Sober.Y: è allarme rosso su Internet

Sober.Y: è allarme rosso su Internet

É il primo allarme rosso dopo tanti mesi per la società di sicurezza informatica F-Secure e le cifre lo confermano: Sober.Y si sta rapidamente diffondendo.

di pubblicata il , alle 08:15 nel canale Sicurezza
 
Allarme rosso, e stavolta è il primo dopo tanti mesi per F-Secure, società di sicurezza informatica finlandese.

Sober.Y, questo è il nome della variante del worm che si sta diffondendo in maniera impressionante durante le ultime ore.

Il numero di e-mail infette ha raggiunto e superato in poche ore il milione.

Il worm, isolato già il 16 Novembre scorso, è diventato una mina vagante nella complessa rete informatica mondiale solo da questo lunedì.

Il worm, scritto in Visual Basic e compresso con UPX, si diffonde attraverso un'e-mail scritta in tedesco e inglese e si spaccia per una e-mail proveniente dall'FBI o dalla CIA.

I mittenti possono essere:

Department@fbi.gov (o anche Office@, Admin@, Mail@, Post@)
Department@cia.gov (o anche Office@, Admin@, Mail@, Post@)

mentre il testo dell'e-mail è:

Dear Sir/Madam,

we have logged your IP-address on more than 30 illegal Websites.

Important:

Please answer our questions!

The list of questions are attached.

Yours faithfully,

Steven Allison

*** Federal Bureau of Investigation -FBI-

*** 935 Pennsylvania Avenue, NW, Room 3220

*** Washington, DC 20535

*** phone: (202) 324-3000

o, se si spaccia per la CIA, la firma sarà:

++++ Central Intelligence Agency -CIA-

++++ Office of Public Affairs

++++ Washington, D.C. 20505

++++ phone: (703) 482-0623

++++ 7:00 a.m. to 5:00 p.m., US Eastern time

Il nome degli allegati può variare tra:

question_list.zip
list.zip

Una volta eseguito il worm cerca di terminare i processi che contengono nel proprio nome una di queste stringhe:

microsoftanti gcas
gcip
giantanti
inetupd.
nod32kui
nod32.
fxsbr
avwin.
guardgui.
aswclnr
stinger
hijack
sober
brfix
s_t_i_n
s-t-i-n

Di seguito crea una sotto directory all'interno della directory di Windows denominata "WinSecurity" e copia al suo interno questi files:

services.exe
csrss.exe
smss.exe
mssock1.dli
mssock2.dli
mssock3.dli
winmem1.ory
winmem2.ory
winmem3.ory
socket1.ifo
socket2.ifo
socket3.ifo

utilizzati per collezionare gli indirizzi e-mail e contenere il codice del worm codificato.

Il worm poi aggiunge le seguenti chiavi di registro:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
" Windows" = "%WinDir%\WinSecurity\services.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"_Windows" = "%WinDir%\WinSecurity\services.exe"

e crea i seguenti files vuoti all'interno della directory di Windows:

nonrunso.ber
langeinf.lin
runstop.rst
rubezahl.rub
bbvmwxxf.hml
filesms.fms

Questi files sono utilizzati per disattivare eventuali varianti del Sober. Il worm blocca l'accesso a questi files e ricrea le chiavi di registro se vengono cancellate.

Infine il worm può scaricare e installare files sul pc infettato.

L'FBI ha rilasciato un comunicato stampa a riguardo, a questo indirizzo http://www.fbi.gov/pressrel/pressrel05/emailscheme112205.htm

Si raccomanda come al solito di cancellare eventuali e-mail sconosciute e di aggiornare il proprio software antivirus.

Si ricorda in aggiunta per i più sbadati di installare il software "Buon Senso" per la gestione delle e-mail con allegati sconosciuti ;)

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

41 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
x_Master_x23 Novembre 2005, 08:30 #1
"Si ricorda in aggiunta per i più sbadati di installare il software "Buon Senso" per la gestione delle e-mail con allegati sconosciuti "

Peccato che questo software lo conoscono in pochi...
zbear23 Novembre 2005, 08:37 #2
Gli utonti sooono taaaanti, milioni di miliooooni .....

S'infettan come caproni, caproni di qualità !!!


Meglio del negronetto .......
RedDrake23 Novembre 2005, 09:12 #3
grande zbear
sari23 Novembre 2005, 09:16 #4
Originariamente inviato da: x_Master_x
"Si ricorda in aggiunta per i più sbadati di installare il software "Buon Senso" per la gestione delle e-mail con allegati sconosciuti "

Peccato che questo software lo conoscono in pochi...


Io scommetto che una buona percentuale di persone si è chiesta dove si scarica e se si trova sul mulo...
Dumah Brazorf23 Novembre 2005, 09:18 #5
Al solito se non fosse per gli utonti la maggior parte dei virus farebbe ridere i polli...
GaeGiN23 Novembre 2005, 09:19 #6
Quanti mega è?
GIVDYX23 Novembre 2005, 09:27 #7
...i soliti Snob ... ...ma avete mai provato a pensare quanto possiamo esser utonti noi...nel campo...x esempio....giuridico ?
dr-omega23 Novembre 2005, 09:45 #8
Originariamente inviato da: Dumah Brazorf
Al solito se non fosse per gli utonti la maggior parte dei virus farebbe ridere i polli...

[OT]Come il virus dell'Aviaria.Un virus virtuale creato dai giornalisti che ha fatto danni solo per la fifa e l'apprensione creata alla gente.Tra la corsa all'acquisto di rimedi la cui efficacia è stata sempre in dubbio e la mancata vendita dei nostri sanissimi prodotti avicoli (lasciati marcire sugli scaffali), credo che il morbo dell'utonto sia più diffuso di quanto si creda...[/ot]
fukka7523 Novembre 2005, 09:48 #9
Giusto ieri le NIS2005 mi hanno avvisato della minaccia incombente e mi hanno aggiornato le firme
dr-omega23 Novembre 2005, 09:48 #10
Originariamente inviato da: GIVDYX
...i soliti Snob ... ...ma avete mai provato a pensare quanto possiamo esser utonti noi...nel campo...x esempio....giuridico ?


Nel campo giuridico non puoi usare il "buon senso".E' troppo specifico.Se invece fosse diffuso come la tecnologia e tutto ciò che ci gravita attorno...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^