En estos últimos días estamos recibiendo numerosas consultas sobre
el aumento considerable de spam, en especial de mensajes con asuntos
y textos en alemán. El origen no es otro que la última versión de
Sober, cuyo autor ha programado para que, desde las máquinas
infectadas, realice envío masivo de mensajes con propaganda neonazi.
A diferencia de las variantes anteriores, Sober.q no es un gusano,
no es capaz de propagarse automáticamente enviándose por correo.
Ha sido descargado desde varias páginas webs e instalado en los
sistemas previamente infectados con su antecesor, el gusano Sober.P.
Recordemos que el gusano Sober.P tenía una rutina en su código que
se activaba a partir del 27/4/2005 y que consistía en intentar
descargar y ejecutar un archivo desde distintos servidores webs.
Sin embargo los servidores webs desde donde Sober.P intentaba
descargar el nuevo módulo han permanecido sin el archivo en cuestión
hasta este último fin de semana, cuando se ha detectado que el autor
o autores han publicado el ejecutable en las webs previstas.
El nuevo ejecutable, reconocido mayoritariamente por los antivirus
como Sober.Q, tiene como misión realizar spam enviando mensajes que
contienen enlaces a sitios webs con contenidos neonazi. El número
de máquinas infectadas previamente con el Sober.P que se han
actualizado con esta nueva versión es tal que está causando una
auténtica avalancha de spam distribuido.
Las buenas noticias son que Sober.Q mantiene una rutina en su código
que desactiva el envío de spam a partir del 23/05/2005. Las malas
noticias son que finaliza el envío masivo de mensajes para intentar
descargar y ejecutar otro archivo, ¿Sober.R?, del que se desconocen
sus propósitos.
Lo que queda claro es el poder que los creadores de malware obtienen
con el control de miles de sistemas infectados que pueden utilizar de
forma coordinada a su antojo. En esta ocasión ha sido spam, la próxima
tal vez sea un ataque DDoS contra un objetivo determinado, o la
propagación de nuevos gusanos, o la instalación de troyanos para
robar credenciales de acceso a servicios bancarios…
bernardo@hispasec.com
Deja una respuesta