SANTIAGO: Al analizar las primeras muestras del código malicioso que se recibieron en TrendLabs, los especialistas determinaron que se trata de una versión virtualmente idéntica a aquella modalidad MYDOOM.M, con la diferencia de que está comprimida con una herramienta diferente (MEW, en lugar de UPX), por lo que se decidió llamarle WORM_MYDOOM.BB.
Al incrementarse la actividad de este gusano, TrendLabs decidió lanzar la tercera Alerta Amarilla del año, para contener su propagación. La mayoría de los reportes iniciales fueron recibidos desde Singapur y los Estados Unidos. Afecta a plataformas Windows 95, 98, ME, NT, 2000 y XP.
Al igual que las versiones anteriores, MYDOOM.BB se propaga por correo electrónico con su propio motor SMTP, recabando las direcciones de sus víctimas de la libreta de direcciones de Windows, así como de los archivos que encuentra en la computadora infectada con ciertas extensiones.
Igualmente, cuando encuentra una dirección de correo electrónico, toma el nombre de dominio y consulta los siguientes motores de búsqueda para encontrar otras direcciones en esos mismos dominios: http://search.lycos.com, http://www.altavista.com, http://search.yahoo.com, http://www.google.com.
Este gusano tiene características de backdoor, dejando vulnerable a la PC infectada para que se pueda acceder a ella remotamente. Este componente de puerta trasera se activa como SERVICES.EXE en el directorio de Windows, el cual abre el puerto 1034 de TCP y espera por las conexiones externas. Esta rutina virtualmente le permite a un atacante externo tomar el control de la PC infectada.
