- Informe semanal sobre virus e intrusos - Virus Alerts, por Panda Software (http://www.pandasoftware.es)Madrid, 20 de agosto de 2004 - El presente informe sobre virus e intrusoscentra su atención en dos gusanos de la misma familia -Mydoom.S y Mydoom.R-,y en un backdoor íntimamente ligado a ellos: Surila.B.Las variantes S y R de Mydoom comparten, entre otras, las siguientescaracterísticas:- Se propagan a través del correo electrónico en un mensaje escrito eninglés, que tiene como asunto el texto "photos" e incluye un archivo adjuntollamado "PHOTOS_ARC.EXE". Cuando el usuario ejecuta el citado fichero,descargan y ejecutan un backdoor que Panda Software detecta como Surila.B.- Abren varios puertos y permanecen a la escucha, con el objetivo depermitir a un atacante acceder al ordenador afectado y realizar en élacciones (que comprometen la confidencialidad de los datos del usuario odificultan su trabajo).- Impiden que el usuario pueda acceder a las páginas web de determinadascompañías antivirus.- Crean el mutex 43jfds93872, para así asegurarse de que no hay más de unacopia suya ejecutándose simultáneamente.- Buscan -en los archivos cuya extensión sea: ADB, ASP, DBX, HTM, PHP, PL,SHT, TBB, TXT o WAB-, direcciones de correo. Si contienen determinadascadenas de texto, las citadas variantes de Mydoom les envían una copia suya,utilizando para ello su propio motor SMTP.Entre los elementos que diferencian a Mydoom.S de Mydoom.R destacan eltamaño del fichero que los contienen, y el del archivo RASOR38A.DLL (quecada uno de ellos crea en el equipo al que afectan).Terminamos el informe de hoy con Surila.B. Como se ha mencionadoanteriormente, se trata de un backdoor que descargan y ejecutan Mydoom.S yMydoom.R. Surila.B afecta a ordenadores con Windows 2003/XP/2000/NT, permitiendoacceder a ellos y realizar diversas acciones, como mandar spam falsificandola dirección de correo desde la que es enviado. Para ello, dispone de unalista de falsos nombres y apellidos, a los que une un dominio de correo quepuede ser uno de los siguientes: aol.com, gmx.net, hotmail.com, mail.com,msn.com, t-online.de, yahoo.co.uk y yahoo.com.Más información sobre éstas u otras amenazas informáticas en la Enciclopediade Panda Software, disponible en la dirección:http://www.pandasoftware.es/virus_info/enciclopedia/