Según los desarrolladores F-Secure y Sophos, la difusión de esta nueva variante del original Sober que apareciera en octubre del pasado año ha empezado a tener una mayor repercusión en Europa desde el pasado fin de semana.

Sober.G es un gusano de correo masivo que se difunde a través de e-mails con diversos asuntos y cuerpos de mensaje que, dependiendo del idioma del sistema operativo al que ataca, estarán escritos en inglés o alemán como por ejemplo: Achtung! gef, Bestellung Best, Ok, hier ist mein, Your Password, Invalid mail length, Mail Delivery Failure,....

El código malicioso se difunde en archivos adjuntos con extensiones ejecutables o .ZIP que una vez ejecutados harán que este gusano se copie en la carpeta de Sistema de Windows y cree una entrada en el registro para activarse en cada inicio del sistema.

Por otra parte, Sober.G abrirá una sesión del Bloc de Notas donde mostrará el siguiente contenido almacenado en un archivo de texto en la carpeta temporal:

File not found
Special -UnZip Data- Module is missing
Open with Notepad?
Converted_
notepad

Sober.G buscará direcciones de correo almacenadas en archivos con una multitud de extensiones y una vez localizadas las almacenará en los archivos bcegfds.lll, cvqaikxt.apk, datsobex.wwr, wincheck32.dats, winexpoder.dats, winzweier.dats, xdatxzap.zxp o zhcarxxi.vvx para luego proceder a su difusión. Eso sí evita enviarse a correos que tengan algunas de las siguientes cadenas: messagelab, panda, sophos, kaspers, antivir, bitdefender, entre otras muchas.

A pesar de que muchos usuarios informáticos empiezan ahora a salir de la "resaca" provocada por el ya famoso en todo el mundo, Sasser, otros parecen que siguen sin tomar conciencia del problema que suponen los virus y, éstos son los que ahora están sufriendo las consecuencias de Sober.G. Como recomiendan siempre los expertos es importante mantener los sistemas protegidos con soluciones anti-virus y anti-spam actualizadas al día, así no sólo evitaremos sufrir una infección por los últimos códigos maliciosos in the wild sino también evitar la difusión de los mismos a otros internautas.