank, lo cual es falso. El propósito del autor del código malicioso es obtener los números de tarjeta de crédito o débito y números confidenciales del usuario infectado, si logra engañarlo y tiene una cuenta con Citibank. Para robar la información, el virus redirecciona a los usuarios afectados a un sitio web que parece ser idéntico al auténtico sitio web de Citibank, pero que en realidad no es de Citibank. El virus solicita al usuario ingresar su número de tarjeta de crédito o débito y número confidencial. El código malicioso del virus está en el interior de un correo-e no solicitado y que se presenta como una notificación urgente de Citibank, supuestamente alertando sobre el bloqueo realizado de la cuenta para prevenir actividades de fraude. Invita a checar el saldo de la cuenta proporcionando el link del URL para ello. Y es aquí donde al hacer click, el usuario es llevado a un sitio web falso que se dice ser de Citibank y donde el usuario es requerido para que ingrese sus códigos de acceso, números de cuenta, número confidencial y otras credenciales. Los virus HTML utilizan scripts incrustados en archivos HTML para ocasionar el daño. Estos scripts se ejecutan de forma automática en el momento en que la página HTML es vista desde un navegador que tiene activado el uso de scripts.   «Inicio de Página»

WORM_BUGBROS.A es un gusano de correo masivo que se ejecuta en sistemas Windows 95/98/ME/NT/2000/XP. Se difunde vía Microsoft Outlook junto con un archivo anexo de nombre aleatorio. Bugbros envía una copia de sí mismo a support@microsoft.com y a todas las direcciones contenidas en la libreta de direcciones de Outlook en el equipo infectado. El correo-e hace referencia a una puerta trasera supuestamente descubierta de nombre W32.Bug.Gear.A e invita a ejecutar el archivo que lleva consigo para cerrar la puerta trasera y evitar ser atacado por hackers. Al ejecutarse, el gusano se copia en la carpeta C:\Windows\System32 con el nombre del archivo que lleva adjunto. También modifica el Registro del sistema para asegurar su ejecución en cada inicio de sesión.     «Inicio de Página»