INTERNET Y TECNOLOGIA | POR ANDRES TAMBURI - ESET L.A.
Nuevos gusanos Sober buscan tomar desprevenidas a las compañías antivirus
Han aparecido hoy cuatro nuevas variantes del gusanos Sober, las cuales fueron detectadas por NOD32 reproduciéndose activamente por Internet.
Eset, proveedor global de protección antivirus de última generación, anunció hoy la aparición de cuatro nuevos gusanos de la familia Sober reproduciéndose por correo electrónico. Esto se produce mientras se realizan importantes eventos de seguridad informática en Washington (Estados Unidos) y en China.
NOD32 detectó las cuatro variantes bajo los nombre Win32/Sober.U, Win32/Sober.W , Win32/Sober.X y Win32/Sober.Y, gracias a su tecnología de heurística ThreatSense ®, lo cual garantizó una completa protección a sus usuarios desde el momento de aparición de los gusanos.
Como es costumbre dentro de esta familia, los mensajes pueden ser en alemán o en ingles, dependiendo de la dirección de correo electrónico a donde se envía. El malware analiza el país al que pertenece el dominio de la casilla de correo, y en base a ello, toma la decisión de que versión idiomática del mensaje enviar.
Los asuntos de los mensajes varían de acuerdo a la versión; en inglés los mismos son �Your email� y �Thanks for your registration�, mientras que en alemán son �Hi, Ich bin s�, �Ihre eMail!� y �Haben Sie diese EMail verschickt?�.
Los archivos adjuntos a estos mensajes tienen los siguientes nombres: reg_text.zip, Liste.zip, excel_table.zip, Tabelle.zip, registration.zip y Word-Text.zip.
Todos estos archivos contienen un ejecutable comprimido, que al ser abiertos liberan el verdadero código malicioso en el sistema infectado.
Los mensajes intentan hacer creer al usuario que está recibiendo una confirmación de una registración; otro de los mensajes parece provenir de un usuario que erróneamente recibió un mensaje nuestro con un archivo nuestro y lo reenvía consultando si es así o no. En alemán, los textos son similares, y su objetivo es hacer confiar al usuario en el archivo adjunto.
Si el usuario ejecuta el adjunto bajo Windows XP con Services Pack 2, el gusano modificará el archivo TCPIP.sys dejándolo inutilizable, y provocando que el usuario no puede conectarse a la red.
Además, impedirá la ejecución de la herramienta de eliminación de Microsoft, así como también, intentará detener el acceso a otras herramientas de limpieza y a software de diversas casas antivirus.
Descripciones en español con más detalles técnicos de estos nuevos gusanos pueden ser encontrados en EnciclopediaVirus.com.
Una particularidad que ha presentado la familia de gusanos Sober, es que sus lanzamientos coinciden con grandes eventos mundiales relacionados con seguridad informática y antivirus. En este caso, durante estos días se está llevando el evento CSI en Washington y otro de gran importancia en China, en dónde se congregan muchos de los mayores expertos y compañías antivirus. Anteriormente, el Sober.R había sido lanzado durante la primera jornada del evento de la organización Virus Bulletin (en Dublín, Irlanda, entre el 5 y 7 de Octubre), en la cual estuvieron presentes los más reconocidos especialistas de seguridad antivirus.
Con estos datos, se puede afirmar que el creador del virus Sober conoce a la perfección los movimientos mundiales de seguridad informática, y los aprovecha para tratar de encontrar vulnerabilidades y debilidades dentro del funcionamiento de la compañía durante esos días. Gracias a que NOD32 detectó activamente estos nuevos gusanos sin necesidad de actualización, esto no ocasionó ningún problema a sus usuarios.
El código interno del gusano tiene comentarios escritos en alemán, por lo que puede suponerse que el autor reside en Alemania o Austria, pero no es nativo, dado que su alemán no es bueno.
Los niveles de propagación iniciales de este gusano han sido lo suficientemente altos como para anunciar a los usuarios de su existencia, a fin de que estén preparados. Se recomienda a los usuarios de Internet que chequeen que su antivirus esté actualizado para detectar esta nueva amenaza, y contar con un firewall que les permita protegerse de accesos desde la red.
© Eset, 2005
* * *
Acerca de Eset
Fundada en 1992 y con oficinas centrales en San Diego, California, Estados Unidos, Eset es una compañía global de soluciones de software de seguridad que provee protección de última generación contra virus informáticos.
El premiado producto antivirus de Eset, NOD32, asegura una máxima rendimiento de su red, detección mediante heurística avanzada, y soporte mundial gratuito.
NOD32 les da a los clientes corporativos el mayor retorno de la inversión (ROI) de la industria como resultado de una mayor productividad, bajo tiempo ocupado, y un uso mínimo de los recursos.
NOD32 mantiene más premios Virus Bulletin 100% que ningún otro producto antivirus disponible, detectando consistentemente todos los virus activos (�in-the-wild�) sin falsos positivos. Además, es uno de los pocos antivirus certificado en la detección de Spyware con el premio Checkmark.
El trabajo de Eset con grandes corporaciones como Canon, Dell y Microsoft le ha permitido entrar en el Fast 50 de Deloitte Technology por tres años consecutivos.
Eset es una compañía privada con oficinas en San Diego (Estados Unidos), Londres (Reino Unido), Praga (República Checa) y Bratislava (Eslovaquia).
