Virus y Troyanos

En la madrugada de hoy se ha descubierto una nueva variante del gusano Sober, reproduciéndose activamente en Internet.

06-10-2005 - Eset, proveedor global de protección antivirus de última generación, anunció hoy la aparición de un nuevo gusano de Internet que se reproduce por correo electrónico en mensajes en inglés y alemán.

El nuevo gusano es la variante R de la familia Sober, cuya primera versión apareció hace más de 2 años, y su autor aún no ha sido descubierto pese a que compañías como Microsoft han ofrecido recompensas.

El Win32/Sober.R, tal como NOD32 lo detecta actualmente, puede ser recibido en mensajes con textos en inglés o alemán, dependiendo de la dirección de correo electrónico a donde se envía. El gusano analiza el país al que pertenece el dominio de la casilla de correo, y en base a ello, decide qué versión del mensaje enviar.

El asunto del mensaje en inglés es “Your New Password”, mientras que la versión alemán tiene como asunto lo siguiente: “Fw: Klassentreffen”. El remitente es falso y creado en base a las direcciones encontradas en equipos infectados, pudiendo ser alguien conocido por el destinatario.

El nombre del archivo adjunto al mensaje también varía de acuerdo al idioma, pudiendo ser KlassenFoto.zip (alemán) o pword_change.zip (inglés). En el texto del mensaje se intenta hacer creer que la contraseña del destinatario ha sido cambiada y que en el adjunto encontrará información adicional.

Si el usuario abre el adjunto y lo ejecuta, el gusano mostrará un mensaje de error y se copiará en un directorio de Windows bajo el nombre services.exe, además de modificar el registro del sistema para funcionar desde el inicio del sistema operativo.

Además de usar ciertas técnicas de bloqueo interno para ser removido fácilmente, el gusano intentará detener los procesos de ciertas herramientas de desinfección manual de compañías antivirus y de seguridad.

Los usuarios infectados por el Win32/Sober.R pueden notar cierta lentitud en sus equipos, dado que revisa sus discos duros por versiones anteriores del Sober, para eliminarlos, además de recolectar direcciones de correo electrónico a dónde propagarse desde múltiples archivos.

NOD32, a través de su tecnología ThreatSense © fue capaz de detectar todas estas nuevas versiones de los gusanos automáticamente, sin necesidad de una actualización, gracias a su Heurística Avanzada. Esto protegió a sus usuarios desde un primer momento contra estas nuevas amenazas.

Una descripción en español con más detalles técnicos de este nuevo gusano puede ser encontrada en EnciclopediaVirus.com, donde también se ha publicado una herramienta de desinfección especial, para aquellos usuarios que no tengan NOD32 instalado y se hayan infectado.

El autor de la familia de gusanos Sober está muy informado de la industria antivirus y suele aprovechar ciertas ocasiones para lanzar nuevas versiones de sus códigos maliciosos. Consistentemente con esta tendencia, el gusano fue lanzado durante la primera jornada del evento de la organización Virus Bulletin (en Dublín, Irlanda, del 5 al 7 de Octubre), donde muchos de los más reconocidos especialistas en seguridad antivirus están reunidos actualmente.

Posiblemente, el autor busca con esto aprovechar un momento en que la atención de la industria antivirus está en este evento, a fin de aprovechar cualquier posible retraso en la actualización de los productos antivirus y la subsiguiente detección del Sober.R. Gracias a que NOD32 detectó activamente este nuevo gusano sin necesidad de actualización, esto no ocasiona ningún problema a sus usuarios.

El código interno del gusano tiene comentarios escritos en alemán, por lo que puede suponerse que el autor reside en Alemania o Austria, pero no es nativo, dado que su alemán no es bueno.

Los niveles de propagación iniciales de este gusano han sido lo suficientemente altos como para anunciar a los usuarios de su existencia, a fin de que estén preparados. Se recomienda a los usuarios de Internet que chequeen que su antivirus esté actualizado para detectar esta nueva amenaza, y contar con un cortafuego que les permita protegerse de accesos desde la red.

© Eset, 2005

Fuente; www.nod32-es.com