México, D. F.: En el Reporte de Virus de Trend Micro de la semana pasada, llamábamos la atención sobre el lanzamiento de la versión L de MYDOOM y se indicaba entonces que, sin haber causado daños graves, su aparición podría tener implicaciones en el contexto de la reedición de nuevos ejemplares de la familia BAGLE y un ataque muy intenso de SASSER en la India.
Sólo 3 días habían pasado luego de esa advertencia y el lunes a mediodía se detectaba WORM_MYDOOM.M, que de inmediato puso a prueba a los usuarios de Internet y su capacidad de identificar los menajes de correo electrónico legítimos de los que representan un riesgo en sus computadoras.
La nueva versión de MYDOOM replica su tradicional técnica de ingeniería social al disfrazarse de un mensaje de error producto, supuestamente, de un mensaje enviado previamente por quien lo recibe. Esta estrategia ha resultado muy eficiente, ya que todo usuario de correo electrónico necesita conocer de inmediato las causas por las que sus mensajes no han llegado a su destino. De esa manera garantiza que el usuario abra y ejecute el archivo adjunto, que pretendidamente contiene la explicación de su error, pero en realidad contiene el código que infectará su máquina.
Sin embargo, MYDOOM.M da un paso más en su programación para garantizar una mayor capacidad de propagación. A la acostumbrada cosecha de direcciones en archivos que residen en la computadora infectada, añade una rutina mediante la cual efectúa una búsqueda de direcciones legítimas en cuatro de los más populares buscadores de Internet: Lycos; Altavista, Yahoo y Google. De los resultados de esa búsqueda obtiene direcciones a las que hará llegar miles de mensajes de correo electrónico infectados.
Imagine el lector miles de computadoras infectadas con MYDOOM.M en todo el mundo, enviando miles de peticiones de información, adicionales a las ya de por sí abundantes que reciben estos cuatro buscadores. Esta nueva forma de obtener direcciones y la rápida propagación inicial del gusano, ocasionó que durante ese día los cuatro buscadores mostraran dificultades para acceder a ellos, con lo que podría considerarse un ataque de negación del servicio involuntario. Aseveramos que podría ser involuntario por que en caso de lograr la interrupción del servicio de esos buscadores, la eficiencia de la nueva estrategia se vería nulificada.
Hasta el cierre de este Reporte, MYDOOM.M se reproducía con rapidez en los Estados Unidos y Francia, pero su nivel de propagación se ha reducido significativamente en razón de una rápida reacción de las empresas de seguridad informática.
No obstante, la recomendación para los usuarios de correo electrónico es que guarden mucha cautela al abrir los mensajes de correo que reciben y sus datos adjuntos, incluso de los que parecen inofensivos mensajes de error. Un usuario debe estar totalmente seguro de que el mensaje de error que recibe es legítimo, verificando que la extensión de dicho archivo no sea ninguna de las que se indican en el contenido de este reporte.
