La ¨²ltima versi¨®n del virus 'Sober' celebra el aniversario del partido nazi

Uno de los virus que m¨¢s ¨¦xito ha tenido en 2005 en su distribuci¨®n por la Red es Sober, cuya ¨²ltima variante ha sido relacionada por iDefense con el 87? aniversario de la fundaci¨®n del partido nazi en Alemania. La fecha del pr¨®ximo cinco de enero est¨¢ marcada ya en rojo en las agendas de los expertos de seguridad, que temen para ese d¨ªa una avalancha de mensajes pol¨ªticos que podr¨ªan ralentizar el funcionamiento de Internet.

Sober es un virus biling¨¹e -alem¨¢n e ingl¨¦s- que parece haber sido creado en Alemania por uno o varios programadores. La primera variante de este c¨®digo malicioso data de octubre de 2003 y desde entonces han sido lanzadas a la Red m¨¢s de 20 versiones distintas. La ¨²ltima conocida est¨¢ programada para actuar el 5 de enero, fecha del aniversario, enviando desde los ordenadores infectados miles de mensajes de correo electr¨®nico

F-Secure afirma que esta versi¨®n del virus, a la que da el nombre de Sober.Y, puede considerarse el c¨®digo que m¨¢s ha circulado en 2005, pues se le considera responsable del 40% de las infecciones que se detectan. Pero la compa?¨ªa de seguridad iDefense no cree que sus efectos queden ah¨ª, y advierte que el virus pretende celebrar el aniversario de la fundaci¨®n del partido nazi el pr¨®ximo 5 de enero.

iDefense explica que Sober.Y fue detectado por primera vez el 16 de noviembre de 2005. El d¨ªa 22, fecha de la proclamaci¨®n de Angela Merkel como canciller alemana, los ordenadores infectados con esta variante del virus empezaron a distribuir por la Red una versi¨®n diferente. Es este virus, que lleg¨® a millones de ordenadores de todo el mundo fingiendo provenir del FBI, la CIA y otras agencias gubernamentales, es el que se activar¨¢ a principios de 2006.

El programa intentar¨¢ conectarse entonces a una direcci¨®n concreta de Internet para descargar un programa con el que supuestamente se actualizar¨¢ y obtendr¨¢ nuevas ¨®rdenes, normalmente sin consentimiento ni el conocimiento del usuario del ordenador. Teniendo en cuenta la fecha de activaci¨®n del virus, los expertos en seguridad advierten que despu¨¦s de actualizarse con el software que descargue de Internet, lo m¨¢s probable es que Sober.Y realice un env¨ªo masivo de mensajes de apoyo a las teor¨ªas nazis, tal y como ya sucedi¨® en el pasado con otra de las variantes existentes de este virus, a la que se dio el nombre de Sober.Q.

Problemas de velocidad

Adem¨¢s del hecho de que los buzones de correo podr¨ªan verse bombardeados por propaganda filonazi, la velocidad de funcionamiento de la Red podr¨ªa verse afectada por el env¨ªo de esos mensajes. "El ataque podr¨ªa tener un efecto significativamente negativo en el tr¨¢fico de Internet, dado que los servidores de correo se ver¨¢n inundados con spam de contenido pol¨ªtico enviados desde millones de buzones", afirman desde iDefense. Esta compa?¨ªa explica que para determinar la fecha del ataque ha tenido que descubrir como funciona el virus, diseccion¨¢ndolo con un m¨¦todo conocido como 'ingenier¨ªa inversa'.

Johannes Ullrich, del prestigioso Instituto SANS, dedicado a la seguridad inform¨¢tica, afirma que con la nueva variante de Sober existe una "amenaza creible". "No todos los d¨ªas puedes predecir cuando un virus har¨¢ algo", pero en esta ocasi¨®n as¨ª ha sido. El ataque pretende ser tan preciso que el virus se ocupa incluso de sincronizar la hora de los ordenadores mediante el uso de relojes at¨®micos para garantizar que las m¨¢quinas infectadas no act¨²en antes de la fecha prevista, seg¨²n F-Secure.

Impedir la acci¨®n

El creador o creadores de Sober.Y han configurado el virus para que el 5 de enero realice una descarga en Internet. Para evitar que ¨¦sta sea bloqueada, el propio virus est¨¢ equipado con un algoritmo que genera una lista de direcciones de Internet supuestamente aleatorias. Para cada d¨ªa, la descarga debe realizarse desde un sitio distinto, normalmente p¨¢ginas alojadas en servicios gratuitos.

Para evitar los da?os que pueda provocar esta versi¨®n de Sober F-Secure ha descifrado como funciona ese mecanismo, llegando a descubrir las direcciones exactas a las que se dirigir¨¢ cada d¨ªa el virus. Muchas de ellas no existen a¨²n, pero se trata de direcciones 'raras' -no incluyen palabras que puedan encontrarse en diccionarios, nombres propios, etc- que el atacante no tendr¨¢ muchos problemas en activar cuando lo crea conveniente. F-Secure ya ha puesto en alerta a las autoridades alemanas para que eviten que esto se produzca, desactivando as¨ª la capacidad de acci¨®n de Sober.Y.