Las computadoras infectadas con el Sobig.F, están programadas por el código del gusano para descargar en determinados días y horarios, y luego ejecutar uno o más archivos cuyas funciones son aún desconocidas.
Sobig.F no utiliza las técnicas de propagación empleadas por otras plagas como el Blaster (Lovsan) y otros, simplemente se propaga por correo electrónico, pero en forma muy agresiva. Es capaz de enviar mensajes infectados en forma masiva, cada 10 segundos.
Emplea algunas técnicas nuevas para evitar ser identificado por algunos antivirus, y además, las computadoras infectadas pueden ser controladas en forma remota por un intruso. Uno de los usos dados a esta técnica, es utilizar al gusano como repetidor de correo basura (spam). De este modo, cada computadora infectada puede enviar spam, eludiendo los filtros por direcciones IP de muchos servidores. Así, el spam se distribuye desde cientos de miles de computadoras infectadas al mismo tiempo, y no desde unas pocas direcciones IP.
Esto genera además, una cantidad enorme de correo, capaz de colapsar a muchos servidores. AOL, uno de los más grandes proveedores norteamericanos, anunciaba el viernes haber detenido más de 23 millones de mensajes infectados desde el martes anterior, fecha de aparición del Sobig.F.
Cómo decíamos, una de sus funcionalidades ocultas, es la capacidad de descargar y ejecutar archivos en momentos específicos.
La lista de servidores se encuentra en el código del gusano, y la acción está prevista para cumplirse entre las 7 de la tarde y las 10 de la noche (hora UTC/GMT), de los días viernes y domingos, hasta el 6 y 7 de setiembre próximos inclusive.
Este horario, para algunas ciudades, es el siguiente:
12:00 a 15:00 - San Francisco
14:00 a 17:00 - México, Lima, Bogotá
15:00 a 18:00 - La Habana, New York, Montreal,
15:00 a 18:00 - Santiago, Caracas, Asunción
16:00 a 19:00 - Buenos Aires, Montevideo, Brasilia
21:00 a 00:00 - Madrid
23:00 a 02:00 - Moscú
Las descargas pueden ser actualizaciones del propio gusano, o cualquier otra aplicación, incluidos troyanos, virus, etc.
La recomendación para usuarios y administradores de sistemas, es filtrar las siguientes direcciones IP:
67.73.21.6
68.38.159.161
67.9.241.67
66.131.207.81
65.177.240.194
65.93.81.59
65.95.193.138
65.92.186.145
63.250.82.87
65.92.80.218
61.38.187.59
24.210.182.156
24.202.91.43
24.206.75.137
24.197.143.132
12.158.102.205
24.33.66.38
218.147.164.29
12.232.104.221
68.50.208.96
También se recomienda filtrar el puerto UDP/8998, utilizado por el Sobig.F para estas acciones.
Más información:
Descripción del Win32/Sobig.F (EnciclopediaVirus.com)
Sexta versión del Sobig, y van... (EnciclopediaVirus.com)
Herramienta gratuita para eliminar el Sobig.F (Future Time)
Estadísticas del Centro de Alerta Temprana (Alerta-Antivirus.es)
Sobig.F arrasa con internet (EnciclopediaVirus.com)
|
