Foros ZackYFileS - Ver Mensaje Individual - Hilo recopilacion de informacion sobre virus

El Sober prepara su nuevo ataque

El lunes puede ser un mal día, aseguran algunos expertos. Y ello se debe a la acción de una de las últimas variantes del gusano Sober, que tiene planeada para ese día la descarga y ejecución de un nuevo código, aún desconocido.

Sober es un gusano que se propaga en mensajes electrónicos generalmente en alemán o en inglés. La versión "P" (Q para otros fabricantes), poseía una carga maliciosa oculta; la de descargar y ejecutar un componente troyano, que le permitió al autor tomar el control de todas las máquinas infectadas y utilizarlas como lanzaderas de spam (correo basura).

El resultado, ha sido una semana con un notorio aumento de correo no solicitado llegando a los buzones de todo el mundo. Los mensajes no poseen carga maliciosa (ni adjuntos ni troyanos ocultos), solo textos y enlaces de propaganda nazi.

Pero esta rutina se desactiva el 23 de mayo, momento en el cuál el propio gusano intentará ejecutar y descargar un nuevo archivo de sitios aún desconocidos.

Hasta el momento se ignora que clase de archivo o que tipo de acciones podría tomar el mismo. Podría ser otro troyano u otra variante del Sober. O podría ser usado para lanzar ataques de denegación de servicio a sitios de Internet, o llevar a cabo cualquier otra acción maliciosa.

Por la cantidad de spam monitoreado en los últimos días, es evidente que existe una gran cantidad de máquinas infectadas, las que actúan como zombis, creando lo que se denomina una "botnet", o sea una extensa red que actúa como un autómata ante las instrucciones de su creador.

Lo más preocupante por el momento, es la forma en que el autor del Sober ha ocultado la fuente del archivo que descargará el próximo lunes 23. Típicamente, los gusanos esconden en su código las direcciones IP a las que se conectan para descargar nuevos componentes, y los nombres de éstos. Normalmente es solo cuestión de tiempo para los investigadores descifrar este código y tomar las medidas para clausurar los sitios involucrados o hacer borrar los archivos, de común acuerdo con los proveedores de Internet.

Sin embargo, Sober.P utiliza un algoritmo mucho más sofisticado, de tal manera que la dirección final, estará formada a partir de valores generados casi al azar.

Cada 60 minutos, una especie de firma creada por la hora, minutos, segundos y fecha actual, sirve de base para crear otros valores de forma randómica. Como el autor del gusano conoce muy bien este algoritmo, puede utilizar los datos creados para finalmente generar una URL determinada en uno de cinco diferentes servicios de hosting que operan en Alemania y Austria. Él podría ya haber registrado esta URL en una o varias compañías de hospedaje, para luego subir al nuevo sitio el código que sería descargado y ejecutado este lunes por las máquinas ya infectadas.

El cambio cada una hora de los valores generados para identificar la dirección de descarga, hace que el ataque que pueda producirse este lunes tenga casi una completa impunidad. Aunque algunos lo han mencionado, podría decirse que es prácticamente imposible que los cinco servidores involucrados dejen de aceptar nuevos registros o de activar nuevos sitios en estos días.

El mayor problema aquí, es la cantidad de usuarios ya infectados que existen. Estos usuarios no utilizan antivirus o no los actualizan. Sober.P, como todos las otras variantes del gusano, fue identificada desde el comienzo por la heurística avanzada de NOD32. La detección proactiva de este antivirus, ha protegido siempre a sus usuarios aún antes de haberse creado la firma que lo identifica.

Este tipo de protección es hoy día algo fundamental para detener esta clase de amenazas, debido a que las mismas pueden variar de forma y contenido en cuestión de segundos, y el tiempo necesario para que un fabricante genere la actualización y la distribuya, aún cuando hablemos de minutos, es demasiado grande teniendo en cuenta la velocidad de propagación de un gusano.