El Sobig.F tiene prevista en su código, la descarga y
ejecución de posibles actualizaciones o cualquier otra clase
de archivo maligno, entre las 19:00 y las 22:00 (hora
UTC/GMT), de los días viernes y domingos. Esta es una forma
de minimizar esta acción.
Las computadoras infectadas con el Sobig.F, están programadas
por el código del gusano para descargar en determinados días
y horarios, y luego ejecutar uno o más archivos cuyas
funciones son aún desconocidas.
Sobig.F no utiliza las técnicas de propagación empleadas por
otras plagas como el Blaster (Lovsan) y otros, simplemente se
propaga por correo electrónico, pero en forma muy agresiva.
Es capaz de enviar mensajes infectados en forma masiva, cada
10 segundos.
Emplea algunas técnicas nuevas para evitar ser identificado
por algunos antivirus, y además, las computadoras infectadas
pueden ser controladas en forma remota por un intruso. Uno de
los usos dados a esta técnica, es utilizar al gusano como
repetidor de correo basura (spam). De este modo, cada
computadora infectada puede enviar spam, eludiendo los
filtros por direcciones IP de muchos servidores. Así, el spam
se distribuye desde cientos de miles de computadoras
infectadas al mismo tiempo, y no desde unas pocas direcciones
IP.
Esto genera además, una cantidad enorme de correo, capaz de
colapsar a muchos servidores. AOL, uno de los más grandes
proveedores norteamericanos, anunciaba el viernes haber
detenido más de 23 millones de mensajes infectados desde el
martes anterior, fecha de aparición del Sobig.F.
Cómo decíamos, una de sus funcionalidades ocultas, es la
capacidad de descargar y ejecutar archivos en momentos
específicos.
La lista de servidores se encuentra en el código del gusano,
y la acción está prevista para cumplirse entre las 7 de la
tarde y las 10 de la noche (hora UTC/GMT), de los días
viernes y domingos, hasta el 6 y 7 de setiembre próximos
inclusive.
Este horario, para algunas ciudades, es el siguiente:
12:00 a 15:00 – San Francisco
14:00 a 17:00 – México, Lima, Bogotá
15:00 a 18:00 – La Habana, New York, Montreal,
15:00 a 18:00 – Santiago, Caracas, Asunción
16:00 a 19:00 – Buenos Aires, Montevideo, Brasilia
21:00 a 00:00 – Madrid
23:00 a 02:00 – Moscú
Las descargas pueden ser actualizaciones del propio gusano, o
cualquier otra aplicación, incluidos troyanos, virus, etc.
La recomendación para usuarios y administradores de sistemas,
es filtrar las siguientes direcciones IP:
67.73.21.6
68.38.159.161
67.9.241.67
66.131.207.81
65.177.240.194
65.93.81.59
65.95.193.138
65.92.186.145
63.250.82.87
65.92.80.218
61.38.187.59
24.210.182.156
24.202.91.43
24.206.75.137
24.197.143.132
12.158.102.205
24.33.66.38
218.147.164.29
12.232.104.221
68.50.208.96
También se recomienda filtrar el puerto UDP/8998, utilizado
por el Sobig.F para estas acciones.
* Relacionados:
W32/Sobig.F. Gusano de gran propagación
http://www.vsantivirus.com/sobig-f.htm
Estadísticas del Centro de Alerta Temprana
http://www.alerta-antivirus.es/virus/estad_espa.html
Sobig.F arrasa con Internet
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=261
Artículo original:
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=262
(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com