• Tweet

Recientemente se ha descubierto una variante del gusano Sober, de acuerdo con Messages Labs se ha localizado en UK.

La empresa de seguridad dijo que se han interceptado 1400 copias de W32.Sober-K-mm desde las 5am GTM de esta mañana en Alemania, Francia, los Estados Unidos y Reino Unido.

Sober-K-mm se envía a si mismo como un archivo adjunto, crea un subject aleatorio y un cuerpo de texto en Inglés o Alemán, dependiendo de las direcciones de correo colectadas por el gusano.

También es capaz de mostrar un falso aviso de un vendedor antivirus alertando acerca de una nueva version del virus e intenta que los usuarios hagan click en el archivo adjunto, mencionando que es un parche para el software, pero sucede lo contrario, ya que realmente contiene el gusano.

El inconveniente es cuando los usuarios activan el archivo adjunto del email, el cual invoca al virus, una vez activo, realiza una búsqueda de direcciones de correo electrónico en el disco duro, ésto con el fin de guardarlas y enviarse a sí mismo a ellas.

Las líneas del subject del email puede incluir "Alert! New Sober worm", "Paris Hilton Sex Videos", "You visit illegal websites" y "Your new Password".

Una vez que se activa, Sober.K-mm lanza varias copias de archivos ejecutables a una computadora infectada con filenamescsrss.exe', 'winlogon.exe' and 'smss.exe'.

El gusano modifica la llave de registro SoftwareMicrosoftWindowsCurrentVersionRun, por lo tanto, éste se ejecuta al iniciarse la máquina. Entoces se logra que el contenido de systemdrive%/windows/temp/doc_data-text.txt se despliegue en un block de notas.