Extremar las precauciones ante el nuevo gusano Sobig.C

Panda Software recomienda:
· Se trata de la nueva variante del gusano Sobig.B, que apareció el pasado 19 de mayo y causó numerosas incidencias entre entornos corporativos.
· Al igual que su antecesor, Sobig.C cuenta con su propio motor SMTP para distribuirse por redes, lo que lo hace muy peligroso.

Panda Software recomienda extremar las precauciones ante la aparición del nuevo gusano Sobig.C, del que la multinacional española ha comenzado a recoger incidencias. Sus antecesores, Sobig y Sobig.B, fueron capaces de infectar varios entornos empresariales en pocas horas. Por eso, se recomienda a los clientes que actualicen inmediatamente su antivirus en http://www.pandasoftware.es/descargas/actualizaciones, o, si no cuentan con ninguna protección, que instalen una cuanto antes para eliminar el riesgo de resultar afectado por este nuevo código malicioso.

Sobig.C está programado en Microsoft Visual C++, afecta a sistemas Win9x, ME, NT, 2000 & XP y tiene un tamaño de 59.211 Bytes (comprimido con UPX).

El nuevo gusano Sobig.C, al igual que sus antecesores, es capaz de propagarse por sí solo, ya que contiene su propio motor SMTP. Así, cuando un ordenador es afectado, Sobig.C extrae los nombres de sus próximas víctimas de la libreta de direcciones y se reenvía a todos los contactos.

Además, y siguiendo el “modus operandi” de muchos de los gusanos de última generación, utiliza la ingeniería social para intentar engañar al usuario, ya que las direcciones de remite las elige aleatoriamente de la propia libreta de direcciones, por lo que fácilmente confundirá al usuario al ver éste que el correo entrante viene de una dirección conocida.

El asunto del mensaje varía entre los siguientes:

Re: 45443-343556
Re: Approved
Approved
Re: Movie
Re: Your application
Re:Application
Re: Submited (004756-3463)

Sobig.C llega con un fichero adjunto, cuyo nombre puede ser alguno de los siguientes:

Screensaver.scr
movie.pif
submited.pif
45443.pif
approved.pif
application.pif
document.pif
documents.pif

El cuerpo del mensaje es una única frase: “Please, see the attached file.”
Una vez en el equipo, el gusano intenta copiarse a sí mismo en las siguientes direcciones de red, si están accesibles:

· Documents and SettingsAll UsersStart MenuProgramsStartup
· WindowsAll UsersStart MenuProgramsStartup

Una vez ejecutado, el gusano copia en el directorio %windir% un fichero llamado “mscvb32.exe”, que contiene el código del gusano, y crea otro fichero denominado msddr.dat.

Además, añade las siguientes entradas en el registro para apoderarse del sistema cuando éste se reinicia:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
System MScvb = %windir%mscvb32.exe

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
System MScvb = %windir%mscvb32.exe (donde %WinDir% es el directorio de Windows por defecto, por ejemplo, Winnt o Windows).

Todos los clientes de Panda Software pueden actualizar su antivirus, ya que ya cuentan con la actualización correspondiente del fichero de firmas. Para los que todavía no cuentan con una solución antivirus, pueden utilizar Panda ActiveScan de forma on-line y gratuita desde www.pandasoftware.es o descargar cualquiera de las versiones de prueba de antivirus, desde www.pandasoftware.es/descargas

Sobre el Laboratorio de Virus de Panda Software

Cuando se recibe un fichero sospechoso de contener un virus, el equipo técnico de Panda Software lo analiza inmediatamente y, dependiendo del tipo de virus, las acciones que se realizan pueden incluir: desensamblaje, chequeo integral, análisis del código, etc. Si realmente el fichero contiene un nuevo virus, se desarrollan las rutinas de detección y desinfección que son distribuidas rápidamente a los usuarios de sus soluciones antivirus.

Be Sociable, Share!
Publicado en: Noticias Panda Security
Panda Security
Seguridad Informática