MyDoom para niños
Mydoom, también conocido como el gusano de correo "Victorius" o "Shimgapi", es un tipo de programa informático malicioso llamado gusano informático. Fue detectado por primera vez el 26 de enero de 2004. Se convirtió en el gusano de correo electrónico que se propagó más rápido en su momento, superando récords anteriores. Hasta el año 2025, sigue siendo el gusano de correo electrónico de mayor propagación.
Se cree que Mydoom fue creado por personas que envían correos no deseados (conocidos como spammers) para usar los ordenadores infectados y enviar más correo basura. El gusano contenía un mensaje que decía: "Andy, estoy haciendo mi trabajo, nada personal, lo siento". Esto hizo que muchos pensaran que el creador del gusano había recibido un pago por hacerlo. Al principio, algunas empresas de seguridad pensaron que el gusano venía de un programador en Rusia. Sin embargo, el verdadero autor del gusano sigue siendo desconocido.
Algunas personas pensaron que el objetivo principal del gusano era realizar un ataque de denegación de servicio distribuido contra una empresa llamada SCO Group. Un 25% de los ordenadores infectados con Mydoom.A atacaron el sitio web de SCO Group con una gran cantidad de tráfico. Al principio, se especuló que el gusano fue creado por alguien que apoyaba a Linux o al código abierto, como una forma de protesta contra SCO Group. Sin embargo, los expertos en seguridad y las autoridades que investigaron el virus rechazaron esta idea. Ahora se cree que el gusgo fue obra de grupos de ciberdelincuencia organizada.
Al principio, se pensó que Mydoom era una versión de otro gusano llamado Mimail, por eso a veces se le llamó MiMail.R. Esto llevó a pensar que las mismas personas eran responsables de ambos gusanos. Sin embargo, análisis posteriores no fueron tan claros sobre la conexión entre los dos.
El nombre "Mydoom" fue elegido por Craig Schmugar, un empleado de la empresa de seguridad informática McAfee. Él fue uno de los primeros en descubrir el gusano. Schmugar notó la palabra "mydom" en el código del programa y pensó que "Doom" (que significa "condena" o "fatalidad") sería un nombre apropiado, ya que era evidente que el gusano sería muy grande.
Contenido
¿Cómo se propagó Mydoom?
Mydoom se extendía principalmente a través del correo electrónico. Aparecía como un mensaje de error de envío, con asuntos como "Error", "Sistema de entrega de correo", "Prueba" o "Error de transacción de correo", en varios idiomas. El correo incluía un archivo adjunto que, si se abría, hacía que el gusano se enviara a las direcciones de correo electrónico encontradas en el ordenador, como las de la libreta de direcciones. También se copiaba a la carpeta compartida de programas de intercambio de archivos P2P como Kazaa, para intentar propagarse de esa manera.
Mydoom evitaba enviar correos a ciertas universidades, como Rutgers, MIT, Stanford y la Universidad de California en Berkeley. También evitaba empresas como Microsoft y Symantec.
¿Cómo funcionaba Mydoom.A?
La versión original, llamada Mydoom.A, tenía dos funciones principales:
- Una "puerta trasera" en el puerto 3127/tcp. Esto permitía que el ordenador infectado fuera controlado a distancia. Esta puerta trasera era similar a la usada por el gusano Mimail.
- Un ataque de denegación de servicio contra el sitio web de la empresa SCO Group, programado para empezar el 1 de febrero de 2004. Aunque muchos expertos dudaban si este ataque funcionaría, pruebas posteriores mostraron que solo afectaba al 25% de los sistemas infectados.
¿Qué hizo Mydoom.B?
Una segunda versión, Mydoom.B, además de las funciones originales, también atacaba la página web de Microsoft. Bloqueaba el acceso a los sitios de Microsoft y a sitios populares de antivirus en línea. Lo hacía modificando el archivo hosts del ordenador, lo que impedía usar herramientas para eliminar el virus o actualizar el software antivirus. Como esta versión no se propagó mucho, los servidores de Microsoft no sufrieron grandes problemas.
Cronología de Mydoom
- 26 de enero de 2004: El virus Mydoom se detecta por primera vez. Los primeros mensajes vienen de Rusia. En pocas horas, la rápida propagación del gusano reduce el rendimiento de Internet en un 10% y hace que las páginas web tarden más en cargar. Las empresas de seguridad informática informan que Mydoom es responsable de uno de cada diez correos electrónicos. Aunque el ataque de denegación de servicio de Mydoom contra SCO Group estaba programado para el 1 de febrero, el sitio web de SCO Group se desconectó brevemente poco después del lanzamiento del gusano.
- 27 de enero: SCO Group ofrece una recompensa de 250.000 dólares por información que ayude a encontrar al creador del gusano. En Estados Unidos, el FBI y el Servicio Secreto comienzan a investigar el gusano.
- 28 de enero: Se descubre una segunda versión del gusano, Mydoom.B. Los primeros mensajes de Mydoom.B también parecen venir de Rusia. Esta nueva versión incluye el ataque original contra SCO Group y un ataque similar dirigido a
Microsoft.com
a partir del 3 de febrero de 2004. Mydoom.B también bloquea el acceso a los sitios web de más de 60 empresas de seguridad informática. - 29 de enero: La propagación de Mydoom empieza a disminuir. Microsoft ofrece 250.000 dólares de recompensa por información que lleve al creador de Mydoom.B.
- 1 de febrero de 2004: Se estima que un millón de ordenadores infectados por Mydoom en todo el mundo comienzan el ataque de denegación de servicio distribuido. SCO Group retira su sitio web del DNS para protegerse.
- 3 de febrero: El ataque de denegación de servicio de Mydoom.B contra Microsoft comienza. Microsoft se prepara ofreciendo un sitio web alternativo. El impacto del ataque es mínimo, y
www.microsoft.com
sigue funcionando. Esto se debe a que la versión Mydoom.B no se extendió mucho y los servidores de Microsoft tienen una alta capacidad. - 9 de febrero: Doomjuice, un gusano "parásito", comienza a propagarse. Este gusano usa la puerta trasera que dejó Mydoom para extenderse. No ataca ordenadores que no estén ya infectados. Su objetivo es un ataque de denegación de servicio contra Microsoft.
- 12 de febrero: Mydoom.A está programado para dejar de propagarse. Sin embargo, la puerta trasera que dejó abierta sigue funcionando.
- 1 de marzo: Mydoom.B también está programado para dejar de propagarse, pero su puerta trasera también permanece abierta.
- 26 de julio: Una versión de Mydoom ataca a Google, AltaVista y Lycos. La función del popular motor de búsqueda de Google se detiene casi por completo durante la mayor parte del día, y los motores AltaVista y Lycos también se vuelven lentos.
- 10 de septiembre: Aparecen las versiones MyDoom U, V, W y X, lo que genera preocupación sobre un posible nuevo y más potente MyDoom.
- 18 de febrero de 2005: Aparece la versión de MyDoom AO.
- Julio de 2009: MyDoom reaparece en julio de 2009 en ciberataques que afectan a Corea del Sur y Estados Unidos, renombrándose como Sadurum mixto.
Véase también
En inglés: Mydoom Facts for Kids