La última versión del virus 'Sober' celebra el aniversario del partido nazi

Uno de los virus que más éxito ha tenido en 2005 en su distribución por la Red es Sober, cuya última variante ha sido relacionada por iDefense con el 87º aniversario de la fundación del partido nazi en Alemania. La fecha del próximo cinco de enero está marcada ya en rojo en las agendas de los expertos de seguridad, que temen para ese día una avalancha de mensajes políticos que podrían ralentizar el funcionamiento de Internet.

Sober es un virus bilingüe -alemán e inglés- que parece haber sido creado en Alemania por uno o varios programadores. La primera variante de este código malicioso data de octubre de 2003 y desde entonces han sido lanzadas a la Red más de 20 versiones distintas. La última conocida está programada para actuar el 5 de enero, fecha del aniversario, enviando desde los ordenadores infectados miles de mensajes de correo electrónico

F-Secure afirma que esta versión del virus, a la que da el nombre de Sober.Y, puede considerarse el código que más ha circulado en 2005, pues se le considera responsable del 40% de las infecciones que se detectan. Pero la compañía de seguridad iDefense no cree que sus efectos queden ahí, y advierte que el virus pretende celebrar el aniversario de la fundación del partido nazi el próximo 5 de enero.

iDefense explica que Sober.Y fue detectado por primera vez el 16 de noviembre de 2005. El día 22, fecha de la proclamación de Angela Merkel como canciller alemana, los ordenadores infectados con esta variante del virus empezaron a distribuir por la Red una versión diferente. Es este virus, que llegó a millones de ordenadores de todo el mundo fingiendo provenir del FBI, la CIA y otras agencias gubernamentales, es el que se activará a principios de 2006.

El programa intentará conectarse entonces a una dirección concreta de Internet para descargar un programa con el que supuestamente se actualizará y obtendrá nuevas órdenes, normalmente sin consentimiento ni el conocimiento del usuario del ordenador. Teniendo en cuenta la fecha de activación del virus, los expertos en seguridad advierten que después de actualizarse con el software que descargue de Internet, lo más probable es que Sober.Y realice un envío masivo de mensajes de apoyo a las teorías nazis, tal y como ya sucedió en el pasado con otra de las variantes existentes de este virus, a la que se dio el nombre de Sober.Q.

Problemas de velocidad

Además del hecho de que los buzones de correo podrían verse bombardeados por propaganda filonazi, la velocidad de funcionamiento de la Red podría verse afectada por el envío de esos mensajes. "El ataque podría tener un efecto significativamente negativo en el tráfico de Internet, dado que los servidores de correo se verán inundados con spam de contenido político enviados desde millones de buzones", afirman desde iDefense. Esta compañía explica que para determinar la fecha del ataque ha tenido que descubrir como funciona el virus, diseccionándolo con un método conocido como 'ingeniería inversa'.

Johannes Ullrich, del prestigioso Instituto SANS, dedicado a la seguridad informática, afirma que con la nueva variante de Sober existe una "amenaza creible". "No todos los días puedes predecir cuando un virus hará algo", pero en esta ocasión así ha sido. El ataque pretende ser tan preciso que el virus se ocupa incluso de sincronizar la hora de los ordenadores mediante el uso de relojes atómicos para garantizar que las máquinas infectadas no actúen antes de la fecha prevista, según F-Secure.

Impedir la acción

El creador o creadores de Sober.Y han configurado el virus para que el 5 de enero realice una descarga en Internet. Para evitar que ésta sea bloqueada, el propio virus está equipado con un algoritmo que genera una lista de direcciones de Internet supuestamente aleatorias. Para cada día, la descarga debe realizarse desde un sitio distinto, normalmente páginas alojadas en servicios gratuitos.

Para evitar los daños que pueda provocar esta versión de Sober F-Secure ha descifrado como funciona ese mecanismo, llegando a descubrir las direcciones exactas a las que se dirigirá cada día el virus. Muchas de ellas no existen aún, pero se trata de direcciones 'raras' -no incluyen palabras que puedan encontrarse en diccionarios, nombres propios, etc- que el atacante no tendrá muchos problemas en activar cuando lo crea conveniente. F-Secure ya ha puesto en alerta a las autoridades alemanas para que eviten que esto se produzca, desactivando así la capacidad de acción de Sober.Y.