Esta semana millones de mensajes de correo electrónico infectados con Sober.AH se encontraban en circulación, siendo una de las amenazas más frecuentemente detectadas por Panda ActiveScan, solución antivirus online y gratuita de Panda Software. Entre las razones que explican su amplia difusión destaca la utilización, por parte de su autor, de técnicas de ingeniería social para atraer la atención del usuario y conseguir que éste abra el archivo que contiene al gusano. Entre los "ganchos" que utiliza la variante AH de Sober -en los e-mails en los que se envía- se encuentran textos alusivos a fotografías y vídeos de las actrices Paris Hilton y Nicole Richie, y otros que simulan ser comunicaciones del FBI o de la CIA que advierten de que se ha accedido a direcciones ilegales de Internet.

Sober.AH se propaga a través del correo electrónico, en mensajes de características variables que contienen un archivo comprimido en formato ZIP. Cuando el usuario ejecuta el citado fichero, este gusano afecta al PC, en el que muestra una ventana con un falso mensaje de error. Los textos que aparecen en los e-mails en los que se manda están escritos en alemán si la extensión del dominio de la dirección a la que se envían es: de (Alemania), ch (Suiza), at (Austria) o li (Liechtenstein). Si la dirección no contiene ninguna de las referidas extensiones, los textos estarán en inglés.

Sober.AH finaliza varios procesos, de los cuales algunos pertenecen a diversas herramientas de seguridad, en cuyo caso muestra el mensaje: "No viruses, Trojans or Spyware found! Status OK" ("No se han encontrado virus, troyanos o spyware. Estado OK"). Además, en el equipo al que afecta este gusano crea varios archivos, entre los que se encuentran SERVICES.EXE, CSRSS.EXE y SMSS.EXE, que son copias suyas. Cuando los dos últimos están ejecutándose, los procesos asociados a ellos aparecen como hijos del proceso perteneciente a SERVICES.EXE. De esta manera, éste se hace pasar por un proceso legítimo de Windows, con el objetivo de no levantar sospechas en los usuarios avanzados que consulten el listado de procesos.

La siguiente amenaza a la que nos referimos es Mitglieder.GB, troyano que el jueves empezó a propagarse rápidamente, especialmente en Europa, y superó a Sober.AH en el ranking de las amenazas más frecuentemente detectadas por Panda ActiveScan.

Mitglieder.GB no posee medios propios de propagación, por lo que debe ser distribuido de forma manual. Las muestras recibidas provienen de correos electrónicos con un asunto y cuerpo variables que incluyen un fichero -en formato ZIP-, que contiene una copia suya. Cuando este troyano es ejecutado, abre el visor de imágenes predeterminado de Windows y muestra una imagen con el logotipo del citado sistema operativo. Tras su instalación en un equipo, cada cuatro horas Mitglieder.GB intenta descargar, a través de un script PHP y desde distintas páginas web, un archivo.

El segundo gusano que mencionamos en el informe es Mops.A, que se propaga a través de los programas de mensajería instantánea Yahoo Messenger y AOL Instant Messenger. Para ello, se envía en mensajes que contienen un enlace. Si el usuario pincha sobre él, se descarga un archivo RAR auto-extraíble, que contiene varios ficheros que pertenecen a Mops.A, al gusano Sdbot.FAR y a una barra de herramientas para Internet Explorer.

Finalizamos el presente informe con SpyMon, que pertenece a la categoría de programa potencialmente no deseado y permite controlar -de forma remota- otros ordenadores. En la práctica, permite realizar varias acciones en los equipos que quedan bajo su control, como registrar las pulsaciones de teclado introducidas por el usuario, visualizar los procesos que están en ejecución y realizar capturas de pantalla.