Sobig.F, el virus más rápido de la historia.

Por si fuera poco (nunca hay 2 sin 3), para complementar la aparición e infección masiva que han producido y siguen produciendo a día de hoy los gusanos Blaster y Nachi.A, aparece Sobig.F, el cual ya se ha ganado oficialmente el galardón al virus más rápido de la historia, y dicho trío el premio honorífico al peor ataque vírico sufrido en internet. Dicho virus es mucho más rudimentario que sus precesores, se transmite como archivo adjunto por e-mail, reenviándose a todas las direcciones de correo que la víctima guarde en su PC y utilizándola como ”generador de spam”, ahí el secreto de su alta y rápida propagación. ¿Cómo lo recibimos? ¿Cómo identificarlo? ¿Cómo evitarlo? ¿Cómo se propaga? ¿Cómo desinfectarnos? ¿Tiene fecha de caducidad? (Sigue leyendo)De hecho, en las últimas 24 horas este código malicioso acapara la práctica totalidad de las incidencias registradas en la red de detección del centro dependiente del Ministerio de Ciencia y Tecnología, ya que ha protagonizado 134.000 casos de contagio, el 94 por ciento del global.

Unidos a los 70.000 detectados en nuestro país en su primer día en la Red, la nueva variante de ‘Sobig’ es el virus más activo de la última semana, estando presente en cuatro de cada cinco correos infectados y siendo 7,5 veces más frecuente que el siguiente en la lista, el ‘Mimail’, y con una difusión más de veinte veces superior a la de ‘Klez.H’.

¿Cómo lo recibimos?

De la forma más normal y corriente: por el email como archivo adjunto de un mensaje sugerente.

¿Cómo identificarlo?

En la mayoría de los casos presenta una serie de rasgos idénticos o muy similares a los siguientes:

En el asunto del mensaje:

Re: That movie

Re: Wicked screensaver

Re: Your application

Re: Approved

Re: Re: My details

Re: Details

Your details

Thank you!

Re: Thank you!

Como nombre del archivo adjunto:

movie0045.pif

wicked_scr.scr

application.pif

document_9446.pif

details.pif

your_details.pif

thank_you.pif

document_all.pif

your_document.pif

Como cuerpo del mensaje:

See the attached file for details

Please see the attached file for details.

¿Cómo evitarlo?

Simplemente no ejecutando ninguno de los archivos adjuntos que acompañan al mensaje de propagación del virus. Lo mejor sin duda es disponer de un antivirus actualizado que ‘chequee’ los mensajes de correo en busca de posibles virus.

¿Cómo se propaga?

Lo primero que hace es copiarse en la carpeta Windows bajo los nombres de archivo winppr32.exe y winsst32.dat. También crea las siguientes claves en el registro de windows:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

TrayX = %WindowsDir%winppr32.exe/sinc

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

TrayX = %WindowsDir%winppr32.exe/sinc

Para propagarse a través del correo electrónico utiliza su propio motor SMTP y recolecta direcciones de email, las cuales serán posibles futuras víctimas, en todos los archivos *.DBX, *.HLP, *.MHT, *.WAB, *.EML, *.TXT, *.HTM y *.HTML que encuentra en el sistema infectado.

Así mismo, también se propaga a través de los recursos compartidos en la red donde haya alguna máquina afectada.

Su código contiene una lista de servidores a los que se conecta a través del puerto 8998/UDP para realizar posibles actualizaciones del mismo. Estas conexiones con el servidor las realiza los sábados y domingos entre las 7 y 10 P.M., según el horario UTC (Universal Time Coordinated).

¿Cómo desinfectarnos?

Automáticamente poseyendo un antivirus actualizado o manualmente borrando las entradas del registro y los archivos copiados en la carpeta Windows anteriormente nombrados.

¿Tiene fecha de caducidad?

Curiosamente, dicho gusano se encuentra programado para cesar y quedar totalmente inoperativo a partir del día 10 de septiembre.

Cargando...

Este sitio web utiliza cookies para mejorar su experiencia. Asumiremos que estás de acuerdo, pero puedes optar por no seguir si lo deseas. Aceptar Leer más