Sober.Y: è allarme rosso su Internet

Sober.Y, questo è il nome della variante del worm che si sta diffondendo in maniera impressionante durante le ultime ore.

Il numero di e-mail infette ha raggiunto e superato in poche ore il milione.

Il worm, isolato già il 16 Novembre scorso, è diventato una mina vagante nella complessa rete informatica mondiale solo da questo lunedì.

Il worm, scritto in Visual Basic e compresso con UPX, si diffonde attraverso un'e-mail scritta in tedesco e inglese e si spaccia per una e-mail proveniente dall'FBI o dalla CIA.

I mittenti possono essere:

Department@fbi.gov (o anche Office@, Admin@, Mail@, Post@)
Department@cia.gov (o anche Office@, Admin@, Mail@, Post@)

mentre il testo dell'e-mail è:

Dear Sir/Madam,

we have logged your IP-address on more than 30 illegal Websites.

Important:

Please answer our questions!

The list of questions are attached.

Yours faithfully,

Steven Allison

*** Federal Bureau of Investigation -FBI-

*** 935 Pennsylvania Avenue, NW, Room 3220

*** Washington, DC 20535

*** phone: (202) 324-3000

o, se si spaccia per la CIA, la firma sarà:

++++ Central Intelligence Agency -CIA-

++++ Office of Public Affairs

++++ Washington, D.C. 20505

++++ phone: (703) 482-0623

++++ 7:00 a.m. to 5:00 p.m., US Eastern time

Il nome degli allegati può variare tra:

question_list.zip
list.zip

Una volta eseguito il worm cerca di terminare i processi che contengono nel proprio nome una di queste stringhe:

microsoftanti gcas
gcip
giantanti
inetupd.
nod32kui
nod32.
fxsbr
avwin.
guardgui.
aswclnr
stinger
hijack
sober
brfix
s_t_i_n
s-t-i-n

Di seguito crea una sotto directory all'interno della directory di Windows denominata "WinSecurity" e copia al suo interno questi files:

services.exe
csrss.exe
smss.exe
mssock1.dli
mssock2.dli
mssock3.dli
winmem1.ory
winmem2.ory
winmem3.ory
socket1.ifo
socket2.ifo
socket3.ifo

utilizzati per collezionare gli indirizzi e-mail e contenere il codice del worm codificato.

Il worm poi aggiunge le seguenti chiavi di registro:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
" Windows" = "%WinDir%\WinSecurity\services.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"_Windows" = "%WinDir%\WinSecurity\services.exe"

e crea i seguenti files vuoti all'interno della directory di Windows:

nonrunso.ber
langeinf.lin
runstop.rst
rubezahl.rub
bbvmwxxf.hml
filesms.fms

Questi files sono utilizzati per disattivare eventuali varianti del Sober. Il worm blocca l'accesso a questi files e ricrea le chiavi di registro se vengono cancellate.

Infine il worm può scaricare e installare files sul pc infettato.

L'FBI ha rilasciato un comunicato stampa a riguardo, a questo indirizzo http://www.fbi.gov/pressrel/pressrel05/emailscheme112205.htm

Si raccomanda come al solito di cancellare eventuali e-mail sconosciute e di aggiornare il proprio software antivirus.

Si ricorda in aggiunta per i più sbadati di installare il software "Buon Senso" per la gestione delle e-mail con allegati sconosciuti ;)