Buenos Aires – Eset, proveedor global de protección antivirus de última generación, anunció hoy que una nueva variante de la familia de gusanos Sober fue detectada reproduciéndose activamente.
Hoy fue detectada la versión Sober.L del gusano, alcanzando niveles de propagación medios en algunos lugares en particular, como España y Alemania, por lo que es importante alertar sobre su aparición dados los antecedentes de versiones anteriores del gusano. La familia de gusanos Sober ha sido una de las que mayor propagación alcanzó durante el 2004.
Por ejemplo, el 21 de Febrero de este año, había sido detectada la versión Win32/Sober.K de ésta familia de gusanos. Desde el primer día tuvo una muy amplia propagación alcanzando las primeras posiciones del ránking virus más detectados de Febrero, preparado por Eset.
El virus tiene un nivel medio de propagación y fue recibida una cantidad importante de reportes desde España, Alemania e Italia.
NOD32, es capaz de detectar esta nueva versión del Sober gracias a su Heurística Avanzada, por lo que los usuarios del antivirus de Eset están protegidos contra el gusano, sin necesidad de esperar una actualización de las firmas de virus. Esto brindó una completa protección preventiva en las primeras horas desde la aparición del Sober.L.
El gusano Win32/Sober.L, tal como es detectado ahora por NOD32, se reproduce a través de correo electrónico utilizando su propio motor SMTP, y enviando un mensaje cuyo texto puede estar en inglés o alemán, lo cual es característico de versiones anteriores de esta familia de virus.
El mensaje contiene un archivo adjunto que, si es ejecutado, permite al gusano instalarse en el sistema y comenzar la recolección de direcciones de correo electrónico a las que luego se enviará. Para evitar enviarse a direcciones de correo electrónico de firmas antivirus, Sober.L no envía mensajes a casillas que contengan ciertas palabras claves.
Al momento de ejecutarse, el gusano abre una instancia del Bloc de Notas y muestra un texto que parece un error en la descompresión de un archivo ZIP.
Como versiones anteriores de la familia Sober, el gusano utiliza un recurso que busca evitar que los antivirus sean capaces de analizar los archivos infectados por el gusano. Para ello, los abre con un bloqueo exclusivo, y podría evitar que un antivirus tradicional lo detectara y eliminara, sino termina el proceso en memoria con anterioridad. Dado que, en algunos casos, esto dificultaría la desinfección de un equipo afectado por el Sober.L, el hecho de que NOD32 lo detectara desde un principio, a través de su Heurística Avanzada, es un factor muy importante que protegió a sus usuarios en todo momento de la posibilidad de tener problemas al querer eliminar el virus de sus sistemas.
Para más información, se encuentra disponible una descripción completa del gusano en EnciclopediaVirus.com.
Para aquellos que no son usuarios de NOD32, Eset ha lanzado una herramienta especial de limpieza que permite eliminar el virus Sober en todas sus variantes, incluida esta última, de equipos afectados por este gusano aunque no tengan su antivirus instalado. La herramienta está disponible en la siguiente dirección:
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Sober
Todavía es demasiado pronto para determinar el riesgo final del gusano, pero dada la perdurabilidad de la familia Sober, es importante que los usuarios estén informados de la aparición del Win32/Sober.L a fin de que tomen las acciones preventivas necesarias.
| 
Win32/Sober.L, la última versión de una de las familias de virus de mayor reproducción del 2004, fue detectada hoy. NOD32 fue capaz de detectarlo automáticamente a través de su Heurística Avanzada. 
