Según el examen del código del virus, se prevé que aproximadamente cada dos semanas después de esa fecha, y en forma cíclica, el gusano volverá a intentar la descarga de archivos.
De acuerdo al contenido de los archivos descargados, existen muchas probabilidades de que surjan nuevas oleadas de mensajes que tratarán de propagar masivamente nuevas versiones del gusano, como ya ha ocurrido.
Sober se vale de la llamada ingeniería social para engañar a su víctima con asuntos y textos que despiertan su curiosidad, de tal modo que éste culmina abriendo y ejecutando el archivo adjunto que contiene las nuevas versiones del gusano.
La última versión, aparecida en noviembre de 2005, incluía textos que simulaban ser enviados por el FBI o la CIA, y un adjunto que afirmaba contener las pruebas de que el usuario había navegado “por más de 30 sitios ilegales”.
Otros mensajes generados por variantes descargadas más tarde por el mismo gusano, simulaban desde problemas con el envío del correo, de tal modo que el usuario fuera tentado a abrir un supuesto mensaje escrito por él que había sido devuelto, hasta un programa para descargar y visualizar videos e imágenes de Paris Hilton y Nicole Richie, pasando por lo que decía ser una nueva clave y nombre de usuario para alguna cuenta desconocida.
Sober no utiliza (hasta ahora), ninguna vulnerabilidad para propagarse. Solo infecta cuando el usuario abre un adjunto no solicitado, en un mensaje que nunca pidió. Pero si la infección se produce (al abrir el adjunto), entonces el gusano toma las características de un troyano, y puede permanecer agazapado en la PC de la víctima, para descargar y ejecutar nuevos archivos de Internet, que generalmente son nuevas variantes u otra clase de código malicioso.
Eso es lo que va a ocurrir el próximo 6 de enero, y todos aquellos que estuvieran infectados sin saberlo (por no usar un antivirus actualizado por ejemplo), o no tener activo un cortafuego, van a provocar una nueva oleada masiva de mensajes infectados, en un ciclo que no parece tener fin.
Más allá de ello, hasta el próximo 6 de enero (o últimas horas del 5), no sabremos que clase de nuevas sorpresas nos traerá este gusano. Es que debido a la forma en que el virus actúa, hasta último momento no estarán activos los sitios de descarga, ni sabremos que clase de código descargará y ejecutará el Sober.
Cómo lo indican las estadísticas de Virus Radar, la variante “Y” del Sober (noviembre 2005), superó en menos de un mes y medio, los 12 millones de correos detectados, 10 de los cuáles se registraron en diciembre, convirtiéndose así, en el gusano con más detecciones en un único mes de todo el 2005.
Lo que el usuario debe hacer, es examinar su PC para estar seguro de no estar infectado, no abrir ninguna clase de adjuntos o enlaces en mensajes no solicitados, sin importar quien los envía, y utilizar un antivirus con capacidad de reacción proactiva (que actúe con su heurística antes de que ocurra la infección, como lo hace NOD32 por ejemplo).
Fuente: www.vsantivirus.com
