Cuatro nuevas variantes del gusano Sober irrumpen buscando la sorpresa
Noviembre 17, 05 by adminCuatro nuevas variantes del gusano Sober, bautizadas bajo los nombres Win32/Sober.U, Win32/Sober.W , Win32/Sober.X y Win32/Sober.Y fueron reportadas hace un par de dÃas. Como es costumbre dentro de esta familia, los mensajes pueden ser en alemán o en inglés, dependiendo de la dirección de correo electrónico a donde se envÃa. El malware analiza el paÃs al que pertenece el dominio de la casilla de correo, y en base a ello, toma la decisión de que versión idiomática del mensaje enviar.
Los asuntos de los mensajes varÃan de acuerdo a la versión; en inglés los mismos son “Your email” y “Thanks for your registration”, mientras que en alemán son “Hi, Ich bin’s”, “Ihre eMail!” y “Haben Sie diese EMail verschickt?”. Los archivos adjuntos a estos mensajes tienen los siguientes nombres: reg_text.zip, Liste.zip, excel_table.zip, Tabelle.zip, registration.zip y Word-Text.zip. Todos estos archivos contienen un ejecutable comprimido, que al ser abiertos liberan el verdadero código malicioso en el sistema infectado.
Los mensajes intentan hacer creer al usuario que está recibiendo una confirmación de una registración; otro de los mensajes parece provenir de un usuario que erróneamente recibió un mensaje nuestro con un archivo nuestro y lo reenvÃa consultando si es asà o no. En alemán, los textos son similares, y su objetivo es hacer confiar al usuario en el archivo adjunto.
Si el usuario ejecuta el adjunto bajo Windows XP con Services Pack 2, el gusano modificará el archivo TCPIP.sys dejándolo inutilizable, y provocando que el usuario no puede conectarse a la red. Además, impedirá la ejecución de la herramienta de eliminación de Microsoft, asà como también, intentará detener el acceso a otras herramientas de limpieza y a software de diversas casas antivirus.
Una particularidad que ha presentado la familia de gusanos Sober, es que sus lanzamientos coinciden con grandes eventos mundiales relacionados con seguridad informática y antivirus. En este caso, durante estos dÃas se está llevando el evento CSI en Washington y otro de gran importancia en China, en dónde se congregan muchos de los mayores expertos y compañÃas antivirus. Anteriormente, el Sober.R habÃa sido lanzado durante la primera jornada del evento de la organización Virus Bulletin (en DublÃn, Irlanda, entre el 5 y 7 de Octubre), en la cual estuvieron presentes los más reconocidos especialistas de seguridad antivirus.
Con estos datos, se puede afirmar que el creador del virus Sober conoce a la perfección los movimientos mundiales de seguridad informática, y los aprovecha para tratar de encontrar vulnerabilidades y debilidades dentro del funcionamiento de la compañÃa durante esos dÃas. El código interno del gusano tiene comentarios escritos en alemán, por lo que puede suponerse que el autor reside en Alemania o Austria, pero no es nativo, dado que su alemán no es bueno.
Los niveles de propagación iniciales de este gusano han sido lo suficientemente altos como para anunciar a los usuarios de su existencia, a fin de que estén preparados. Se recomienda a los usuarios de Internet que chequeen que su antivirus esté actualizado para detectar esta nueva amenaza, y contar con un cortafuego que les permita protegerse de accesos desde la red.
Más información sobre éstos gusanos en www.enciclopediavirus.com
