Los síntomas del virus Mydoom

December 14

Mydoom es un gusano de malware que afecta a los equipos que ejecutan en sistemas operativos Microsoft Windows. Se propaga principalmente a través de un archivo adjunto de correo electrónico que, una vez ejecutado, el gusano vuelve a enviar un correo electrónico a direcciones de la libreta de direcciones local. También se copia en la carpeta compartida del equipo para la transmisión a través de redes de intercambio de archivos peer-to-peer. El malware tiene dos propósitos principales: abrir una puerta trasera para PCs infectados para el control del sistema remoto y para lanzar ataques DDoS (denegación de servicio) contra sitios web específicos, por ejemplo, SCO Group, Microsoft. También bloquea el acceso a sitios de antivirus en línea para interferir con las herramientas de eliminación de virus o actualizaciones de software antivirus.

La recepción de correo electrónico

Mydoom llega como un archivo adjunto dentro un correo electrónico con una de las siguientes extensiones de archivo: .bat, .cmd, .exe, .pif, .scr o .zip. El correo electrónico se genera a partir de una dirección de correo electrónico al azar. El sujeto normalmente contiene un mensaje de error relacionados, incluyendo "Error de entrega", "Error", "Sistema de entrega de correo" o "Mail Transaction Failed". El cuerpo del mensaje normalmente indica que el mensaje "no se puede representar en la codificación ASCII de 7 bits y se ha enviado como un archivo adjunto binario" para animar al espectador a ejecutar el archivo adjunto.

Error de mensajes

Cuando se ejecuta el archivo adjunto, un cuadro de diálogo de error falso normalmente muestra, indica que no hay memoria suficiente para cargar el archivo. Bloc de notas también se abre con un archivo de texto lleno de caracteres sin sentido al azar.

La adición de Taskmon.exe

El gusano se copia en la carpeta del sistema de Windows con el nombre "taskmon.exe", seguido de una entrada correspondiente en el registro de Windows. Además, se creará una entrada de línea en el registro para que este archivo se ejecuta automáticamente en el arranque. Taskmon es un archivo legítimo dentro de 95/98 / sistemas operativos Windows Me, sino que se almacena en la carpeta de Windows en sí, no a la carpeta del sistema.

La adición de SHIMGAPI.DLL

El gusano también crea un archivo denominado "SHIMGAPI.DLL." Este es el archivo que toma el rol del servidor proxy, la apertura de los puertos de escucha en el rango de 3127 a 3198. Esta puerta trasera también permite un acceso completo a la computadora infectada y permite la descarga y ejecución de archivos arbitrarios según lo determinado por el hacker.

Existencia de Mydoom.exe

Compruebe si hay una copia del archivo ejecutable del gusano en su disco duro. El gusano se copia, por lo general bajo el nombre de "mydoom.exe" o "" mydom.exe, "en la carpeta temporal en un sistema infectado.