Virus Sober.F

Messaggioda luzzo » 05/04/2004, 14:48

Una nuova variante del virus Sober.
Buona lettura e soprattutto buon aggiornamento del vostro antivirus !

Luzzo

=====================


Una ulteriore insidiosa variante del gia' noto worm Sober, Sober.F, si sta imponendo all'attenzione degli osservatori antivirus dopo essere emersa per la prima volta nella giornata di sabato 3 aprile.
La soglia di attenzione sul worm nelle ultime ore e' stata alzata perche' se ne registra una diffusione crescente grazie alle capacita' di mascheramento e a quelle di collegare da se' il computer infetto ad Internet.
I sistemi colpiti sono tutte le varianti di Windows da Windows 95 in poi.


Tra le caratteristiche che rendono Sober.F particolarmente insidioso c'e' la sua capacita' di mascherarsi da messaggio di errore nell'invio o nella ricezione di una email.
Si tratta di un mascheramento sempre piu' diffuso nei worm di ultima generazione: il messaggio fasullo viene spesso sottovalutato dall'utente che puo' ritenerlo legittimo e puo' essere indotto a cliccare sul file allegato all'email, file che evidentemente attiva il worm.

La capacita' dei messaggi di errore di essere considerati legittimi dagli utenti e' tale che oltre ai worm sono anche molti gli spammer che utilizzano questo genere di falsificazione per spingere chi riceve la loro posta non richiesta ad aprire i messaggi inviati.

Oltre a tutto questo, Sober.F e' in grado di nascondersi nel sistema infetto rendendo meno agevoli le operazioni di ripulitura nel caso di infezione.


Una volta aperto l'allegato infetto, il worm si insidia nel sistema sfruttando nomi causali sia per i file che il worm scrive sul computer, sia per i relativi richiami nel Registro di Windows, rendendo complessa la loro successiva individuazione per la disinfestazione del sistema.

I file principali di Sober.F vengono inseriti nella cartella 'System' di Windows (o System32 a seconda della versione del sistema operativo).

Questo worm utilizza un proprio motore SMTP che gli consente di spedire un messaggio con allegato infetto a tutti gli indirizzi email che recupera sul computer che e' riuscito a colpire. Per ottenere questi indirizzi, il worm compie una scansione dei file contenuti nei dischi del sistema infettato.

Non contento, qualora il computer colpito da Sober.F non sia piu' connesso ad Internet, il worm cerca di individuare quali sono le connessioni disponibili sul PC in modo da attivarle e, una volta collegato, iniziare a spedire i messaggi infetti.


Il soggetto e il corpo del messaggio sono casuali e sono scritti in inglese o in tedesco. Sia l'uno che l'altro possono avere i riferimenti al messaggio di errore a cui si e' accennato.

Stessa cosa dicasi per il mittente del messaggio. In apparenza l'indirizzo del mittente del messaggio puo' sembrare quello di un amministratore di rete, di un software di gestione della posta e altro ancora. In alternativa, puo' essere generato casualmente dal worm utilizzando come dominio di posta elettronica alcune note estensioni, come @yahoo.com o @gmx.net.

A cambiare secondo uno schema casuale e' anche il nome del file allegato che contiene il worm.

L'unico elemento che non sembra modificarsi e' la dimensione dell'allegato, pari sempre a 42.490 byte, un dato che puo' agevolare l'identificazione di una email infetta.


Tutti i principali produttori antivirus hanno aggiornato le proprie definizioni per intercettare e distruggere il worm ed e' quindi consigliabile accertarsi che il proprio software di sicurezza sia aggiornato.
Qualora il proprio computer sia stato colpito da Sober.C sono a disposizione tool di rimozione, come quello messo a disposizione su questa pagina da Symantec:
http://securityresponse.symantec.com/av ... .html?Open


Sophos ha pubblicato una pagina descrittiva del worm a questo indirizzo:
http://www.sophos.com/virusinfo/analyses/w32soberf.html
luzzo
New Member
New Member
 
Messaggio: 54 di 74
Iscritto il: 12/09/2002, 17:27

Torna a Informatica

Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti