Sober.I si diffonde rapidamente in Europa

Sober.I si diffonde rapidamente in Europa

Una nuova variante del worm Sober si sta rapidamente diffondendo in Europa.

di pubblicata il , alle 08:45 nel canale Sicurezza
 
Panda Software ha isolato per prima una nuova variante del worm Sober.
Sober.I si sta rapidamente diffondendo principalmente in Europa, tanto da costringere gran parte delle società di antivirus ha innalzare il livello di allarme.

Il worm, scritto in Visual Basic, arriva attraverso delle e-mail scritte in inglese e tedesco.
L'oggetto delle e-mail può essere:

Confirmation
Delivery_failure_notice
Details
Faulty_mail delivery
illegal signs in your mail
invalid mail
mail delivery system
Mail delivery_failed
Mail Error
Mail_Delivery_failure
Oh God it's
Registration confirmation
Your mail password
Your Password

o, in tedesco,

Richter unterstuetzt kriminelle Auslaenderin

Il testo della e-mail può essere:

Protected message is attached!

Your password was changed successfully!

Any of the lines above could be followed by the following text:
++++++ User-Service: http://www.%sender's mail domain%
++++++ MailTo: postmaster@sysinternals.com

Il worm aggiunge alla fine del testo una falsa riga che dichiara una falsa scansione di un antivirus:

*-*-* Attachment: No Virus found
*-*-* %recipient's mail domain%- Anti_Virus Service
*-*-* http://www.%recipient's mail domain%

Una volta eseguuti nel sistema, il worm crea i seguenti files all'interno della directory di sistema di Windows:

- Due files il cui nome è composto dalle seguenti liste:
sys, host, dir, expoler, win, run, log, 32, disc, crypt, data, diag, spool, service, smss32.
(Esempio: logsys.exe, syssmss32.exe, data32service, win32, runlog , etc.)

- CLONZIPS.SSC e ZIPPEDSR.PIZ. Questi files, in formato MIME, contengono il worm compresso

- CLSOBERN.ISC e NONZIPSR.NOZ. Copie del worm in formato MIME

- WINROOT64.DAL, WINSEND32.DAL, WINMPROT.DAL e WINEXERUN.DAL. Questi files contengono gli indirizzi e-mail che il worm trova all'interno del pc infetto e ai quali si manderà automaticamente

- CVQAIKXT.APK, DGSSXY.YOI, ODIN-ANON.GER, SYSMMS32.LLA e SB2RUN.DII. Files la cui grandezza è 0 bytes

Il worm crea le seguenti chiavi all'interno del registro:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

%key% = %sysdir%\ %file1% %srun%
%key% = %sysdir%\ %file2%

dove %key% è un nome random creato utilizzato la stessa lista precedentemente mostrata, %sysdir% è la directory di sistema e %file1% e %file2% sono i nomi dei files creati.

Il worm cerca gli indirizzi e-mail all'interno dei files con le seguenti estensioni:

ABC, ABD, ABX, ADB, ADE, ADP, ADR, ASP, BAK, BAS, CFG, CGI, CLS, CMS, CSV, CTL, DB, DBX, DHTM, DOC, DSP, DSW, EML, FDB, FRM, HLP, IMB, IMH, IMH, IMM, INBOX, INI, JSP, LDIF, LOG, MBX, MDA, MDB, MDE, MDW, MDX, MHT, MMF, MSG, NAB, NCH, NFO, NSF, NWS, ODS, OFT, PHP, PL, PMR, PP, PPT, PST, RTF, SHTML, SLK, SLN, STM, TBB, TXT, UIN, VAP, VBS, VCF, WAB, WSH, XHTML, XLS e XML.

Il worm non è pericoloso e dannoso per il sistema, tuttavia può rallentare il traffico di rete e occupare le risorse di sistema, rallentando il pc.

Si raccomanda di aggiornare il proprio software antivirus e di effettuare una scansione del sistema.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

22 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Prome21 Novembre 2004, 08:59 #1
ma nemmeno di domenica c'è pace
Dias21 Novembre 2004, 10:17 #2

Panda Software ha isolato per prima una nuova variante del worm Sober.


Chissà perchè sia stata la prima...
Luxor8321 Novembre 2004, 11:17 #3
Originariamente inviato da Dias

Panda Software ha isolato per prima una nuova variante del worm Sober.


Chissà perchè sia stata la prima...

Straquoto.....................................
Buffus21 Novembre 2004, 12:18 #4

ma

vorreste dire che è panda che diffonde sto virus?
lasa21 Novembre 2004, 12:32 #5
Certo che l'oggetto delle mail infette è fatto apposta per fregare la gente.....
marck7721 Novembre 2004, 12:45 #6
Mi sono arrivate un paio di email infette col worm tra ieri e l'altroieri. Ovviamente sebbene il mio antivirus ancora non le abbia riconosciute (così come non le ha riconosciute l'antivirus del provider che protegge la mia casella), mi sono ben guardato dall'aprire quegli allegati... Effettivamente l'email mi ha "interessato" al primo momento.. ma poi un email che ti manda una nuova password in un file zippato (LOL) ha tradito la vera intenzione del messaggio...
wolfnyght21 Novembre 2004, 13:14 #7
argh!basta!so stufo con sti viruz....ma al posto di infettare il Mondo con sta roba non son capaci a trovarsi una ragazza?mo gli darei la massima pena a quelli!senza pc a vita!grrrrrrrrrr
WarDuck21 Novembre 2004, 13:18 #8
E dire che noi italiani (così come altri che non hanno l'inglese come prima lingua) dovremmo essere pure + avvantaggiati per riconoscere queste email... insomma dovremmo sapere dove ci siamo registrati, se stiamo aspettando un'email con la password o meno... inoltre quali allegati stiamo aspettando.
Una email in inglese ce la dovremmo aspettare solo in alcuni casi, pensate invece a chi è di origine inglese, è un po' + complesso...

Io non capisco la gente che ci casca...
SoldatoAlex21 Novembre 2004, 13:25 #9

-_-

Non hanno niente di mejo da fare sti qua?
Non so.. ad esempio, trombare, uscire ecc..
Mah... -.-'
Banus21 Novembre 2004, 13:45 #10
"Di Sober.I purtroppo esiste una variante corrotta che, per qualche ragione non ancora chiarita, raggiunge il computer della vittima all'interno di un file incompleto, situazione che mette in crisi i sistemi antivirus che possono non riuscire a rilevare il worm."

E' particolarmente bastardo il virus.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^