TECNO-MODEXTREME

jueves, noviembre 24, 2005

Avalancha de la nueva variante del gusano Sober

El pasado lunes comenzó la distribución de la enésima variante del gusano Sober. Transcurridas las horas, lejos de cesar, el número de mensajes infectados en tránsito aumenta considerablemente.

Los ratios alcanzados por el spam inicial son muy importantes, en estos momentos están llegando muestras de manera constante, lo que ha hecho saltar las alarmas de varias casas antivirus.

Sin embargo, es previsible que la propagación comience a disminuir, ya que todos los antivirus lo detectan, y el gusano no incorpora ninguna novedad destacable que lo diferencie del resto.

Tal vez el aspecto que más infecciones pueda provocar no es otro que la ingeniería social, los mensajes que utiliza para intentar engañar al usuario e inducirlo a que abra el archivo infectado. El factor humano sigue siendo el principal talón de Aquiles.

Muchos no se podrán reprimir al recibir un mensaje del FBI o de la CIA donde se le acusa de que su dirección IP ha sido registrada en más de 30 sitios webs ilegales, y le insten a contestar un cuestionario adjunto.

Otras excusas que utiliza esta nueva variante de Sober son más clásicas, como por ejemplo ver vídeos y fotos de las televisivas Paris Hilton y Nicole Richie.

En el aspecto técnico la nueva variante de Sober no destaca en nada especial respecto a sus antecesores, sigue las pautas de cualquier gusano de correo similar: se copia en el directorio de Windows con varios nombre, incluye las entradas pertinentes en la clave Run del registro de Windows para asegurarse su ejecución en cada inicio de sistema, recolecta direcciones de correo a las que enviarse buscando en los archivos del sistema infectado con determinadas extensiones, etc.

A efectos prácticos, la recomendación como siempre es mantener actualizados los antivirus y no abrir archivos adjuntos que no se han solicitado explícitamente.

En este caso concreto Sober llega como adjunto en un archivo ZIP de unos 55,6KB, e incluye en su interior el ejecutable infectado file-packed_datainfo.exe de 55,390 bytes.

Como más de uno habrá apreciado el ZIP no comprime el ejecutable. Eso es debido a que el EXE original ya ha sido tratado con la utilidad de compresión UPX.

El hecho de distribuir el gusano como ZIP no viene motivado por comprimir su tamaño, sino que con toda probabilidad la intención del creador es poder atravesar los filtros básicos que algunos administradores tienen configurados en sus servidores de correo para rechazar ejecutables atendiendo a su extensión.
Bernardo Quintero

(fuente: http://www.hispasec.com/unaaldia/2587 )