Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

El gusano Sober: ¿desaparecido en acción?
 
VSantivirus No. 2010 Año 10, lunes 9 de enero de 2006

El gusano Sober: ¿desaparecido en acción?
http://www.vsantivirus.com/sober-090106.htm

Por Jose Luis Lopez (*)
videosoft@videosoft.net.uy


Al día de hoy, el anunciado "ataque masivo" del gusano Sober, parece haber quedado en el terreno de las promesas incumplidas.

Pero no solo no se ha producido la ola de descargas masivas que su código tiene previstas, sino que ha desaparecido totalmente de la lista de virus detectados, como se puede apreciar en el siguiente gráfico de Virus Radar on-line:

Sober.Y (Progreso de la cantidad total de virus)

La explicación es que el gusano poseía una rutina de desactivación en su código. Como se visualiza en el gráfico, exactamente a las 00:00 del 6 de enero, las máquinas infectadas dejaron de enviar los mensajes con el virus como adjunto.

Al mismo tiempo, se activó la rutina que permite al gusano descargar de diferentes sitios de Internet, un misterioso archivo que teóricamente es una nueva versión del Sober.

Las direcciones de estos sitios se crearon en el mismo momento de la activación de la rutina, con un algoritmo conocido por el autor del gusano. En teoría, eso le permitía crear dichos sitios y colocar en ellos los archivos a descargar, antes que los mismos fueran revelados.

Sin embargo, ninguno de los 45 sitios actualmente monitoreados están activos, y por lo tanto tampoco existe ningún archivo a descargar.

Una teoría al respecto, es que el autor puede haber desistido de su juego, tal vez presionado por la publicidad que se hizo de este hecho, o del temor a las represalias.

Sober nunca tuvo motivaciones económicas, como otros gusanos cuyo objetivo es crear extensas redes de máquinas zombis, solo para beneficiarse de forma monetaria con el envío masivo de spam.

En sus comienzos, el Sober tuvo motivaciones políticas, ya que sus textos contenían alusiones y enlaces a sitios neonazis. Las últimas solo apelaban a la ingeniería social para engañar al usuario a que abriera sus adjuntos (mensajes del FBI o la CIA, etc.)

La mayoría de los 45 sitios que fueron revelados con la activación del código, poseen dominios de Alemania y de Austria.

De todos modos, a pesar de que su rutina de propagación parece haberse detenido, las máquinas ya infectadas continuarán estándolo, y es posible que de acuerdo a lo hasta ahora conocido, dentro de dos semanas, y en forma cíclica, el gusano vuelva a intentar la descarga de archivos.

Aunque es poco probable que los sitios actualmente revelados puedan activarse, es bueno tener en cuenta esta posibilidad.

Quienes mantengan actualizados sus antivirus y sigan las reglas fundamentales de no abrir adjuntos no solicitados, sin importar quien los envía, tienen muy pocas posibilidades de ser infectados.


Relacionados:

Alerta sobre próxima oleada del gusano Sober
http://www.vsantivirus.com/04-01-05.htm

El próximo Sober atacaría el 5 de enero de 2006
http://www.vsantivirus.com/ev-sober-08-12-05.htm

Sober.Y. Utiliza mensajes falsos del FBI y la CIA
http://www.vsantivirus.com/sober-y.htm

Phishing, la amenaza de mayor propagación de 2005
http://www.vsantivirus.com/top10-virusradar-2005.htm


(*) Jose Luis Lopez es el responsable de contenidos de VSAntivirus.com, y director técnico y gerente general de NOD32 Uruguay.






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS