Il ritorno di Sobig: nuova ondata di worm

Il ritorno di Sobig: nuova ondata di worm

Segnalato nella giornata di ieri una notevole diffusione dell'ultima versione del worm Sobig. Attenzione anche a Welchia: apparentemente benevolo, ma meglio essere prudenti!

di pubblicata il , alle 12:56 nel canale Sicurezza
 

Qualche mese fa Sobig.e aveva letteralmente "spopolato" in rete, causando non pochi danni. Al momento i più importanti istituti per la sicurezza informatica segnalano una nuova potenziale epidemia causata da Sobig.f

W32/Sobig.f@MM è stato isolato nella giornata di ieri e, come tutti i worm, si diffonde autoinviandosi attraverso allegati di posta elettronica. Gli indirizzi email vengono "sniffati" dalle consuete rubriche indirizzi presenti sul sistema, mentre per l'invio viene utilizzato un motore SMTP interno (il virus contiene un elenco di indirizzi IP relativi a server NTP da utilizzare).

I dati relativi al mittente vengono modificati, in tal modo l'identificazione del "pc untore" è parecchio difficile.

Il worm, quando viene "erroneamente" attivato, crea un file eseguibile C:\WINNT\WINPPR32.EXE ed un files di configurazione C:\WINNT\WINSTT32.DAT; per garantire l'esecuzione al riavvio del sistema operativo, inserisce nel registro di sistema alcune chiavi.

Come per le versioni precedenti di Sobig, anche la variante F terminerà la propria diffusione il giorno 10 Settembre 2003. Al momento non è noto alcun effetto distruttivo di questo worm, ma già solo il massiccio numero di email che crea e lo sniffing dei propri indirizzi di posta non sono elementi da trascurare.

Le più famose software house hanno rilasciato recentemente un aggiornamento delle definition list, attraverso cui Sobig F viene correttamente neutralizzato.

Qualora il sistema sia però stato già infettato, o per un più approfondito controllo, a questo indirizzo trovate il tool di rimozione sviluppato da Symantec.

Non recente quanto Sobig f, ma forse più pericoloso, è il wom Welchia, che purtroppo sfruttando alcune vulnerabilità dei sistemi operativi Microsoft può avere effetti distruttivi sui dati e destabilizzanti sul sistema.

Il worm sfrutta un noto bug su RPC di Windows 2000 ed XP per entrare tramite la porta 135. Una volta attivo scarica se stesso in locale tramite TFTP e inizia la sua attività, apparentemente non distruttiva. Welchia elimina MSBlast (un'altro recente worm!) e scarica le patch ufficiali dal sito Microsoft per correggere le vulnerabilità su RPC (al termine di tale operazione il sistema viene riavviato).

Nachi (altro nome con cui viene chiamato Welchia) rimane poi attivo sul sistema fino al primo Gennaio 2004, giorno in cui si cancellerà automaticamente.

Anche se apparentemente Welchia sembra innoffensivo, anzi provvede all'eliminazione di un'altro worm, il traffico generato in rete da tale diffusione può creare non pochi problemi ed inoltre questi sono solo gli effetti ad oggi noti, in futuro il worm potrebbe mutare le proprie caratteristiche ed attuvare una routine in qualche modo pericolosa.

Ulteriori informazioni circa Welchia sono disponibili qui.

Da quanto si apprende dalle informazioni rilasciate dai vari istituti per la sicurezza, ancora una volta sembra evidente che un sistema Windows aggiornato ed un antivirus con le ultime definition list possono garantire una discreta tranquillità.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

29 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
lasa20 Agosto 2003, 13:03 #1
Maledetti.....
TheDarkAngel20 Agosto 2003, 13:07 #2
apperò.... il buggino di microsoft è passato sott'okkio devo dire...
joe4th20 Agosto 2003, 13:15 #3
questa volta temo che abbia superato i precedenti
per diffusione... Solo oggi amavis ne
ha intercettati gia' una decina...

GeForce-Fx20 Agosto 2003, 13:26 #4

W32.Blaster.Worm

Io ho preso il Virus W32.Blaster.Worm che qui da me stà facendo disastri!Ma grazie a Norton e alla patch di Windows,ho risolto il problema.
peler20 Agosto 2003, 13:35 #5
ma non ho capito, se si ha la patch di windows che corregge gli errori del RPC, che serviva anche per il W32.Blaster.worm, si è protetti o pure no da Welchia?
grazie
giruz20 Agosto 2003, 14:36 #6
x peler: se hai la patch sei protetto. se pero' sei infetto e installi la patch resti cmq un utente che "diffonde" il virus...giruz
Eraser|8520 Agosto 2003, 14:59 #7
certo.. corregge il bug dell'rpc e quindi quella porta (la 135) diventa inutilizzabile
pippo_200320 Agosto 2003, 15:25 #8

Ma cosa aspettate per passare a Linux???

???
J0J020 Agosto 2003, 21:48 #9
linus, pippo, pluto, Charlie Brown e vecchi merletti...

continua a mangiare noccioline...
che e' meglio.
Carpix20 Agosto 2003, 22:59 #10

Ciao

ciao a tutti, ma io è da un pò di tempo che appena si sente parlare di un virus, worm, trojan beccato sulla rete, la prima frase che si legge ma cosa aspettate a passare a linux, ma microsoft in questo caso cosa c'entra, è colpa del sistema operativo, un amico usa linux e mi ha assicurato che anche lui becca virus che tolgono stabilità al sistema operativo, in questo caso cosa si fa si passa a MAC?
Scusate l'intromissione ma la mia era una semplice curiosità.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^