Mydoom.AO

Mydoom.AO lleva a cabo las siguientes acciones:

• Afecta únicamente a ordenadores con Windows 2003/XP/2000/NT.
• Abre el puerto TCP 1034 y permanece a la escucha, actuando como un backdoor.
• Descarga de Internet un archivo denominado MODULELOG.PNG. En realidad, este archivo no es una imagen de tipo PNG, sino un archivo ejecutable correspondiente al backdoor Bck/Surila.J.
• Está programado para cerrar cualquier ventana activa que pertenezca a alguna de las siguientes clases de ventana:
  IEFrame (ventanas de Internet Explorer).
  rctrl_renwnd.
  ATH_Note.
• Se registra como un serviciode Windows para dificultar su localización por parte del usuario.
• Crea varios hilos de ejecución. El segundo de ellos es lanzado después de un retardo aleatorio con una prioridad que no ralentiza excesivamente al ordenador, de modo que no se levanten sospechas por parte del usuario.

Mydoom.AO es un gusano que únicamente afecta a ordenadores con Windows 2003/XP/2000/NT. Abre el puerto TCP 1034 y permanece a la escucha, actuando como un backdoor.

Mydoom.AO descarga de Internet un archivo denominado MODULELOG.PNG. En realidad, este archivo no es una imagen de tipo PNG, sino un archivo ejecutable correspondiente al backdoor Bck/Surila.J.

Mydoom.AO se propaga a través del correo electrónico, mediante un mensaje de características variables escrito en inglés que se hace pasar por un error en el envío de un mensaje. Con objeto de conseguir direcciones de correo a las que enviarse, este gusano busca en los archivosdel ordenador, pero también utiliza motores web de búsqueda.

Mydoom.AO utiliza buscadores web populares, como Google, Altavista, Yahoo y Lycos.

Adicionalmente, Mydoom.AO es capaz de evitar determinadas técnicas antispam, utilizadas comúnmente cuando se intenta proteger las direcciones de correo electrónico que están fácilmente visibles en Internet.

Mydoom.AO es difícil de reconocer a simple vista, ya que no muestra mensajes ni avisos que alerten sobre su presencia.