Una vez en tu computador, el gusano busca el archivo ejecutable de Windows llamado "services.exe"
y luego pasa a formar parte de dicho código.
Luego se copia en la carpeta del sistema de Windows como un archivo del tipo "dll"
, se retitula con un nombre de entre 5 y 8 caracteres cómo "piftoc.dll"
, modifica el registro de Windows para finalmente ejecutar el archivo "dll"
infectado como un servicio del sistema.
Una vez que el gusano está instalado, crea un servidor HTTP, borra rastros de su instalación y comienza a bajar programas y archivos de sitios maliciosos.
Pero el Downadup tiene una inteligencia adicional, ya que usa un complicado algoritmo que genera miles de nombres de dominio diferentes cada día, como por ejemplo mphtfrxs.net,imctaef.cc,hcweu.org
, etc… pero sólo uno de ellos es válido y es el que realmente usa para conectarse a la nave madre. Esta estrategia hace casi imposible rastrear sus quehaceres.
Según F-Secure, la siguiente lista muestra la cantidad de IPs infectadas a nivel mundial
- China – 38.277
- Brasil – 34.814
- Rusia – 24.526
- India – 16.497
- Ukrania – 14.767
- Italia – 13.115
- Argentina – 11.675
- Corea – 11.117
- Rumania – 8.861
- EEUU – 3.958
- Reino Unido – 1,789
Links:
– The Downadup Worm Hits 3.5 Million (InformationWeek)
– Instrucciones y programa para eliminarlo en español (Symantec)
– Más ayuda y programas para eliminarlo en inglés (F-Secure)
– Programas Antivirus gratuitos: AVG Free – Avast! – ClamWin (código abierto)