Nueva variante del Sober se propaga masivamente
Por Enciclopedia Virus (*)

Una nueva variante del gusano Sober fue detectada en la madrugada del 5 al 6 de octubre de 2005, reproduciéndose activamente en Internet. Además de usar ciertas técnicas de bloqueo interno para evitar ser removido fácilmente, el gusano intentará detener los procesos de varias herramientas de desinfección.

Eset, proveedor global de protección antivirus de última generación, anunció la aparición del nuevo gusano, el cuál se reproduce por correo electrónico a través de mensajes con textos en inglés y en alemán.

Se trata de un nuevo integrante de la familia Sober, cuya primera variante viera la luz hace más de 2 años. Al día de hoy, su autor aún no ha sido descubierto pese a que compañías como Microsoft han ofrecido jugosas recompensas.

El Win32/Sober.R, tal como NOD32 lo detecta actualmente, puede ser recibido en mensajes con textos en inglés o alemán, dependiendo de la dirección de correo electrónico a donde se envía. El gusano analiza el país al que pertenece el dominio de la casilla de correo, y en base a ello, decide qué versión del mensaje enviar.

El asunto del mensaje en inglés y otros idiomas que no sean el alemán, es "Your New Password", mientras que la versión germana tiene como asunto el texto "Fw: Klassentreffen".

En todos los casos el remitente es falso y creado en base a las direcciones encontradas en equipos infectados, pudiendo ser alguien conocido por el destinatario.

El nombre del archivo adjunto al mensaje también varía de acuerdo al idioma, pudiendo ser KlassenFoto.zip (alemán) o pword change.zip (inglés). En el texto del mensaje en inglés, se intenta hacer creer que la contraseña del destinatario ha sido cambiada y que en el adjunto encontrará información adicional.

Si el usuario abre el adjunto y lo ejecuta, el gusano mostrará un mensaje de error y se copiará en un directorio de Windows bajo el nombre "services.exe", además de modificar el registro del sistema para ejecutarse desde cada reinicio del sistema operativo.

Los usuarios infectados por el Win32/Sober.R pueden notar cierta lentitud en sus equipos, dado que éste examina sus discos duros en busca de versiones anteriores para eliminarlas, además de recolectar direcciones de correo electrónico a dónde propagarse desde múltiples archivos.

La navegación por Internet también se verá comprometida debido al envío masivo de correo que el gusano realiza.

NOD32, a través de su tecnología ThreatSense fue capaz de detectarlo automáticamente, sin necesidad de una actualización, gracias a su Heurística Avanzada. Esto protegió a los usuarios desde un primer momento contra estas nuevas amenazas. NOD32 brinda también una herramienta de desinfección especial, para aquellos usuarios que no tengan NOD32 instalado y se hayan infectado.

En el momento de publicar esta noticia (viernes 7 de octubre, 06:28 GMT), el servicio Virus Radar on line de NOD32, detecta un pico de 414 detecciones en poco menos de una hora, de una nueva variante del Win32/Sober, también detectada por la heurística de NOD32.

Aún cuando todavía no tenemos mayores detalles de la misma, seguramente se trate de una modificación del Sober.R.

El autor de la familia de gusanos Sober está muy informado de la industria antivirus y suele aprovechar ciertas ocasiones especiales para lanzar las nuevas versiones de sus códigos maliciosos.

Consistentemente con esta tendencia, el Sober.R fue lanzado durante la primera jornada del evento de la organización Virus Bulletin (en Dublín, Irlanda, del 5 al 7 de Octubre), donde se han reunido reconocidos especialistas en seguridad antivirus.

El código interno del gusano tiene comentarios escritos en un alemán no muy bueno, lo que podría indicar que el autor reside en Alemania o Austria, pero no es nativo de esos países.

(c) Video Soft
(c) VSAntivirus