El pasado lunes comenzó la distribución de la enésima variante del
gusano Sober. Transcurridas las horas, lejos de cesar, el número de
mensajes infectados en tránsito aumenta considerablemente.
Los ratios alcanzados por el spam inicial son muy importantes, en
estos momentos están llegando muestras de manera constante, lo que
ha hecho saltar las alarmas de varias casas antivirus.
Sin embargo, es previsible que la propagación comience a disminuir,
ya que todos los antivirus lo detectan, y el gusano no incorpora
ninguna novedad destacable que lo diferencie del resto.
Tal vez el aspecto que más infecciones pueda provocar no es otro que
la ingeniería social, los mensajes que utiliza para intentar engañar
al usuario e inducirlo a que abra el archivo infectado. El factor
humano sigue siendo el principal talón de Aquiles.
Muchos no se podrán reprimir al recibir un mensaje del FBI o de la CIA
donde se le acusa de que su dirección IP ha sido registrada en más de
30 sitios webs ilegales, y le insten a contestar un cuestionario
adjunto.
Otras excusas que utiliza esta nueva variante de Sober son más
clásicas, como por ejemplo ver vídeos y fotos de las televisivas
Paris Hilton y Nicole Richie.
En el aspecto técnico la nueva variante de Sober no destaca en nada
especial respecto a sus antecesores, sigue las pautas de cualquier
gusano de correo similar: se copia en el directorio de Windows con
varios nombre, incluye las entradas pertinentes en la clave Run del
registro de Windows para asegurarse su ejecución en cada inicio de
sistema, recolecta direcciones de correo a las que enviarse buscando
en los archivos del sistema infectado con determinadas extensiones,
etc.
A efectos prácticos, la recomendación como siempre es mantener
actualizados los antivirus y no abrir archivos adjuntos que no se
han solicitado explícitamente.
En este caso concreto Sober llega como adjunto en un archivo ZIP
de unos 55,6KB, e incluye en su interior el ejecutable infectado
file-packed_datainfo.exe de 55,390 bytes.
Como más de uno habrá apreciado el ZIP no comprime el ejecutable.
Eso es debido a que el EXE original ya ha sido tratado con la
utilidad de compresión UPX.
El hecho de distribuir el gusano como ZIP no viene motivado por
comprimir su tamaño, sino que con toda probabilidad la intención
del creador es poder atravesar los filtros básicos que algunos
administradores tienen configurados en sus servidores de correo
para rechazar ejecutables atendiendo a su extensión.
bernardo@hispasec.com
Deja una respuesta