PandaLabs ha detectado la aparición de Sober.AH, una nueva variante de la archiconocida familia de gusanos de correo electrónico que ha comenzado a provocar numerosas incidencias en equipos de usuarios de todo el mundo. De hecho, este malware ya es uno de los virus más frecuentemente detectados por la solución antivirus online Panda ActiveScan.
Según Luis Corrons, director de PandaLabs: “después de muchos intentos, los autores de los Sober están consiguiendo su objetivo de la forma más fácil: empleando la ingeniería social. Es un hecho que cada vez que un código malicioso utiliza algún mensaje que pueda resultar interesante para los usuarios, consigue propagarse a un gran número de equipos. El uso de tecnologías proactivas capaces de determinar si un mensaje de correo electrónico contiene o no un código malicioso desconocido hasta ese momento, evita que el usuario tenga que decidir por sí mismo si debe o no abrirlo, con el riesgo que esto conlleva”.
Una de las razones del “éxito” de esta nueva variante reside en que este gusano emplea técnicas de ingeniería social, tratando de engañar a los usuarios para que ejecuten los archivos que contienen el código del virus. Así, entre otras opciones, Sober.AH puede llegar al ordenador como un archivo adjunto a mensajes de correo electrónico que simulan ser comunicaciones del FBI, advirtiendo al usuario de que ha accedido a direcciones ilegales de Internet. Por otra parte, tiene la capacidad de enviarse en mensajes de correo electrónico que pueden estar escritos en inglés o en alemán, dependiendo de la dirección del destinatario.
Los mensajes de correo electrónico que contengan Sober.AH tienen características muy variables, ya que tanto el asunto, como el texto o el nombre del archivo adjunto son escogidos a partir de varias listas de opciones. Las mismas pueden ser consultadas en la Enciclopedia de Panda Software.
En caso de que el usuario ejecute un archivo infectado con Sober.AH se mostrará una ventana con un falso mensaje de error. Sin embargo, lo que el gusano estará haciendo en ese momento es enviarse a todas las direcciones de correo electrónico que puedan encontrarse en un gran número de archivos del sistema. Para este fin, comprueba los dominios de las direcciones recogidas conectándose a distintos servidores de DNS públicos, al tiempo que detecta la hora y la fecha, conectándose a varios servidores NTP.
Las tecnologías de protección proactiva TruPreventTM han detectado y bloqueado a Sober.AH sin conocerlo con anterioridad y, por tanto, sin necesidad de actualizaciones. Por ello, los equipos que disponen de ellas han estado protegidos desde el mismo momento en que esta amenaza hizo aparición. Los clientes de Panda Software que aún no disponen de las Tecnologías TruPreventTM tienen disponibles las actualizaciones para instalarlas junto con su antivirus y estar, así, protegidos de forma preventiva frente a virus e intrusos desconocidos. Para más información sobre las Tecnologías TruPreventTM ingrese aquí.
Según Luis Corrons, director de PandaLabs: “después de muchos intentos, los autores de los Sober están consiguiendo su objetivo de la forma más fácil: empleando la ingeniería social. Es un hecho que cada vez que un código malicioso utiliza algún mensaje que pueda resultar interesante para los usuarios, consigue propagarse a un gran número de equipos. El uso de tecnologías proactivas capaces de determinar si un mensaje de correo electrónico contiene o no un código malicioso desconocido hasta ese momento, evita que el usuario tenga que decidir por sí mismo si debe o no abrirlo, con el riesgo que esto conlleva”.
Una de las razones del “éxito” de esta nueva variante reside en que este gusano emplea técnicas de ingeniería social, tratando de engañar a los usuarios para que ejecuten los archivos que contienen el código del virus. Así, entre otras opciones, Sober.AH puede llegar al ordenador como un archivo adjunto a mensajes de correo electrónico que simulan ser comunicaciones del FBI, advirtiendo al usuario de que ha accedido a direcciones ilegales de Internet. Por otra parte, tiene la capacidad de enviarse en mensajes de correo electrónico que pueden estar escritos en inglés o en alemán, dependiendo de la dirección del destinatario.
Los mensajes de correo electrónico que contengan Sober.AH tienen características muy variables, ya que tanto el asunto, como el texto o el nombre del archivo adjunto son escogidos a partir de varias listas de opciones. Las mismas pueden ser consultadas en la Enciclopedia de Panda Software.
En caso de que el usuario ejecute un archivo infectado con Sober.AH se mostrará una ventana con un falso mensaje de error. Sin embargo, lo que el gusano estará haciendo en ese momento es enviarse a todas las direcciones de correo electrónico que puedan encontrarse en un gran número de archivos del sistema. Para este fin, comprueba los dominios de las direcciones recogidas conectándose a distintos servidores de DNS públicos, al tiempo que detecta la hora y la fecha, conectándose a varios servidores NTP.
Las tecnologías de protección proactiva TruPreventTM han detectado y bloqueado a Sober.AH sin conocerlo con anterioridad y, por tanto, sin necesidad de actualizaciones. Por ello, los equipos que disponen de ellas han estado protegidos desde el mismo momento en que esta amenaza hizo aparición. Los clientes de Panda Software que aún no disponen de las Tecnologías TruPreventTM tienen disponibles las actualizaciones para instalarlas junto con su antivirus y estar, así, protegidos de forma preventiva frente a virus e intrusos desconocidos. Para más información sobre las Tecnologías TruPreventTM ingrese aquí.
Mayor información sobre esta vulnerabilidad: 