Sobig.F, el virus más rápido de la historia.
Por si fuera poco (nunca hay 2 sin 3), para complementar la aparición e infección masiva que han producido y siguen produciendo a día de hoy los gusanos Blaster y Nachi.A, aparece Sobig.F, el cual ya se ha ganado oficialmente el galardón al virus más rápido de la historia, y dicho trío el premio honorífico al peor ataque vírico sufrido en internet. Dicho virus es mucho más rudimentario que sus precesores, se transmite como archivo adjunto por e-mail, reenviándose a todas las direcciones de correo que la víctima guarde en su PC y utilizándola como »generador de spam», ahí el secreto de su alta y rápida propagación. ¿Cómo lo recibimos? ¿Cómo identificarlo? ¿Cómo evitarlo? ¿Cómo se propaga? ¿Cómo desinfectarnos? ¿Tiene fecha de caducidad? (Sigue leyendo)De hecho, en las últimas 24 horas este código malicioso acapara la práctica totalidad de las incidencias registradas en la red de detección del centro dependiente del Ministerio de Ciencia y Tecnología, ya que ha protagonizado 134.000 casos de contagio, el 94 por ciento del global.
Unidos a los 70.000 detectados en nuestro país en su primer día en la Red, la nueva variante de ‘Sobig’ es el virus más activo de la última semana, estando presente en cuatro de cada cinco correos infectados y siendo 7,5 veces más frecuente que el siguiente en la lista, el ‘Mimail’, y con una difusión más de veinte veces superior a la de ‘Klez.H’.
¿Cómo lo recibimos?
De la forma más normal y corriente: por el email como archivo adjunto de un mensaje sugerente.
¿Cómo identificarlo?
En la mayoría de los casos presenta una serie de rasgos idénticos o muy similares a los siguientes:
En el asunto del mensaje:
Re: That movie
Re: Wicked screensaver
Re: Your application
Re: Approved
Re: Re: My details
Re: Details
Your details
Thank you!
Re: Thank you!
Como nombre del archivo adjunto:
movie0045.pif
wicked_scr.scr
application.pif
document_9446.pif
details.pif
your_details.pif
thank_you.pif
document_all.pif
your_document.pif
Como cuerpo del mensaje:
See the attached file for details
Please see the attached file for details.
¿Cómo evitarlo?
Simplemente no ejecutando ninguno de los archivos adjuntos que acompañan al mensaje de propagación del virus. Lo mejor sin duda es disponer de un antivirus actualizado que ‘chequee’ los mensajes de correo en busca de posibles virus.
¿Cómo se propaga?
Lo primero que hace es copiarse en la carpeta Windows bajo los nombres de archivo winppr32.exe y winsst32.dat. También crea las siguientes claves en el registro de windows:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
TrayX = %WindowsDir%winppr32.exe/sinc
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
TrayX = %WindowsDir%winppr32.exe/sinc
Para propagarse a través del correo electrónico utiliza su propio motor SMTP y recolecta direcciones de email, las cuales serán posibles futuras víctimas, en todos los archivos *.DBX, *.HLP, *.MHT, *.WAB, *.EML, *.TXT, *.HTM y *.HTML que encuentra en el sistema infectado.
Así mismo, también se propaga a través de los recursos compartidos en la red donde haya alguna máquina afectada.
Su código contiene una lista de servidores a los que se conecta a través del puerto 8998/UDP para realizar posibles actualizaciones del mismo. Estas conexiones con el servidor las realiza los sábados y domingos entre las 7 y 10 P.M., según el horario UTC (Universal Time Coordinated).
¿Cómo desinfectarnos?
Automáticamente poseyendo un antivirus actualizado o manualmente borrando las entradas del registro y los archivos copiados en la carpeta Windows anteriormente nombrados.
¿Tiene fecha de caducidad?
Curiosamente, dicho gusano se encuentra programado para cesar y quedar totalmente inoperativo a partir del día 10 de septiembre.