Según informó hoy PandaLabs, el proceso de infección de estos códigos maliciosos no se hace de forma directa, sino a través de dos servidores llamados "19.xxor.biz" (en el caso de las variantes "S", "U" y "W"), e "irc.blackcarder.net", que es el empleado por la versión "V".

Una vez que estos virus entran en un equipo informático, el autor de los mismos puede controlar la máquina infectada. Uno de los principales peligros de estos códigos maliciosos reside en su capacidad para modificar el fichero "hosts" del sistema.

De esta manera, evitan que los usuarios puedan conectarse a las páginas web de determinados fabricantes de antivirus e imposibilitan la descarga de las actualizaciones necesarias para eliminar a los mencionados gusanos.

Para su propagación, aprovechan la conocida vulnerabilidad "LSASS" de Microsoft Windows, emplean recursos compartidos que estén protegidos por contraseñas fácilmente adivinables y utilizan el correo electrónico.

Para ello, envían mensajes adjuntando un fichero con extensión ".bat", ".exe", ".pif", ".scr" o ".zip" en el que se encuentra el código de Mytob. Este archivo puede tener nombres como "Data", "Doc", "Document", "File", "Readme", "Text" o "Body", entre otros.

ESCAPAN A LOS ANTIVIRUS

Además, las nuevas variantes de Mytob evitan enviarse a determinadas direcciones de correo electrónico, entre las que se incluyen algunas correspondientes a determinadas empresas antivirus, tratando de retrasar su detección por parte de las mismas.

Como viene siendo habitual últimamente, el autor o autores de estos gusanos tratan de poner en circulación un gran número de códigos maliciosos para aumentar la probabilidad de que una máquina puede verse afectada por alguna de ellas, a juicio de PandaLabs.

En este caso, en el que se trata de gusanos que permiten en control remoto de las máquinas afectadas, el objetivo parece ser la creación de una red de equipos que puedan ser controladas al mismo tiempo para difundir otros virus o enviar correo basura (spam) de forma masiva.