Alerta!! Virus Sober.V

por SpliT 05/05/2005 ...

El nuevo gusano Sober.V, sigue infectando sistemas en cuestión de segundos, Panda y el Centro de Alerta Temprana sobre Virus, han desatado la alarma a escala mundial, cuando se empezaban a infectar las primeras máquinas en el día de ayer.

Sober.V utiliza la ingeniería social mandando emails en nombre de la FIFA, anunciando que el usuario ha ganado unas entradas para la copa del mundo de 2006.

El mensaje solo se envía en alemán e inglés, y cuando abrimos el fichero adjunto, nos da un falso error de CRC del famoso descompresor Winzip.

A partir de ese momento se copia al disco duro y empieza con la busqueda de direcciones de mail por el sistema. Con su propio motor SMTP solo depende de él mismo y de una conexión a internet para comenzar a mandar mensajes masivamente a todos tus contactos.

Los ficheros que se copian a la carpeta Connection Wizard\Status son los siguientes:

SMSS.EXE

SERVICES.EXE

CSRSS.EXE

PACKED1.SBR

PACKED2.SBR

PACKED3.SBR

El virus también modifica el registro y una forma de saber si lo tenemos es mirando en la clave:

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run

WinStart = %windir%\ Connection Wizard\ status\ services.exe

Las empresas antivirus ya han puesto a disposición de los usuarios varias herramientas en sus webs únicamente para desinfectar el Sober.V

Otros detalles técnicos es que está escrito en Visual Basic y ocupa 53544 bytes.


Tags: Redes