El gusano Sober es una familia de gusanos informáticos que se descubrió el 24 de octubre de 2003. Como muchos gusanos, Sober se envía a sí mismo como un archivo adjunto de correo electrónico , páginas web falsas , anuncios emergentes falsos y anuncios falsos.
Los gusanos Sober deben ser desempaquetados y ejecutados por el usuario. Tras la ejecución, Sober se copia a sí mismo en uno de varios archivos en el directorio de Windows, dependiendo de la variante. Luego agrega las claves apropiadas al registro de Windows , junto con algunos archivos vacíos en el directorio de Windows. Estos archivos vacíos se utilizan para desactivar variantes anteriores de Sober.
Sober está escrito en Visual Basic y solo se ejecuta en la plataforma Microsoft Windows .
Variantes conocidas
- Sober.L
- Sober.T
- Sobrio.X [1]
- Sobrio.
- Sober.Z
Alias
- CME-681
- WORM_SOBER.AG
- W32 / Sober- {XZ}
- Win32.Sober.W
- Win32.Sober.O
- Sober.Y (no es una variante, sino otro nombre para Sober.X, utilizado a menudo por F-Secure )
- S32 / Sobrio @ MMIM681
- W32/Sober.AA@mm
Plataformas afectadas
Comportamiento
Infección
Los gusanos Sober deben ser desempaquetados y ejecutados por el usuario. Tras la ejecución, Sober se copia a sí mismo en uno de los siguientes archivos en el directorio de Windows: -
- antiv.exe
- csrss.exe
- driver.exe
- driverini.exe
- drv.exe
- explorer.exe
- filexe.exe
- hlp16.exe
- lssas.exe
- qname.exe
- services.exe
- smss.exe
- spoole.exe
- swchost.exe
- syshost.exe
- systemchk.exe
- systemini.exe
- winchk.exe
- winlog32.exe
- winreg.exe
Luego agrega las claves apropiadas al registro de Windows para asegurar la activación en el inicio de Windows, junto con algunos archivos vacíos en el directorio de Windows. Estos archivos vacíos se utilizan para desactivar variantes anteriores de Sober.
Propagar
Sober puede enviarse por correo electrónico a todas las direcciones de la libreta de direcciones de correo electrónico de un usuario. Se propaga por correo electrónico utilizando su propio motor SMTP .
Desactivación del software de seguridad
Sober puede desactivar varios paquetes de software antivirus populares , así como Microsoft AntiSpyware y HijackThis .
Brotes
- 24 de octubre de 2003 - Primer descubrimiento
- 3 de marzo de 2005 - Sober.L
- 14 de noviembre de 2005 - Sober.T
- 15 de noviembre de 2005 - Sober.X
21 de noviembre de 2005 brote
Los correos electrónicos que contenían el gusano Sober X se enviaron por Internet disfrazados de correo electrónico de la Oficina Federal de Investigaciones o de la Agencia Central de Inteligencia , ambas organizaciones del gobierno de los Estados Unidos . El correo electrónico afirmaba que el destinatario había sido sorprendido visitando sitios web ilegales y le pedía al usuario que abriera un archivo adjunto para responder algunas preguntas. Una vez que se abrió el archivo adjunto infectado, ocurrieron una variedad de eventos que dañaron el sistema: el antivirus y otras medidas de seguridad se desactivaron, así como la capacidad de acceder a sitios web para obtener ayuda; además, a los contactos de la libreta de direcciones del usuario se les envió un correo electrónico idéntico. También se sospecha que Sober.X funciona como software espía al robar información personal sobre el usuario infectado.
MessageLabs, una compañía de seguridad informática, capturó al menos tres millones de copias dentro de las 24 horas posteriores a la ruptura, y McAfee , otra firma de investigación de seguridad de sistemas, informó más de 70.000 casos del virus en las computadoras de los consumidores.
Un correo electrónico similar circuló en Alemania. Afirmando haber sido enviado por el Bundeskriminalamt , el correo electrónico decía a sus lectores que fueron sorprendidos descargando software " pirateado ". Sober.X se incluyó en un archivo adjunto.
Motivaciones politicas
En mayo de 2005 apareció la variante Sober.Q. Mientras que las variantes anteriores parecían estar motivadas por ganancias comerciales o por intenciones maliciosas, esta fue la primera en parecer políticamente motivada.
Otras variantes (como Sober.B) enviaron correos electrónicos con encabezados de asunto también indicaron una intención política, pero estos parecían estar diseñados para despertar el interés de la víctima, de modo que abriera el archivo adjunto del correo electrónico. Sober.Q no envía correos electrónicos con archivos adjuntos, sino que prefiere enlaces a sitios web sin virus.
Sober.Q se difundió en las computadoras para enviar mensajes de apoyo a los grupos de extrema derecha en Alemania a la espera de las elecciones locales en el estado de Renania del Norte-Westfalia . La mayoría parecía apoyar o directamente del partido político alemán NPD (Partido Nacionalista de Alemania) con enlaces a su sitio web, así como a otras entradas del foro. Sin embargo, se desconoce si este virus se originó en el propio NPD, los partidarios del partido, un grupo de piratas informáticos que intentaba culpar al partido o un grupo que intentaba desacreditar al partido.
Al igual que en el incidente anterior, el virus Sober fue utilizado nuevamente en 2005 por un grupo alemán no identificado para enviar una amplia distribución de enlaces a varios artículos y comentarios políticos. [2] El esfuerzo parecía estar relacionado con las elecciones alemanas en el mismo período de tiempo. [3]
Referencias
- ^ "Sobrio" . Wikidot.com . Wikidot . Consultado el 5 de septiembre de 2018 .
- ^ Spam político alemán propagado por virus , por Bob Sullivan, NBC News, 16/05/05.
- ^ Spam con todo en la elección de Alemania , por Alan Connor, artículo de opendemocracy.net, 23 de mayo de 2005.
enlaces externos
- " El virus de Internet circula disfrazado de correo electrónico del gobierno de Estados Unidos ". Wikinews, 26 de noviembre de 2005.
- Artículo de noticias de la BBC