El antídoto contra el virus 'Mydoom' se descarga de Internet
Tras conseguir tumbar la página de la empresa SCO, está pensado para atacar Microsoft hasta el 1 de marzo
El virus Mydoom logró el primero de sus objetivos: tumbar la web de la empresa SCO, que tiene planteados varios pleitos contra empresas usuarias del sistema operativo Linux de código abierto.
Su segundo objetivo es Microsoft, a quien pretende atacar su sitio en Internet hasta el 1 de marzo. Microsoft y SCO han puesto precio a la cabeza de Mydoom y sus autores.
En cualquier caso, el virus informático se ha extendido por toda la red a una velocidad nunca vista ahora, aunque sus efectos nocivos aún están por calibrar.
Según datos del Centro de Alerta Temprana sobre Virus y Seguridad Informática (CAT) y de la empresa antivirus Panda Software, uno de cada cinco mensajes en tránsito por España son portadores de Mydoom, con más de 400.000 ordenadores afectados.
Estas cifras superan las alcanzadas por Sobig.f, que en el mismo lapso de tiempo había infectado 350.000 máquinas y se encontraba presente en uno de cada 10 mensajes. Mydoom es el patógeno de mayor explosividad conocido hasta ahora; pero, algunos de los virus históricos, como Nimda, Magistr o Happy99, superan a Mydoom en prevalencia y número de ordenadores contagiados.
Mydoom y sus mutaciones se propagan por Internet a través de dos vías. La principal, con mensajes generados y enviados por el especimen, suplantando la identidad de sus víctimas o de alguno de los contactos de su libreta de direcciones; los portadores son identificables, al tratarse de supuestos mensajes de error en la entrega de correo, acompañados de un adjunto de nombre variable ("DOCUMENT", "README", "TEXT"...).
La vía secundaria la constituye KaZaA, un programa de intercambio de ficheros interpares que permite a los internautas descargar música, películas y aplicaciones del disco duro de otras personas conectadas a la Red. Mydoom se disfraza generando copias de su código y ocultándolas bajo nombres como "OFFICE_CRACK" o "STRIP-GIRL2", con el fin de hacerse pasar por programas. En ambas modalidades sólo la interacción del internauta al ejecutar el archivo portador del virus es capaz de activar su propagación.
En principio, inocuo
Mydoom rastrea archivos de texto, webs, bases de datos y libretas de direcciones, en busca de nuevos contactos a los que enviarse. Con su ciclo reproductivo completo, el virus abre los puertos de comunicación comprendidos entre el 3127 y el 3198; estos canales hacen las veces de puerta trasera. Por ella, su autor puede acceder a las máquinas infectadas y sustraer información o ejecutar en ellas código arbitrario, si bien Mydoom es a priori inocuo para la máquina.
El primer propósito del virus era un ataque masivo a www.sco.com y www.microsoft.com, programado para ser llevado a cabo ininterrumpidamente a lo largo de los 12 primeros días de febrero. Con la web de SCO tuvo éxito. El domingo la tumbó.
El código del gusano contiene instrucciones cifradas para enviar comandos en un bucle infinito contra su objetivo, con el fin de saturar el servidor en el que se aloja y provocar una denegación de servicio, en un ataque llamado "legión zombi". Una cadena de texto encontrada entre el código de una de sus mutaciones ("Andy, estoy haciendo mi trabajo, nada personal, lo siento") podría entenderse como clave del móvil del virus y de su cruzada contra los propietarios de sco.com, una promotora de aplicaciones para Unix. La identidad del autor ya tiene precio: más de 400.000 euros, ofrecidos por Microsoft y SCO.
La prevención es la mejor vacuna. Conviene extremar las precauciones al ejecutar ficheros adjuntos no solicitados o dudosos. Para los internautas afectados, el Centro de Alerta Temprana (CAT) ofrece un antídoto.
