El ant¨ªdoto contra el virus 'Mydoom' se descarga de Internet

El virus Mydoom logr¨® el primero de sus objetivos: tumbar la web de la empresa SCO, que tiene planteados varios pleitos contra empresas usuarias del sistema operativo Linux de c¨®digo abierto.

Su segundo objetivo es Microsoft, a quien pretende atacar su sitio en Internet hasta el 1 de marzo. Microsoft y SCO han puesto precio a la cabeza de Mydoom y sus autores.

En cualquier caso, el virus inform¨¢tico se ha extendido por toda la red a una velocidad nunca vista ahora, aunque sus efectos nocivos a¨²n est¨¢n por calibrar.

Seg¨²n datos del Centro de Alerta Temprana sobre Virus y Seguridad Inform¨¢tica (CAT) y de la empresa antivirus Panda Software, uno de cada cinco mensajes en tr¨¢nsito por Espa?a son portadores de Mydoom, con m¨¢s de 400.000 ordenadores afectados.

Estas cifras superan las alcanzadas por Sobig.f, que en el mismo lapso de tiempo hab¨ªa infectado 350.000 m¨¢quinas y se encontraba presente en uno de cada 10 mensajes. Mydoom es el pat¨®geno de mayor explosividad conocido hasta ahora; pero, algunos de los virus hist¨®ricos, como Nimda, Magistr o Happy99, superan a Mydoom en prevalencia y n¨²mero de ordenadores contagiados.

Mydoom y sus mutaciones se propagan por Internet a trav¨¦s de dos v¨ªas. La principal, con mensajes generados y enviados por el especimen, suplantando la identidad de sus v¨ªctimas o de alguno de los contactos de su libreta de direcciones; los portadores son identificables, al tratarse de supuestos mensajes de error en la entrega de correo, acompa?ados de un adjunto de nombre variable ("DOCUMENT", "README", "TEXT"...).

La v¨ªa secundaria la constituye KaZaA, un programa de intercambio de ficheros interpares que permite a los internautas descargar m¨²sica, pel¨ªculas y aplicaciones del disco duro de otras personas conectadas a la Red. Mydoom se disfraza generando copias de su c¨®digo y ocult¨¢ndolas bajo nombres como "OFFICE_CRACK" o "STRIP-GIRL2", con el fin de hacerse pasar por programas. En ambas modalidades s¨®lo la interacci¨®n del internauta al ejecutar el archivo portador del virus es capaz de activar su propagaci¨®n.

En principio, inocuo

Mydoom rastrea archivos de texto, webs, bases de datos y libretas de direcciones, en busca de nuevos contactos a los que enviarse. Con su ciclo reproductivo completo, el virus abre los puertos de comunicaci¨®n comprendidos entre el 3127 y el 3198; estos canales hacen las veces de puerta trasera. Por ella, su autor puede acceder a las m¨¢quinas infectadas y sustraer informaci¨®n o ejecutar en ellas c¨®digo arbitrario, si bien Mydoom es a priori inocuo para la m¨¢quina.

El primer prop¨®sito del virus era un ataque masivo a www.sco.com y www.microsoft.com, programado para ser llevado a cabo ininterrumpidamente a lo largo de los 12 primeros d¨ªas de febrero. Con la web de SCO tuvo ¨¦xito. El domingo la tumb¨®.

El c¨®digo del gusano contiene instrucciones cifradas para enviar comandos en un bucle infinito contra su objetivo, con el fin de saturar el servidor en el que se aloja y provocar una denegaci¨®n de servicio, en un ataque llamado "legi¨®n zombi". Una cadena de texto encontrada entre el c¨®digo de una de sus mutaciones ("Andy, estoy haciendo mi trabajo, nada personal, lo siento") podr¨ªa entenderse como clave del m¨®vil del virus y de su cruzada contra los propietarios de sco.com, una promotora de aplicaciones para Unix. La identidad del autor ya tiene precio: m¨¢s de 400.000 euros, ofrecidos por Microsoft y SCO.

La prevenci¨®n es la mejor vacuna. Conviene extremar las precauciones al ejecutar ficheros adjuntos no solicitados o dudosos. Para los internautas afectados, el Centro de Alerta Temprana (CAT) ofrece un ant¨ªdoto.