04/01/2006 - La epidemia causada por el gusano Sober.AH en el pasado mes de noviembre podría asistir a un segundo capítulo si, como se indica en su código, éste se activa entre el 5 y el 6 de Enero. El objetivo sería detener el envío de spam para el que está programado, y comenzar a conectarse a diversos dominios para descargar y ejecutar ficheros, según informa PandaLabs.
Por ello, es importante aumentar las precauciones con el fin de minimizar el impacto que pudiera tener en los ordenadores de los usuarios. “Pese a que este tipo de rutinas de reactivación no son nada nuevo, la amplia difusión que consiguió Sober.AH por medio del envío masivo de correo nos hace ser especialmente prudentes con este caso” afirma Luis Corrons, director de PandaLabs. Conviene recordar que este gusano fue durante varios días la amenaza más detectada por la solución antivirus online Panda ActiveScan, y que aún en estos momentos, más de un mes después de su difusión, está entre las 5 amenazas más detectadas en ordenadores de todo el mundo. Las Tecnologías TruPreventTM detuvieron esta amenaza, sin conocerla previamente, por lo que los usuarios de las mismas han estado protegidos desde el primer momento.
Las acciones a llevar a cabo para neutralizar la rutina de activación pasan por la erradicación del gusano en los equipos afectados. Éste se propaga en mensajes de correo escritos en inglés o en alemán, que por medio de Ingeniería Social trata de convencer a los receptores de sus mensajes de correo de que éstos provienen de las autoridades, supuestamente advirtiendo de que se ha detectado navegación del usuario por direcciones web ilegales.
En cualquier caso, debe tenerse en cuenta que los mensajes de correo electrónico conteniendo a Sober.AH tienen características muy variables, ya que tanto el asunto, como el texto o el nombre del archivo adjunto son escogidos a partir de varias listas de opciones. Las mismas pueden ser consultadas en la Enciclopedia de Panda Software.
Para eliminar este gusano de sus equipos, es preciso mantener su solución antimalware actualizada, de modo que pueda detectarla y eliminarla de su equipo. En caso de que no disponga de ella, o le interese una segunda opinión, Panda Software pone a su disposición la solución antimalware online gratuita Panda ActiveScan, para analizar sus equipos en busca de ésta y otras amenazas. Además, dispone de una herramienta PQRemove de eliminación de esta amenaza. Cualquier otro tipo de solución, como la modificación de la hora del equipo para que éste no se reactive a la hora indicada, no es adecuada, ya que cabe recordar que dicha rutina no depende de la hora local del equipo, sino de la proporcionada por servidores NTP de Internet.
“Pese a que los clientes de nuestras Tecnologías TruPreventTM siempre han estado protegidos frente a esta amenaza, la oferta de estas herramientas gratuitas de eliminación es una parte más de nuestro compromiso con la seguridad, no ya de nuestros clientes, sino de todos los usuarios de ordenadores del mundo; en nuestra mano está que esta potencial amenaza se quede en una anécdota”, concluye Luis Corrons.
El gusano Sober.AH, que causó un estado de Alerta Naranja el pasado mes de noviembre, incluye una rutina para activarse de nuevo entre el 5 y el 6 de Enero, y conectarse a una serie de servidores para descargar y ejecutar ficheros. 
