En la madrugada de ayer se ha descubierto una nueva variante del gusano Sober, reproduciéndose activamente en Internet.
Eset, proveedor global de protección antivirus de última generación, anunció hoy la aparición de un nuevo gusano de Internet que se reproduce por correo electrónico en mensajes en inglés y alemán.
El nuevo gusano es la variante R de la familia Sober, cuya primera versión apareció hace más de 2 años, y su autor aún no ha sido descubierto pese a que compañías como Microsoft han ofrecido recompensas.
El Win32/Sober.R, tal como NOD32 lo detecta actualmente, puede ser recibido en mensajes con textos en inglés o alemán, dependiendo de la dirección de correo electrónico a donde se envía. El gusano analiza el país al que pertenece el dominio de la casilla de correo, y en base a ello, decide qué versión del mensaje enviar.
El asunto del mensaje en inglés es “Your New Password”, mientras que la versión alemán tiene como asunto lo siguiente: “Fw: Klassentreffen”. El remitente es falso y creado en base a las direcciones encontradas en equipos infectados, pudiendo ser alguien conocido por el destinatario.
El nombre del archivo adjunto al mensaje también varía de acuerdo al idioma, pudiendo ser KlassenFoto.zip (alemán) o pword_change.zip (inglés). En el texto del mensaje se intenta hacer creer que la contraseña del destinatario ha sido cambiada y que en el adjunto encontrará información adicional.
Si el usuario abre el adjunto y lo ejecuta, el gusano mostrará un mensaje de error y se copiará en un directorio de Windows bajo el nombre services.exe, además de modificar el registro del sistema para funcionar desde el inicio del sistema operativo.
Además de usar ciertas técnicas de bloqueo interno para ser removido fácilmente, el gusano intentará detener los procesos de ciertas herramientas de desinfección manual de compañías antivirus y de seguridad.
Los usuarios infectados por el Win32/Sober.R pueden notar cierta lentitud en sus equipos, dado que revisa sus discos duros por versiones anteriores del Sober, para eliminarlos, además de recolectar direcciones de correo electrónico a dónde propagarse desde múltiples archivos.
NOD32, a través de su tecnología ThreatSense © fue capaz de detectar todas estas nuevas versiones de los gusanos automáticamente, sin necesidad de una actualización, gracias a su Heurística Avanzada. Esto protegió a sus usuarios desde un primer momento contra estas nuevas amenazas.
Una descripción en español con más detalles técnicos de este nuevo gusano puede ser encontrada en EnciclopediaVirus.com, donde también se ha publicado una herramienta de desinfección especial, para aquellos usuarios que no tengan NOD32 instalado y se hayan infectado.
El autor de la familia de gusanos Sober está muy informado de la industria antivirus y suele aprovechar ciertas ocasiones para lanzar nuevas versiones de sus códigos maliciosos. Consistentemente con esta tendencia, el gusano fue lanzado durante la primer jornada del evento de la organización Virus Bulletin (en Dublín, Irlanda, del 5 al 7 de Octubre), donde muchos de los más reconocidos especialistas en seguridad antivirus están reunidos actualmente.
Posiblemente, el autor busca con esto aprovechar un momento en que la atención de la industria antivirus está en este evento, a fin de aprovechar cualquier posible retraso en la actualización de los productos antivirus y la subsiguiente detección del Sober.R. Gracias a que NOD32 detectó activamente este nuevo gusano sin necesidad de actualización, esto no ocasiona ningún problema a sus usuarios.
El código interno del gusano tiene comentarios escritos en alemán, por lo que puede suponerse que el autor reside en Alemania o Austria, pero no es nativo, dado que su alemán no es bueno.
Los niveles de propagación iniciales de este gusano han sido lo suficientemente altos como para anunciar a los usuarios de su existencia, a fin de que estén preparados. Se recomienda a los usuarios de Internet que chequeen que su antivirus esté actualizado para detectar esta nueva amenaza, y contar con un firewall que les permita protegerse de accesos desde la red.
Acerca de Eset
Fundada en 1992 y con oficinas centrales en San Diego, California, Estados Unidos, Eset es una compañía global de soluciones de software de seguridad que provee protección de última generación contra virus informáticos.
El premiado producto antivirus de Eset, NOD32, asegura una máxima rendimiento de su red, detección mediante heurística avanzada, y soporte mundial gratuito.
NOD32 les da a los clientes corporativos el mayor retorno de la inversión (ROI) de la industria como resultado de una mayor productividad, bajo tiempo ocupado, y un uso mínimo de los recursos.
NOD32 mantiene más premios Virus Bulletin 100% que ningún otro producto antivirus disponible, detectando consistentemente todos los virus activos (“in-the-wild”) sin falsos positivos. Además, es uno de los pocos antivirus certificado en la detección de Spyware con el premio Checkmark.
El trabajo de Eset con grandes corporaciones como Canon, Dell y Microsoft le ha permitido entrar en el Fast 50 de Deloitte Technology por tres años consecutivos.
Eset es una compañía privada con oficinas en San Diego (Estados Unidos), Londres (Reino Unido), Praga (República Checa) y Bratislava (Eslovaquia).
Para más información, visite www.nod32-la.com