Una variante del virus "Sober" se propaga entre ordenadores tras recopilar las direcciones que guarda el usuario en su equipo

• Fecha de publicación: 7 de octubre de 2005
• Hora de publicación: 12:18

Quiero hacer un comentario

El virus "Sober.Y", que según su descubridor, PandaLabs, es una mutación del gusano "Sober", se extiende por los ordenadores de los usuarios con la utilización de técnicas de ingeniería social en correos enviados en inglés o alemán.

En el caso del correo escrito en inglés, que tiene como asunto "Your new password", simula ser una confirmación de cambio de clave e invita al usuario a comprobar los datos en un fichero adjunto, "pword_change.zip". En el segundo caso, el correo está escrito en alemán y aparenta ser una foto de compañeros de colegio que se adjunta en el fichero "KlassenFoto.zip". "Sober.Y" sólo utilizará el correo escrito en alemán en el caso de que las direcciones enviadas tengan extensión ".de" (Alemania), ".ch" (Suiza), ".at" (Austria), o bien ".li" (Liechtenstein).

Los ficheros comprimidos contienen al abrirlos el ejecutable "PW_Klass.Pic.packed-bitmap.exe", que no es más que una copia del propio gusano. De ejecutarse este fichero, se muestra un falso error de CRC, pese a que su acción ya ha comenzado. Ya en funcionamiento, el gusano recopila todas las direcciones de un conjunto de extensiones del ordenador afectado y se envía a todas ellas. A partir de aquí utiliza los dos correos anteriores para infectar otros equipos, reenvío que se produce a través del propio motor SMTP del virus.