A pocas horas de detectarse esta nueva variante ya ha comenzado a provocar
numerosas incidencias en equipos de usuarios de todo el mundo. La firma
española Panda lanzó una "Alerta Naranja", a la vez que Sophos señalaba
que el 61% de los mensajes conteniendo códigos maliciosos eran fruto de este
código. Una de las razones del “éxito” de esta nueva variante reside en el
empleo de técnicas de ingeniería social, tratando de engañar a los usuarios para
que ejecuten los archivos que contienen el código del gusano. Así, entre otras
opciones, Sober.AH puede llegar al ordenador como un archivo adjunto a mensajes
de correo electrónico que simulan ser comunicaciones del FBI, advirtiendo al
usuario de que ha accedido a direcciones de Internet ilegales. El FBI,
concernido por esta avalancha de mensajes, ha advertido de la farsa a través de
un mensaje en su sitio Web. Por otra parte, el gusano tiene la capacidad de
enviarse en mensajes de correo electrónico que pueden estar escritos en inglés o
en alemán, dependiendo de la dirección del destinatario.
En cualquier caso, debe tenerse en cuenta que los mensajes de correo electrónico
conteniendo a Sober.AH tienen características muy variables, ya que tanto el
asunto, como el texto o el nombre del archivo adjunto son escogidos a partir de
varias listas de opciones
La nueva versión del gusano Sober llega adjunto en un mensaje
como el siguiente:
Estimado Señor/Señora:
Hemos localizado su dirección IP en más de 30 sitios Web ilegales.
Importante: por favor, responda a nuestras preguntas. Lista de preguntas
en el documento adjunto.
Atentamente,
Steven Allison
Federal Bureau of Investigation-FBI-
935 Pennsylvania Avenue, NW , Room 3220
Washington , DC 20535
Teléfono: (202) 324-30000
(En otras versiones el mensaje pretende provenir de la CIA) |
En caso de que el usuario ejecute un archivo conteniendo a Sober.AH se
mostrará una ventana con un falso mensaje de error. Sin embargo, lo que el
gusano estará haciendo en ese momento es enviarse a todas las direcciones de
correo electrónico que puedan encontrarse en un gran número de archivos del
sistema. A este fin, comprueba los dominios de las direcciones recogidas
conectándose a distintos servidores de DNS públicos, así como la hora y la
fecha, conectándose a varios servidores NTP. Además, el gusano finaliza procesos
que puedan estar ejecutándose en el sistema y que correspondan a determinadas
aplicaciones, entre las que se encuentran algunas soluciones de seguridad.
El objetivo de ello es dejar al ordenador desprotegido frente a
otros posibles ataques. Un dato importante es que, cuando finaliza un proceso,
se muestra una pantalla indicando que “no se han encontrado virus, troyanos o
spyware en el sistema”.
Según Luis Corrons, director de PandaLabs: “después de muchos intentos,
los autores de los gusanos Sober están consiguiendo su objetivo de la forma más
fácil: empleando la ingeniería social. Es un hecho que cada vez que un código
malicioso utiliza algún mensaje que pueda resultar interesante para los
usuarios, consigue propagarse a un gran número de equipos. El uso de tecnologías
proactivas capaces de determinar si un mensaje de correo electrónico contiene o
no un código malicioso desconocido hasta ese momento, evita que el usuario tenga
que decidir por sí mismo si debe o no abrirlo, con el riesgo que esto conlleva”.
"Esta variante del gusano Sober ha podido sorprender a los usuarios
desprevenidos cuando han abierto su correo esta mañana", comentó Annie Gay,
Directora General de Sophos Francia y Europa del Sur. "Generalmente, los
ciudadanos intentan ayudar a la policía en sus investigaciones, y no sería
extraño que algunos se preocupen al creer que han sido falsamente acusados de
visitar sitios Web ilegales y abran el documento adjunto. Los usuarios deben
recordar la importancia de hacer un uso responsable de Internet, y de mantener
automáticamente actualizada su protección antivirus". El FBI toma
iniciativa en la lucha contra este código
En unas declaraciones, el FBI ha pedido a los usuarios que reciban este email
que se lo comuniquen al Centro de Quejas contra el Crimen en Internet, www.ic3.gov.
"Cualquier persona que tenga información sobre la identidad del autor del gusano
Sober debería comunicarlo a las autoridades", continúa Annie Gay. "Este
criminal ha estado atacando los ordenadores de gente inocente desde hace ya casi
dos años y debe ser detenido".
|