El gusano Sober ataca de nuevoWin32/Sober.L, la última versión de una de las familias de virus de mayor reproducción del 2004, fue detectada este lunes 7 de marzo. NOD32 fue capaz de detectarlo automáticamente a través de su Heurística Avanzada.
La nueva versión Sober.L del gusano, alcanzó niveles de propagación medios en algunos países en particular. La familia de gusanos Sober ha sido una de las que mayor propagación alcanzó durante el 2004.
Por ejemplo, el 21 de febrero de este año, fue detectada la versión K del gusano. Desde el primer día tuvo muy amplia propagación, alcanzando las primeras posiciones del ranking de virus más detectados de febrero.
La nueva variante tiene un nivel medio de propagación, y ya fueron recibidos una cantidad importante de reportes desde España, Alemania e Italia.
NOD32, es capaz de detectar esta nueva versión del Sober gracias a su Heurística Avanzada, por lo que los usuarios del antivirus de Eset estuvieron protegidos contra el gusano, aún antes de aparecer la actualización de las firmas de virus. Esto brindó una completa protección preventiva en las primeras horas desde la aparición del Sober.L.
El gusano Win32/Sober.L, tal como es detectado ahora por NOD32, se reproduce a través del correo electrónico utilizando su propio motor SMTP, y enviando un mensaje cuyo texto puede estar en inglés o alemán, lo que también caracteriza a otras variantes anteriores.
El mensaje contiene un archivo adjunto que, si es ejecutado, permite al gusano instalarse en el sistema y comenzar la recolección de direcciones de correo electrónico a las que luego se enviará. Sober evita enviarse a ciertas direcciones, algunas de ellas pertenecientes a fabricantes de antivirus.
Al momento de ejecutarse, el gusano abre una instancia del bloc de notas y muestra un texto que simula ser un error en la descompresión de un archivo ZIP.
Como versiones anteriores de la familia Sober, el gusano utiliza un recurso que busca evitar que los antivirus sean capaces de analizar los archivos infectados por él, evitando que un antivirus tradicional lo detecte y elimine, mientras no se pueda finalizar su proceso en memoria.
Para aquellos que no son usuarios de NOD32, Eset ha lanzado una herramienta especial de limpieza que permite eliminar el virus Sober en todas sus variantes, incluida esta última. La herramienta está disponible en la siguiente dirección:
W32/Sober.L. Envía mensajes en inglés o alemán
http://www.vsantivirus.com/sober-l.htmPublicado en:
http://www.vsantivirus.com/08-03-05a.htm