A pocas horas de detectarse esta nueva variante ya ha comenzado a provocar numerosas incidencias en equipos de usuarios de todo el mundo. La firma española Panda lanzó una "Alerta Naranja", a la vez que Sophos señalaba que el 61% de los mensajes conteniendo códigos maliciosos eran fruto de este código.

Una de las razones del “éxito” de esta nueva variante reside en el empleo de técnicas de ingeniería social, tratando de engañar a los usuarios para que ejecuten los archivos que contienen el código del gusano. Así, entre otras opciones, Sober.AH puede llegar al ordenador como un archivo adjunto a mensajes de correo electrónico que simulan ser comunicaciones del FBI, advirtiendo al usuario de que ha accedido a direcciones de Internet ilegales. El FBI, concernido por esta avalancha de mensajes, ha advertido de la farsa a través de un mensaje en su sitio Web.

Por otra parte, el gusano tiene la capacidad de enviarse en mensajes de correo electrónico que pueden estar escritos en inglés o en alemán, dependiendo de la dirección del destinatario.

En cualquier caso, debe tenerse en cuenta que los mensajes de correo electrónico conteniendo a Sober.AH tienen características muy variables, ya que tanto el asunto, como el texto o el nombre del archivo adjunto son escogidos a partir de varias listas de opciones

En caso de que el usuario ejecute un archivo conteniendo a Sober.AH se mostrará una ventana con un falso mensaje de error. Sin embargo, lo que el gusano estará haciendo en ese momento es enviarse a todas las direcciones de correo electrónico que puedan encontrarse en un gran número de archivos del sistema. A este fin, comprueba los dominios de las direcciones recogidas conectándose a distintos servidores de DNS públicos, así como la hora y la fecha, conectándose a varios servidores NTP. Además, el gusano finaliza procesos que puedan estar ejecutándose en el sistema y que correspondan a determinadas aplicaciones, entre las que se encuentran algunas soluciones de seguridad.

El objetivo de ello es dejar al ordenador desprotegido frente a otros posibles ataques. Un dato importante es que, cuando finaliza un proceso, se muestra una pantalla indicando que “no se han encontrado virus, troyanos o spyware en el sistema”.

Según Luis Corrons, director de PandaLabs: “después de muchos intentos, los autores de los gusanos Sober están consiguiendo su objetivo de la forma más fácil: empleando la ingeniería social. Es un hecho que cada vez que un código malicioso utiliza algún mensaje que pueda resultar interesante para los usuarios, consigue propagarse a un gran número de equipos. El uso de tecnologías proactivas capaces de determinar si un mensaje de correo electrónico contiene o no un código malicioso desconocido hasta ese momento, evita que el usuario tenga que decidir por sí mismo si debe o no abrirlo, con el riesgo que esto conlleva”.

"Esta variante del gusano Sober ha podido sorprender a los usuarios desprevenidos cuando han abierto su correo esta mañana", comentó Annie Gay, Directora General de Sophos Francia y Europa del Sur. "Generalmente, los ciudadanos intentan ayudar a la policía en sus investigaciones, y no sería extraño que algunos se preocupen al creer que han sido falsamente acusados de visitar sitios Web ilegales y abran el documento adjunto. Los usuarios deben recordar la importancia de hacer un uso responsable de Internet, y de mantener automáticamente actualizada su protección antivirus".

El FBI toma iniciativa en la lucha contra este código

En unas declaraciones, el FBI ha pedido a los usuarios que reciban este email que se lo comuniquen al Centro de Quejas contra el Crimen en Internet, www.ic3.gov.

"Cualquier persona que tenga información sobre la identidad del autor del gusano Sober debería comunicarlo a las autoridades", continúa Annie Gay. "Este criminal ha estado atacando los ordenadores de gente inocente desde hace ya casi dos años y debe ser detenido".