Nuevos gusanos Sober buscan tomar desprevenidas a las compañías antivirus

Eset, proveedor global de protección antivirus de
última generación, anunció la aparición de cuatro nuevos gusanos de la familia Sober reproduciéndose por correo electrónico. Esto se
produce mientras se realizan importantes eventos de seguridad informática en Washington (Estados Unidos) y en China.

NOD32 detectó las cuatro variantes bajo los nombre Win32/Sober.U, Win32/Sober.W , Win32/Sober.X y Win32/Sober.Y, gracias a su
tecnología de heurística ThreatSense, garantizó una completa protección a sus usuarios desde el momento de aparición de los gusanos.

Como es costumbre dentro de esta familia, los mensajes pueden ser en alemán o en ingles, dependiendo de la dirección de correo
electrónico a donde se envía. El malware analiza el país al que pertenece el dominio de la casilla de correo, y en base a ello, toma
la decisión de que versión idiomática del mensaje enviar.

Los asuntos de los mensajes varían de acuerdo a la versión; en inglés los mismos son ?Your email? y ?Thanks for your registration?,
mientras que en alemán son ?Hi, Ich bin’s?, ?Ihre eMail!? y ?Haben Sie diese EMail verschickt??.

Los archivos adjuntos a estos mensajes tienen los siguientes nombres: reg_text.zip, Liste.zip, excel_table.zip, Tabelle.zip,
registration.zip y Word-Text.zip.

Todos estos archivos contienen un ejecutable comprimido, que al ser abiertos liberan el verdadero código malicioso en el sistema
infectado.

Los mensajes intentan hacer creer al usuario que está recibiendo una confirmación de una registración; otro de los mensajes parece
provenir de un usuario que erróneamente recibió un mensaje nuestro con un archivo nuestro y lo reenvía consultando si es así o no. En
alemán, los textos son similares, y su objetivo es hacer confiar al usuario en el archivo adjunto.

Si el usuario ejecuta el adjunto bajo Windows XP con Services Pack 2, el gusano modificará el archivo TCPIP.sys dejándolo
inutilizable, y provocando que el usuario no puede conectarse a la red.

Además, impedirá la ejecución de la herramienta de eliminación de Microsoft, así como también, intentará detener el acceso a otras
herramientas de limpieza y a software de diversas casas antivirus.

Descripciones en español con más detalles técnicos de estos nuevos gusanos pueden ser encontrados en EnciclopediaVirus.com.

Una particularidad que ha presentado la familia de gusanos Sober, es que sus lanzamientos coinciden con grandes eventos mundiales
relacionados con seguridad informática y antivirus. En este caso, durante estos días se está llevando el evento CSI en Washington y
otro de gran importancia en China, en dónde se congregan muchos de los mayores expertos y compañías antivirus. Anteriormente, el
Sober.R había sido lanzado durante la primera jornada del evento de la organización Virus Bulletin (en Dublín, Irlanda, entre el 5 y 7
de Octubre), en la cual estuvieron presentes los más reconocidos especialistas de seguridad antivirus.

Con estos datos, se puede afirmar que el creador del virus Sober conoce a la perfección los movimientos mundiales de seguridad
informática, y los aprovecha para tratar de encontrar vulnerabilidades y debilidades dentro del funcionamiento de la compañía durante
esos días. Gracias a que NOD32 detectó activamente estos nuevos gusanos sin necesidad de actualización, esto no ocasionó ningún
problema a sus usuarios.

El código interno del gusano tiene comentarios escritos en alemán, por lo que puede suponerse que el autor reside en Alemania o
Austria, pero no es nativo, dado que su alemán no es bueno.

Los niveles de propagación iniciales de este gusano han sido lo suficientemente altos como para anunciar a los usuarios de su
existencia, a fin de que estén preparados. Se recomienda a los usuarios de Internet que chequeen que su antivirus esté actualizado
para detectar esta nueva amenaza, y contar con un firewall que les permita protegerse de accesos desde la red.

NOD32-LA