Daboweb

Nuevas variantes del gusano Sober

Publicado por Dabo on noviembre 16, 2005
Seguridad Informática
icovirus.gifReproducimos nota de prensa recibida de eset (nod32), en la que comunican la aparicion de cuatro (4) nuevas variantes del virus SOBER, (Sober U, Sober W, Sober X,  Sober Y) reproduciendose activamente por internet a traves del correo electronico…

Eset, proveedor global de protección antivirus de última generación, anunció
hoy la aparición de cuatro nuevos gusanos de la familia Sober reproduciéndose
por correo electrónico. Esto se produce mientras se realizan importantes
eventos de seguridad informática en Washington (Estados Unidos) y en China.

NOD32 detectó las cuatro variantes bajo los nombre Win32/Sober.U,
Win32/Sober.W , Win32/Sober.X y Win32/Sober.Y
, gracias a su tecnología de
heurística ThreatSense ®, lo cual garantizó una completa protección a sus
usuarios desde el momento de aparición de los gusanos.

Como es costumbre dentro de esta familia, los mensajes pueden ser en alemán
o en ingles, dependiendo de la dirección de correo electrónico a donde se
envía. El malware analiza el país al que pertenece el dominio de la casilla
de correo, y en base a ello, toma la decisión de que versión idiomática del
mensaje enviar.

Los asuntos de los mensajes varían de acuerdo a la versión; en inglés los
mismos son “Your email” y “Thanks for your registration”, mientras que en
alemán son “Hi, Ich bin’s”, “Ihre eMail!” y “Haben Sie diese EMail
verschickt?”.

Los archivos adjuntos a estos mensajes tienen los siguientes nombres:
reg_text.zip, Liste.zip, excel_table.zip, Tabelle.zip, registration.zip y
Word-Text.zip.

Todos estos archivos contienen un ejecutable comprimido, que al ser abiertos
liberan el verdadero código malicioso en el sistema infectado.

Los mensajes intentan hacer creer al usuario que está recibiendo una
confirmación de una registración; otro de los mensajes parece provenir de un
usuario que erróneamente recibió un mensaje nuestro con un archivo nuestro y
lo reenvía consultando si es así o no. En alemán, los textos son similares,
y su objetivo es hacer confiar al usuario en el archivo adjunto.

Si el usuario ejecuta el adjunto bajo Windows XP con Services Pack 2, el
gusano modificará el archivo TCPIP.sys dejándolo inutilizable, y provocando
que el usuario no puede conectarse a la red.

Además, impedirá la ejecución de la herramienta de eliminación de Microsoft,
así como también, intentará detener el acceso a otras herramientas de
limpieza y a software de diversas casas antivirus.

Descripciones en español con más detalles técnicos de estos nuevos gusanos
pueden ser encontrados en EnciclopediaVirus.com.

Una particularidad que ha presentado la familia de gusanos Sober, es que sus
lanzamientos coinciden con grandes eventos mundiales relacionados con
seguridad informática y antivirus. En este caso, durante estos días se está
llevando el evento CSI en Washington y otro de gran importancia en China, en
dónde se congregan muchos de los mayores expertos y compañías antivirus.
Anteriormente, el Sober.R había sido lanzado durante la primera jornada del
evento de la organización Virus Bulletin (en Dublín, Irlanda, entre el 5 y 7
de Octubre), en la cual estuvieron presentes los más reconocidos
especialistas de seguridad antivirus.

Con estos datos, se puede afirmar que el creador del virus Sober conoce a la
perfección los movimientos mundiales de seguridad informática, y los
aprovecha para tratar de encontrar vulnerabilidades y debilidades dentro del
funcionamiento de la compañía durante esos días. Gracias a que NOD32 detectó
activamente estos nuevos gusanos sin necesidad de actualización, esto no
ocasionó ningún problema a sus usuarios.

El código interno del gusano tiene comentarios escritos en alemán, por lo
que puede suponerse que el autor reside en Alemania o Austria, pero no es
nativo, dado que su alemán no es bueno.

Los niveles de propagación iniciales de este gusano han sido lo
suficientemente altos como para anunciar a los usuarios de su existencia, a
fin de que estén preparados. Se recomienda a los usuarios de Internet que
chequeen que su antivirus esté actualizado para detectar esta nueva amenaza,
y contar con un cortafuego que les permita protegerse de accesos desde la
red.

© Eset, 2005

Tags: , ,

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Puedes seguir nuestras actualizaciones vía RSS, en Facebook y también desde Twitter.