Sober (gusano informático)

Familia de gusanos informáticos

El gusano Sober es una familia de gusanos informáticos que se descubrió el 24 de octubre de 2003. Como muchos gusanos, Sober se envía como archivo adjunto en un correo electrónico , páginas web falsas, anuncios emergentes falsos y anuncios falsos.

El usuario debe descomprimir y ejecutar los gusanos Sober. Al ejecutarse, Sober se copia a sí mismo en uno de varios archivos del directorio de Windows, según la variante. Luego agrega las claves adecuadas al registro de Windows , junto con algunos archivos vacíos en el directorio de Windows. Estos archivos vacíos se utilizan para desactivar las variantes anteriores de Sober.

Sober está escrito en Visual Basic y solo se ejecuta en la plataforma Microsoft Windows .

Variantes conocidas

• Sobrio.L
• Sobrio.T
• Sobrio.X ^[1]
• Sobrio.Y
• Sobrio.Z

Alias

• CME-681
• GUSANO_SOBRE.AG
• W32/Sobrio-{XZ}
• Win32.Sober.W
• Win32.Sober.O
• Sober.Y (no es una variante, sino otro nombre para Sober.X, usado a menudo por F-Secure )
• S32/Sobrio@MMIM681
• W32/Sobrio.AA@mm

Plataformas afectadas

• Familia Microsoft Windows
  • Windows 95
  • Windows 98
  • Ventanas NT
  • Windows Me
  • Ventanas 2000
  • Windows XP
  • Servidor Windows 2003

Comportamiento

Infección

El usuario debe descomprimir y ejecutar los gusanos Sober. Al ejecutarse, Sober se copia a sí mismo en uno de los siguientes archivos del directorio de Windows:

• antiv.exe
• csrss.exe
• controlador.exe
• driverini.exe
• drv.exe
• explorador.exe
• archivo exe.exe
• hlp16.exe
• lssas.exe
• qname.exe
• servicios.exe
• smss.exe
• spoole.exe
• swchost.exe
• syshost.exe
• sistemachk.exe
• systemini.exe
• winchk.exe
• winlog32.exe
• winreg.exe

Luego, agrega las claves adecuadas al registro de Windows para garantizar la activación al iniciar Windows, junto con algunos archivos vacíos en el directorio de Windows. Estos archivos vacíos se utilizan para desactivar las variantes anteriores de Sober.

Desparramar

Sober puede enviarse mensajes de correo electrónico a todas las direcciones de la libreta de direcciones de correo electrónico de un usuario. Se propaga por correo electrónico utilizando su propio motor SMTP .

Desactivación del software de seguridad

Sober puede desactivar varios paquetes de software antivirus populares , así como Microsoft AntiSpyware y HijackThis .

Brotes

1. 24 de octubre de 2003 – Primer descubrimiento
2. 3 de marzo de 2005 – Sober.L
3. 14 de noviembre de 2005 – Sober.T
4. 15 de noviembre de 2005 – Sober.X

Brote del 21 de noviembre de 2005

Los mensajes de correo electrónico que contenían el gusano Sober X se enviaban a través de Internet camuflados como mensajes de correo electrónico del FBI o de la Agencia Central de Inteligencia , ambas organizaciones del gobierno de los Estados Unidos . El mensaje de correo electrónico afirmaba que el destinatario había sido sorprendido visitando sitios web ilegales y le pedía que abriera un archivo adjunto para responder algunas preguntas. Una vez que se abría el archivo adjunto infectado, se producían diversos eventos que dañaban el sistema: se desactivaban los antivirus y otras medidas de seguridad, así como la posibilidad de acceder a sitios web para solicitar ayuda; además, se enviaba un mensaje de correo electrónico idéntico a los contactos de la libreta de direcciones del usuario. También se sospecha que Sober.X funciona como software espía al robar información personal sobre el usuario infectado.

MessageLabs, una empresa de seguridad informática, detectó al menos tres millones de copias dentro de las 24 horas posteriores a la fuga, y McAfee , otra empresa de investigación de seguridad de sistemas, informó más de 70.000 casos del virus en computadoras de consumidores.

En Alemania circuló un correo electrónico similar. En él, que afirmaba haber sido enviado por el Bundeskriminalamt , se informaba a sus lectores de que habían sido sorprendidos descargando software " pirateado ". En un archivo adjunto se incluía Sober.X.

Motivaciones políticas

En mayo de 2005 apareció la variante Sober.Q. Mientras que las variantes anteriores parecían estar motivadas por fines comerciales o con malas intenciones, ésta fue la primera que pareció tener motivaciones políticas.

Otras variantes (como Sober.B) enviaban mensajes de correo electrónico con encabezados de asunto que también indicaban intenciones políticas, pero parecían estar diseñados para despertar el interés de la víctima, de modo que abriera el archivo adjunto del mensaje. Sober.Q no envía mensajes de correo electrónico con archivos adjuntos, sino que prefiere enlaces a sitios web sin virus.

Sober.Q se propagó por ordenador para enviar mensajes de apoyo a grupos de extrema derecha en Alemania en espera de las elecciones locales en el estado de Renania del Norte-Westfalia . La mayoría parecían ser de apoyo o directamente de parte del partido político alemán NPD (Partido Nacionalista de Alemania) con enlaces a su sitio web, así como a otras entradas del foro. Sin embargo, se desconoce si este virus se originó en el propio NPD, en simpatizantes del partido, en un grupo de piratas informáticos que intentaban culpar al partido o en un grupo que intentaba desacreditarlo.

De manera similar al incidente mencionado anteriormente, el virus Sober fue utilizado nuevamente en 2005 por un grupo alemán no identificado para enviar una amplia distribución de enlaces a diversos artículos y comentarios políticos. ^[2] La iniciativa parecía estar vinculada a las elecciones alemanas que se celebraron en la misma época. ^[3]

Referencias

1. "Sobrio". Wikidot.com . Wikidot . Consultado el 5 de septiembre de 2018 .
2. El spam político alemán se propaga a través de un virus, por Bob Sullivan, NBC News, 16/5/05.
3. Spam con todo tipo de información sobre las elecciones alemanas, por Alan Connor, artículo de opendemocracy.net, 23 de mayo de 2005.

Enlaces externos

• «Un virus circula en Internet camuflado en un correo electrónico del gobierno de Estados Unidos». Wikinoticias, 26 de noviembre de 2005.
• Artículo de noticias de la BBC