.: La WeB dE ZaKaTRoN :. - El próximo Sober atacaría el 5 de enero de 2006

Una fecha descubierta dentro del código de las más recientes variantes del gusano Sober, proporciona un indicio en relación al momento para el próximo ataque planeado del gusano, dijo una firma de seguridad este miércoles.

(Enciclopedia Virus) El próximo gran ataque del Sober, estaría planificado para el próximo 5 de enero de 2006, una fecha probablemente elegida porque se cumple ese día el 87 aniversario de la fundación del grupo precursor del partido nazi, dijo Ken Dunham, ingeniero principal de iDefense.

"Aplicamos ingeniería inversa a las últimas variantes, y encontramos esta fecha en el código", dijo Dunham. "Esto trabaja así; en determinado momento, las computadoras que ya están infectadas con el Sober, intentarán conectarse a servidores especificados, para descargar una nueva variante, la que probablemente sea enviada luego en forma de spam a millones de direcciones, como ya ha ocurrido con las últimas versiones."

Fechas embebidas para propagar en determinados momentos nuevos malwares, no es algo nuevo. Sobig usó esto para un efecto dramático en 2003, cuando nuevas versiones fueron liberadas en precisos momentos, al mismo tiempo que variantes anteriores eran automáticamente desactivadas en fechas previamente planificadas.

No es esta la primera vez que una fecha de Sober ha sido descubierta, teorizó Dunham. El pasado 14 de noviembre, la policía alemana, advirtió de un ataque de Sober para el día siguiente, cosa que así ocurrió (apareció la variante del Sober que NOD32 detectó como Sober.Y, cuyos remitentes simulaban ser el FBI o la CIA). Hasta el momento, la policía no reveló como supo del inminente ataque.

"Entonces pensamos que la policía lo había obtenido de boca de alguien cercano al autor o autores del Sober, y que posiblemente ello estaba relacionado con algún presunto arresto", expresó Dunham. "Pero ahora pensamos que tal vez la policía encontró una fecha codificada dentro de una versión anterior del gusano."

Sober, que se jacta de tener ya más de 30 variantes, hizo su debut en octubre de 2003, hace más de dos años, caracterizándose por sus mensajes en varios idiomas (principalmente inglés y alemán), y por ser enviado masivamente en grandes cantidades, pero nunca portó una carga destructiva.

El creador del gusano no parece motivado por el dinero. En vez de esto, él (o ella), que se presupone sea alemán, parece seguir una agenda política, dijo Ramses Martinez, director de operaciones de códigos maliciosos de iDefense. Las primeras versiones del Sober, tenían enlaces a sitios neonazis en Alemania, pero luego, y por varios meses, los mensajes dejaron de mostrar contenido político.

Los envíos masivos de las variantes más recientes en cambio, han coincidido con fechas que están relacionadas con acontecimientos políticos alemanes. Por ejemplo, una de las variantes fue propagada el último 22 de noviembre, el día que asumió la primer canciller femenina de Alemania, Angela Merkel.

Esto es lo que hace a iDefense considerar que la fecha del 5 de enero codificada dentro del último Sober, fue buscada específicamente por el autor, para hacerla coincidir con la fundación en esa misma fecha pero del año 1918, del Comité Libre para la Paz de los Trabajadores Alemanes, precursor del Partido Alemán de los Trabajadores (DAP). Este último, precursor a su vez del partido nazi (NSDAP).

"Sober siempre ha seguido una inclinación derechista," dijo Dunham, que también hace notar que el día siguiente (6 de enero de 2006), es la fecha prevista para la mayor convención política alemana. "El autor ha hecho cambios técnicos a esta última variante, de modo que el gusano es muy eficiente a la hora de esparcirse masivamente enviando spam a todo el mundo."

La práctica de combinar código malicioso con causas políticas a menudo es llamada "hacktivismo", y aunque no ocasiona el mismo daño que gusanos, troyanos y spyware que están detrás del dinero o de las identidades de los usuarios, puede llegar a poner de rodillas a las redes.

"Durante el último gran estallido del Sober, en noviembre, se llegaron a detectar más de 94 millones de muestras en tan solo 24 horas", dijo Martinez. "El gusano tuvo también un impacto significativo en los servidores de MSN Hotmail. La cantidad de spam que el gusano genera, puede ocasionar un gran atasco en Internet."

"Sober no descarga ningún código que tenga componentes para interceptar el teclado (keylogers), ni un robot para conectarse a canales de IRC para ser controlado remotamente", dijo Martinez. Pero su gran propagación genera mucha prensa a nivel mundial, y esto es bueno para el hacktivismo.

"Cuando usted quiere obtener dinero ilegalmente, usted actúa de forma clandestina," culminó Dunham. "Pero cuando usted quiere hablar de política, usted va a querer hacerlo bien público."

Artículo en VSAntivirus