Micromuse contra nuevas versiones de Mydoom Micromuse contra nuevas versiones de Mydoom
    En sus versiones S y R, suman tres las alertas de mediano riesgo provocadas por MyDoom en lo que va del año. La propagación genera un enorme incremento de la actividad en la red, lo que podría tener consecuencias no sólo para usuarios personales, sino en la estabilidad de los sistemas.

    Con la aparición en las versiones S y R de MyDoom, suman ya tres las alertas de mediano riesgo provocadas por el virus informático en lo que va del año y cuyos daños se han propagado principalmente en Asia y en Estados Unidos. Inicialmente fue identificado como una nueva familia a la que se le denominó Worm_Ratos.A, aunque poco después se le reconoció como la versión S de Mydoom. Para poder hacer frente a virus mutantes y resistentes como éste, Netcool de Micromuse puede ser la solución para las empresas que desean estar protegidas.

    Dicho gusano corre en Windows 95, 98, ME, NT, 2000 y XP, y en los primeros análisis se encontraron los siguientes efectos asociados a una infección:
    · Despliega una rutina de propagación masiva de correo electrónico hacia direcciones que encuentra en la libreta de éstas, en los archivos de la carpeta de archivos temporales de Internet y a partir de datos que obtiene de ciertas entradas del registro.
    · La propagación genera un enorme incremento de la actividad en la red, lo que podría tener consecuencias no sólo para usuarios personales, sino en la estabilidad de los sistemas.

    Durante los trabajos posteriores de análisis del código y comunicación cercana con clientes y la industria antivirus, se encontró que en realidad se trata de una variante de MYDOOM. Para evitar confusiones, este gusano será renombrado en un patrón de virus posterior, que se emitirá una vez que los riesgos para los clientes hayan sido controlados. Para disminuir y eliminar por completo la incertidumbre en las empresas, existen soluciones como Netcool de Micromuse que vigilan de extremo a extremo la seguridad en la red de la empresa.

    Después de instalarse en un sistema, este código malicioso deposita copias de sí mismo en la forma “%Windows%RASOR38A.DLL” y “%System%WINPSD.EXE”. Como en las versiones anteriores, se agrega una entrada en el registro que le permite ejecutarse en cada inicio del sistema. En la parte de asunto, el correo infectado dice "photos", en el cuerpo del mensaje LOL!;)))) y en el archivo adjunto: photos_arc.exe y adicionalmente descarga de Internet un componente de puerta trasera que es guardado como WINVPN32.EXE en la carpeta de Windows.