|
VSantivirus No. 1761 Año 9, martes 3 de mayo de 2005
Nueva versión del Sober se reproduce masivamente
http://www.vsantivirus.com/03-05-05.htm
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Una nueva versión del Sober se está reproduciendo en forma masiva por Internet. El gusano comenzó a propagarse velozmente, pero gracias a la renovada Heurística Avanzada de NOD32 los usuarios de este antivirus estuvieron siempre protegidos contra esta amenaza.
NOD32 fue capaz de detectar automáticamente que se trataba de una versión modificada del gusano Sober, una de las familias de virus de mayor propagación de los últimos tiempos.
Inicialmente, el virus fue detectado por NOD32 como "probablemente gusano Sober modificado" y luego, desde la actualización de firmas, comenzó a detectarlo como Win32/Sober.O (Sober.P para otros fabricantes).
Como sus predecesores, este gusano se propaga principalmente a través del correo electrónico, utilizando su propio motor SMTP. De esta manera, puede enviar copias de si mismo a todas las direcciones encontradas en el equipo, independientemente del programa que el usuario infectado utilice.
Los mensajes infectados tienen un texto en inglés o alemán (los usuarios con Windows en español, reciben la versión en inglés), e incluyen un adjunto con extensión .ZIP. Dentro de este archivo, se incluye otro que al ser ejecutado, muestra un mensaje de error para confundir al usuario, haciéndole creer que no puede abrirse por estar dañado. Luego de ello, el gusano comienza con todas sus rutinas de infección y propagación.
Como versiones anteriores del Sober, el gusano utiliza un recurso que intentar evitar que los antivirus sean capaces de analizar los archivos infectados. Para ello, evita que un antivirus tradicional lo detecte, si antes no se finalizan todos los procesos en memoria.
VirusRadar.com, el sitio de estadísticas de Eset, reportó que en las primeras dos horas de vida del Sober.O, alrededor de 5,000 mensajes analizados contenían el gusano. Uno de cada cincuenta mensajes analizados por VirusRadar.com están infectados por este virus, al momento de publicación de este artículo (más de cien mil mensajes,
http://www.virusradar.com/stat_01_current/index_all_enu.html).
Aunque el gusano apela a tácticas de ingeniería social (en este caso, entre sus varios mensajes existe uno en alemán que ofrece entradas para el Campeonato Mundial de Fútbol FIFA 2006 a disputarse en Alemania), esta no es la razón principal para su propagación entre usuarios de habla hispana, sino la simple curiosidad que lleva a abrir adjuntos no solicitados.
Sobre NOD32
NOD32 sigue siendo el antivirus con mayor promedio de detección heurística en los virus analizados por Hispasec (España),
http://www.virustotal.com
Porcentaje de virus detectados solo con heurística (últimos 12 meses, incluido Sober.O):
NOD32
BitDefender
Norman
Panda
McAfee
F-Prot
AntiVir
DrWeb
Kaspersky
ClamAV
Sophos
Norton
eTrus-Iris
Trend Micro
|
85,71 %
64,29 %
64,29 %
50,00 %
35,71 %
21,43 %
20,00 %
16,67 %
15,38 %
14,29 %
14,29 %
9,09 %
0,00 %
0,00 %
|
Video Soft, empresa creadora del sitio VSAntivirus, es
distribuidor exclusivo en Uruguay del antivirus NOD32 (marca registrada de Eset). Más información:
http://www.nod32.com.uy/
Más información:
W32/Sober.O. Envía mensajes en inglés o alemán
http://www.vsantivirus.com/sober-o.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|