Mydoom, también conocido como W32.MyDoom@putºmm, Novarg, MiMail.R y “Shimgapi”, es un gusano informático que afecta a Microsoft Windows. Fue visto por primera vez el 26 de enero de 2004. Se convirtió en el gusano de correo electrónico que más rápido se propagó (a partir de enero de 2004), superando los registros anteriores establecidos por el gusano Sobig y ILoveYou, un récord que a partir de 2016 aún no se ha superado.
Mydoom parece haber sido encargado por spammers de correo electrónico para enviar correo basura a través de ordenadores infectados. El gusano contiene el mensaje de texto “Andy, estoy haciendo mi trabajo, nada personal, lo siento”, lo que lleva a muchos a creer que al creador del gusano se le pagó por esto. Al principio, varias empresas de seguridad expresaron su creencia de que el gusano se originó a partir de un programador en Rusia. Se desconoce el autor real del gusano.
La anticipada cobertura especulativa sostenía que el único propósito del gusano era perpetrar un ataque distribuido de denegación de servicio contra SCO Group. El 25 por ciento de los hosts infectados de Mydoom.A atacaron a www.sco.com con una inundación de tráfico. Las conjeturas de la prensa especializada, impulsadas por las propias afirmaciones de SCO Group, sostenían que esto significaba que el gusano fue creado por un partidario de Linux o de código abierto en represalia por las polémicas acciones y declaraciones públicas de SCO Group contra Linux. Esta teoría fue rechazada inmediatamente por los investigadores de seguridad. Desde entonces, también ha sido rechazada por los agentes de la ley que investigan el virus, el cual atribuyen a bandas organizadas de delincuencia en línea.
El análisis inicial de Mydoom sugirió que se trataba de una variante del gusano Mimail, de ahí el nombre alternativo MiMail.R, lo que provocó la especulación de que las mismas personas eran responsables de ambos gusanos. Los análisis posteriores fueron menos concluyentes en cuanto al vínculo entre los dos gusanos.
Mydoom fue nombrado por Craig Schmugar, un empleado de la firma de seguridad informática McAfee y uno de los primeros descubridores del gusano. Schmugar eligió el nombre después de notar el texto “mydom” dentro de una línea del código del programa. Señaló: “Era evidente desde el principio que esto sería muy grande. Pensé que tener ‘Doom’ en el nombre sería apropiado.”
Mydoom se transmite principalmente por correo electrónico, apareciendo como un error de transmisión, con líneas de asunto como “Error”, “Sistema de entrega de correo”, “Prueba” o “Error de transacción de correo” en diferentes idiomas, incluyendo inglés y francés. El correo contiene un archivo adjunto que, si se ejecuta, reenvía el gusano a las direcciones de correo electrónico que se encuentran en archivos locales, tales como la libreta de direcciones del usuario. También se copia a la “carpeta compartida” de la aplicación de intercambio de archivos P2P KaZaA en un intento de propagarse de esa manera.
Mydoom evita apuntar direcciones de correo electrónico en ciertas universidades, como la de Rutgers, MIT, Stanford y la Universidad de California en Berkeley, así como ciertas empresas como Microsoft y Symantec. Algunos de los primeros informes afirmaron que el gusano evita todas las direcciones .edu, pero este no es el caso.
La versión original, Mydoom.A, describe como llevar dos cargas útiles:
- Una puerta trasera en el puerto 3127/tcp para permitir el control remoto de la PC subvertida (poniendo su propio archivo SHIMGAPI.DLL en el directorio system32 y lanzándolo como un proceso secundario del Explorador de Windows); esta es esencialmente la misma puerta trasera utilizada por Mimail.
- Un ataque de denegación de servicio contra el sitio web de la compañía SCO Group, programada para comenzar 1 de febrero de 2004. Muchos analistas de virus dudaban de si esta carga útil funcionaría realmente. Pruebas posteriores sugieren que funciona en solo el 25% de los sistemas infectados.
Una segunda versión, Mydoom.B, además de llevar las cargas originales, también se dirige a la página web de Microsoft y bloquea el acceso a los sitios de Microsoft y a los populares sitios de antivirus en línea, modificando el archivo hosts, bloqueando así las herramientas de eliminación de virus o actualizaciones de software antivirus. El bajo número de copias de esta versión en circulación significó que los servidores de Microsoft sufrieran pocos efectos negativos.
