|
VSantivirus No. 1964 Año 9, miércoles 23 de noviembre de 2005
La mayor oleada de Sober, invoca al FBI y a la CIA
http://www.vsantivirus.com/ev-23-11-05.htm
Por Enciclopedia Virus (*)
http://www.enciclopediavirus.com/
Una nueva variante del reincidente gusano Sober, utilizó mensajes que simulaban ser enviados por el FBI o la CIA para infectar equipos de usuarios incautos, utilizando spam masivo.
Detectado como Sober.Y por NOD32, tal vez se trate de la versión más propagada de este virus al momento actual. Cientos de miles de mensajes infectados ya circularon por Internet con esta variante del Sober, el gusano que hiciera su aparición en octubre de 2003.
El autor recurre a tácticas de spam para enviar una gran cantidad de mensajes infectados, de tal modo que los usuarios abran los adjuntos y se infecten. El gusano puede luego descargar y ejecutar otros archivos de Internet.
Esta vez se utilizó como engaño, un mensaje que simulaba haber sido enviado por la CIA o por el FBI, y en donde se advertía al usuario que su dirección IP "había sido registrada en más de 30 sitios ilegales", y se instaba a abrir el adjunto para responder una serie de preguntas sobre el tema.
Los remitentes de dichos mensajes, simulaban provenir de dominios auténticos del FBI y de la CIA. Estos son ejemplos de dichos mensajes:
De:
Office@fbi.gov <Office@fbi.gov>
Asunto: You visit illegal websites
Datos adjuntos: question_list.zip
Texto del mensaje:
Dear Sir/Madam,
we have logged your IP-address on more than
30 illegal Websites.
Important:
Please answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison
*** Federal Bureau of Investigation -FBI-
*** 935 Pennsylvania Avenue, NW, Room 3220
*** Washington, DC 20535
*** phone: (202) 324-3000
|
De:
Mail@cia.gov <Mail@cia.gov>
Asunto: You visit illegal websites
Datos adjuntos: question_list.zip
Texto del mensaje:
Dear Sir/Madam,
we have logged your IP-address on more than
30 illegal Websites.
Important:
Please answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison
++++ Central Intelligence Agency -CIA-
++++ Office of Public Affairs
++++ Washington, D.C. 20505
|
El nivel de propagación ha sido hasta el momento actual bastante alto. VirusRadar.com, el servicio estadístico de virus de Eset, reportó un total de más 235 mil mensajes infectados tan solo en las primeras horas de su aparición, el martes 22 de noviembre. Detectado como Win32/Sober.Y (una variante agregada a la base de datos de NOD32 desde el 18 de noviembre), el gusano tuvo un incremento del 5.049% (aproximadamente uno de cada 20 mensajes infectados).
Otras compañías elevaron sus niveles de alerta al máximo, debido a la oleada de mensajes con el Sober. Por ejemplo Symantec, llegó a tener su nivel de alerta en 5, máximo al que no se accedía desde la aparición del Zotob, en agosto de 2005.
Para muchos, se trató de la mayor ofensiva del gusano en los últimos meses. Por ejemplo MessageLabs reportó más de 3 millones de mensajes infectados.
Sober también envía sus mensajes en alemán a destinatarios con direcciones de correo relacionadas con dominios de ese país. En ese caso el mensaje menciona al German Bundeskriminalamt (BKA), la agencia nacional alemana de policía, símil del FBI norteamericano.
Los equipos infectados, pueden a su vez enviar nuevos mensajes a direcciones recolectadas en sus propios discos duros. El gusano genera varios procesos simultáneos para el envío del correo, lo que no solo genera una cantidad mayor de mensajes, sino que deteriora sensiblemente el rendimiento de los equipos infectados, un síntoma que puede poner sobre aviso a un usuario atento.
El FBI llegó a publicar en su sitio una declaración oficial donde informaba que los mensajes eran falsos. "Estos correos no vinieron del FBI, el FBI no envía correos electrónicos no solicitados", dice la página de la agencia.
El creador o creadores del Sober, todavía permanecen anónimos, aunque la policía alemana sospecha desde hace tiempo de que el autor reside en ese país. Gracias a sus investigaciones al respecto, las fuerzas del orden bávaras, advirtieron hace unos días la aparición de otra oleada de Sober que azotó Internet apenas una semana antes (el 15 de noviembre de 2005).
Ningún arresto relacionado con el gusano Sober ha sido realizado hasta el momento actual.
A diferencia de otros gusanos similares, que infectan una gran cantidad de máquinas para convertirlas en zombis y usarlas para divulgar más spam, el Sober no parece tener un motivo claro para su propagación. Aunque las primeras versiones tenían mensajes claramente neonazis, actualmente solo conservan la costumbre de enviarse en alemán o en inglés.
Más información:
Amenazas Actuales - Análisis de las Últimas 24 Horas
http://www.virusradar.com/stat_01_current/index_all_esn.html
Win32/Sober.Y worm
http://www.virusradar.com/stat_01_current/virus_0001_esn.html
FBI ALERTS PUBLIC TO RECENT E-MAIL SCHEME
http://www.fbi.gov/pressrel/pressrel05/emailscheme112205.htm
Sober.Y. Utiliza mensajes falsos del FBI y la CIA
http://www.vsantivirus.com/sober-y.htm
(*) Este artículo, original de Enciclopedia Virus
http://www.enciclopediavirus.com, es publicado en VSAntivirus.com con la respectiva autorización. Los derechos de republicación para su uso en otro medio, deberán solicitarse en
http://www.enciclopediavirus.com/contacto/index.php
Artículo original:
www.enciclopediavirus.com/noticias/verNoticia.php?id=596
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|