[seguridad] Sober worm causes headaches

Madrid, 27 de octubre, 2003 - PandaLabs ha detectado la aparición de un nuevo gusano denominado
Sober.A (W32/Sober.A.worm), que ya ha comenzado a provocar algunas incidencias entre los equipos de
los usuarios. Se trata de un código malicioso diseñado para propagarse rápidamente a través de
correo
electrónico.

Sober.A llega al equipo en un e-mail cuyo asunto, cuerpo, así como el nombre del archivo adjunto,
son muy variables y pueden estar escritos tanto en inglés como en alemán. Un ejemplo de un mensaje
generado por Sober.A sería el siguiente:

Asunto:

A worm is on your computer!

Cuerpo del mensaje:

I permanently get Spam-Mails from you and inside is a virus!!
You should remove these thing.
Read the document, before another or my mailbox explode!

Yours sincerely.

Archivo adjunto:

anti_virusdoc.pif

La lista completa de opciones puede ser consultada en la Enciclopedia de Virus de Panda Software, en
la dirección: http://www.pandasoftware.es/virus_i...virusA441.

Si el archivo adjunto, que en realidad contiene a Sober.A, es ejecutado, se muestra una ventana con
un falso mensaje de error.

Al mismo tiempo, el gusano se envía a todas las direcciones que encuentre en un gran número de
archivos del equipo, utilizando para ello su propio motor SMTP. Además, todas las direcciones que el
Sober.A recoge son almacenadas en el archivo %sysdir%\MACROMED\HELP\MEDIA.DLL.

Por otra parte, uno de los principales peligros de Sober.A es que coloca, de forma residente, dos
copias de sí mismo que están continuamente en ejecución. Así, en caso de que el usuario finalice uno
de los procesos, o bien se elimine alguna de las copias mencionadas, la otra se encarga de volver a
ponerlo en funcionamiento o de crear de nuevo el fichero borrado.

Ante las incidencias registradas, y en previsión de que puedan ir en aumento, Panda Software
aconseja extremar las precauciones con los mensajes de correo electrónico que se reciban y
actualizar lo antes posible lassoluciones antivirus. La multinacional ya ha puesto a disposición de
susclientes las correspondientes actualizaciones de sus productos para la detección y eliminación de
Sober.A, por lo que, si no tienen su software configurado para realizarlo de modo automático, pueden
proceder a actualizar sus antivirus desde http://www.pandasoftware.es. Además, los usuarios que lo
deseen pueden analizar "online" sus sistemas con la solución antivirus gratuita Panda ActiveScan,
que se encuentra disponible en la página web de la compañía, en http://www.pandasoftware.es.

Más información sobre Sober.A u otros códigos maliciosos en la Enciclopedia de Virus de Panda
Software, disponible en la dirección:
http://www.pandasoftware.es/virus_i...clopedia/.


Saludos,
Enrique Cortés
Windows XP Pro 2600 xpsp1


Reglas de conducta de los grupos de noticias:
http://support.microsoft.com/defaul...newsreglas


"JM Tella Llop [MS MVP] ·" escribió en el mensaje
news:%
http://www.vnunet.com/News/1145981

Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.

Madrid, 27 de octubre, 2003 - PandaLabs ha detectado la aparición de un nuevo gusano denominado
Sober.A (W32/Sober.A.worm), que ya ha comenzado a provocar algunas incidencias entre los equipos de
los usuarios. Se trata de un código malicioso diseñado para propagarse rápidamente a través de
correo
electrónico.

Sober.A llega al equipo en un e-mail cuyo asunto, cuerpo, así como el nombre del archivo adjunto,
son muy variables y pueden estar escritos tanto en inglés como en alemán. Un ejemplo de un mensaje
generado por Sober.A sería el siguiente:

Asunto:

A worm is on your computer!

Cuerpo del mensaje:

I permanently get Spam-Mails from you and inside is a virus!!
You should remove these thing.
Read the document, before another or my mailbox explode!

Yours sincerely.

Archivo adjunto:

anti_virusdoc.pif

La lista completa de opciones puede ser consultada en la Enciclopedia de Virus de Panda Software, en
la dirección: http://www.pandasoftware.es/virus_i...virusA441.

Si el archivo adjunto, que en realidad contiene a Sober.A, es ejecutado, se muestra una ventana con
un falso mensaje de error.

Al mismo tiempo, el gusano se envía a todas las direcciones que encuentre en un gran número de
archivos del equipo, utilizando para ello su propio motor SMTP. Además, todas las direcciones que el
Sober.A recoge son almacenadas en el archivo %sysdir%\MACROMED\HELP\MEDIA.DLL.

Por otra parte, uno de los principales peligros de Sober.A es que coloca, de forma residente, dos
copias de sí mismo que están continuamente en ejecución. Así, en caso de que el usuario finalice uno
de los procesos, o bien se elimine alguna de las copias mencionadas, la otra se encarga de volver a
ponerlo en funcionamiento o de crear de nuevo el fichero borrado.

Ante las incidencias registradas, y en previsión de que puedan ir en aumento, Panda Software
aconseja extremar las precauciones con los mensajes de correo electrónico que se reciban y
actualizar lo antes posible lassoluciones antivirus. La multinacional ya ha puesto a disposición de
susclientes las correspondientes actualizaciones de sus productos para la detección y eliminación de
Sober.A, por lo que, si no tienen su software configurado para realizarlo de modo automático, pueden
proceder a actualizar sus antivirus desde http://www.pandasoftware.es. Además, los usuarios que lo
deseen pueden analizar "online" sus sistemas con la solución antivirus gratuita Panda ActiveScan,
que se encuentra disponible en la página web de la compañía, en http://www.pandasoftware.es.

Más información sobre Sober.A u otros códigos maliciosos en la Enciclopedia de Virus de Panda
Software, disponible en la dirección:
http://www.pandasoftware.es/virus_i...clopedia/.


Saludos,
Enrique Cortés
Windows XP Pro 2600 xpsp1


Reglas de conducta de los grupos de noticias:
http://support.microsoft.com/defaul...newsreglas


"JM Tella Llop [MS MVP] ·" escribió en el mensaje
news:%
http://www.vnunet.com/News/1145981

Jose Manuel Tella Llop
MS MVP - DTS


Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.