Vita di città

Attenzione a Sober.X, nuova minaccia dalla rete

Torna all'attacco il noto "mass mailing worm". Come difendersi

SalvaPc News, newsletter curata dalla testata digitale "Punto Informatico" ha diramato ieri sera un bollettino di sicurezza circa un nuovo virus, Sober.X, che si va diffondendo in queste ore attraverso svariati messaggi di posta elettronica con oggetto e contenuto facilmente riconoscibili.
Per capire di cosa si tratta, riportiamo il bollettino di sicurezza e consigliamo di aggiornare immediatamente i software antivirus con le definizioni più recenti e di usare gli strumenti di rimozione suggeriti da Punto Informatico:

..................................................................

SalvaPC News - sicurezza per tutti N. 109 di martedi' 22 novembre 2005
Supplemento a Punto Informatico

UN ANNO SENZA ALLARMI
Si sta diffondendo a macchia d'olio dallo scorso sabato la variante X di Sober, un "mass mailing worm" che presenta molte caratteristiche comuni con le precedenti varianti, ovvero l'invio di email contenenti una copia del worm verso tutti gli indirizzi trovati all'interno del computer infettato.Solo oggi tuttavia Sober.X e' passato nelle scale degli osservatori antivirus dalla fase di attenzione a quella di allarme, un evento che negli ultimi mesi non era piu' accaduto. Sono ora invece attese ulteriori versioni capaci di creare problemi agli utenti Windows.Altre varianti di Sober erano gia' state oggetto delle segnalazioni di SalvaPC, tutte nello scorso anno, il 2004: la I in novembre, la D in marzo e Sober.C nel gennaio 2004, trattati rispettivamente nei numeri 100, 87 e 76 di SalvaPC News.CHE DANNI PROVOCA
Sober.X, oltre ad inviare un gran numero di messaggi contenenti se stesso, non crea ulteriori danni nei computer infettati. Tuttavia l'utilizzo delle risorse del computer e quelle di rete puo' generare instabilita'.QUALI I SISTEMI A RISCHIO
A rischio sono tutti i sistemi operativi Windows dalla versione 95 in poi, Windows Server 2003 compreso.COME FUNZIONA
Una volta attivato nel computer vittima, Sober.X avverte della sua presenza presentando un messaggio in una finestra dal titolo "WinZip Self-Extractor" e con il testo "Error in packed Header".

Subito dopo copia se stesso nelle cartelle di sistema utilizzando come nome del file i tre seguenti:csrss.exe
services.exe
smss.exeQuesti nomi di file hanno l'obiettivo di indurre gli utenti a pensare che si possa trattare di file di Windows (in particolare, si possono confondere con alcuni "servizi").Sober.X crea anche una miriade di altri file, alcuni funzionali all'invio di se stesso agli indirizzi email che trova nel computer infettato, altri dei quali per ora non e' stata riscontrata alcuna attivita' malevola.Sober.X si occupa anche del registro di Windows, dove inserisce le chiavi appropriate per assicurarsi di essere avviato ogni volta viene riacceso il sistema. Solo a questo punto il worm comincia a testare la connessione ad Internet ed a cercare nei file presenti nel computer indirizzi email ai quali autoinviarsi.COME RICONOSCERLO
Il messaggio di posta elettronica che contiene Sober.X puo' presentarsi sia in inglese che in tedesco e il soggetto puo' essere uno dei seguenti:Registration Confirmation
Your Password
smtp mail failed
Mail delivery failed
hi, ive a new mail address
You visit illegal websites
Your IP was logged
Paris Hilton & Nicole RichieAccount Information
Ihr Passwort
SMTP Mail gescheitert
Mailzustellung wurde unterbrochen
Ermittlungsverfahren wurde eingeleitet
Sie besitzen Raubkopien
RTL: Wer wird Millionaer
Sehr geehrter Ebay-KundeAnche il testo del messaggio viene scelto casualmente tra alcuni predeterminati. Per conoscere i testi possibili e' possibile seguire i link di approfondimento in fondo a questo numero di SalvaPC.L'allegato dell'email puo' avere nomi diversi ma ha sempre l'estensione ".zip" ed ha la dimensione di 55.390 Byte.COME PROTEGGERSI
Aggiornare quanto prima le definizioni dei software antivirus. Tutti i principali produttori hanno rilasciato nelle ultime ore gli aggiornamenti necessari a proteggere i computer da questa nuova epidemia.ULTERIORI INFORMAZIONI

Una descrizione completa delle funzionalita' di Sober.X e delle sue caratteristiche e' disponibile qui:
http://www.sarc.com/avcenter/venc/data/w32.sober.x@mm.htmlUlteriori informazioni sono reperibili ai seguenti indirizzi:
http://www.sophos.com/virusinfo/analyses/w32soberz.html
http://it.trendmicro-europe.com/enterprise/vinfo/encyclopedia.php?VName=WORM_SOBER.AG
SalvaPC News
supplemento di Punto Informatico (http://punto-informatico.it)

http://www.salvapc.com/
    © 2001-2019 TraniViva è un portale gestito da InnovaNews srl. Partita iva 08059640725. Testata giornalistica telematica registrata presso il Tribunale di Trani. Tutti i diritti riservati.
    TraniViva funziona grazie ai messaggi pubblicitari che stai bloccandoPer mantenere questo sito gratuito ti chiediamo disattivare il tuo AdBlock. Grazie.