México, (Notimex).- TrendLabs detectó una nueva variante del gusano SOBIG que denominó WORM_SOBIG.E, un código malicioso no destructivo que se propaga a través de correo electrónico y mediante carpetas compartidas de red. En un comunicado, la firma antivirus señala que este nuevo código corre en plataformas Windows 95, 98, ME, NT, 2000 y XP, y utiliza su propio motor SMTP para enviarse por correo a direcciones que obtiene de archivos que encuentra en la máquina infectada.
Los archivos pueden tener las extensiones WAB, DBX, HTM, HTML, EML, TXT. Incluso, apunta, utiliza las direcciones que localiza para colocarlas en el campo "De:" del correo que envía, el cual puede incluir: admin@support.com u otra dirección.
Para el campo Asunto puede incluir nombres como referer.pif, 004448554.pif, re.document.pif, new_document.pif, submited.pif, Screensaver.scr, movie.pif, Applications.pif, Application.pif, Your application, Re: Document, Re: Re: Application ref. 003644, Re: Documents, Re: Screensaver, entre otros.
Para el cuerpo del Mensaje ocupa: Please see the attached file for details, mientras que como Archivo Adjunto pude poder Movie.zip (Movie.pif), screensaver.zip (sky_world.scr), document.zip (document.pif), application.zip (application.pif) o Your_details.zip(details.pif).
El archivo adjunto tiene formato de archivo comprimido .ZIP y contiene una copia del gusano; el nombre del archivo correspondiente está indicado entre paréntesis. Luego de su ejecución, el gusano deposita una copia de sí mismo en la carpeta de Windows con el nombre WinSSK32.EXE, y crea el archivo MSRRF.DAT en el mismo directorio, para crear la entrada: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun SSK Service "%Windows%WinSSK32.EXE" HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun SSK Service "%Windows%WinSSK32.EXE" TrendLabs explica que este proceso intenta crear un evento denominado "Nuiro.X", que es utilizado para garantizar que sólo corre una copia a la vez en memoria, por lo que crea múltiples líneas de propagación de correo electrónico, así como por carpetas compartidas de red y bajando archivos al disco duro. Este gusano puede dentificarse al actualizar los sistemas con el patrón numero 575. Otros usuarios de Internet pueden utilizar HouseCall, el rastreador de virus que Trend Micro proporciona de manera gratuita en la página http://housecall.antivirus.com.