UN WORM DALLE MOLTE FACCE
Gira da poco prima di Natale e ha ora raggiunto il massimo della propria diffusione in Italia un worm, noto come Sober.C, che si presenta come allegato di un messaggio infetto. I contenuti del messaggio variano di volta in volta e, in taluni casi, hanno intimorito gli utenti meno smaliziati inducendoli cosi' ad aprire l'allegato. Sober.C puo' infettare tutti i sistemi Windows successivi a Windows95.
DI CHE SI TRATTA
Sober.C e' un worm dotato di un proprio sistema SMTP che gli consente di auto-spedirsi dal computer infetto a tutti gli indirizzi email che recupera sul computer colpito. Gli indirizzi vengono ricercati non solo nella rubrica di Windows ma anche in tutti quei file che potrebbero contenerne.
In questo modo Sober.C e' in grado di inserire in un nuovo ulteriore file tutti gli indirizzi e, alla prima occasione, spedire a ciascuno di essi un messaggio con allegato infetto.
Se viene attivato, il worm presenta un messaggio di errore fasullo mentre comincia a raccogliere gli indirizzi nel file Savesyss.dll della directory System di Windows. Subito dopo modifica le chiavi di registro per attivarsi ogni volta che viene aperto Windows. A quel punto il worm e' installato e inizia a spedire i messaggi infetti.
COME RICONOSCERLO
Il worm e' scritto per presentare di volta in volta una email con diverso soggetto e diverso nome del file allegato. Inoltre, il mittente dell'email e' scelto tra gli indirizzi raccolti dai computer infetti e puo' dunque ingannare chi riceve l'email infetta.
Il testo del messaggio varia di volta in volta e la variante in assoluto piu' diffusa in Italia e' un testo che sembra studiato per spaventare gli utenti Internet che facciano uso di software peer-to-peer per la condivisione dei file. Un messaggio che sostanzialmente avverte che l'IP dell'utente e' stato registrato dall'FBI e che l'utente stesso sara' denunciato per lo scaricamento di film, mp3 e software protetti dal diritto d'autore. Una plateale bufala che, a quanto pare, spinge pero' tanti ad aprire l'allegato infetto al messaggio.
Con meno frequenza vengono segnalati a SalvaPC versioni di Sober.C che nel messaggio avvertono della presenza di un trojan horse sul proprio computer, un software malevolo, oppure promettono fantastiche vincite per chi e' appassionato di videogiochi online e via dicendo.
Ma ecco il testo, in inglese, dell'email infetta che maggiormente si sta diffondendo in Italia:
Ladies and Gentlemen,
Downloading of Movies, MP3s and Software is illegal and punishable by law. We hereby inform you that your computer was scanned under the IP 239.152.228.184 . The contents of your computer were confiscated as an evidence, and you will be indicated. In the next days you will receive the charge in writing. In the Reference code: #15965, are all files, that we found on your computer. The sender address of this mail was masked, to fend off mail bombs.
- You get more detailed information by the Federal Bureau of Investigation -FBI- - Department for Illegal Internet Downloads, Room 7350 - 935 Pennsylvania Avenue - Washington, DC 20535, USA - (202) 324-3000
COME PROTEGGERSI
Come sempre e' necessario non aprire gli allegati che arrivano inattesi via email, tantomeno quelli spediti da mittenti che magari si conoscono ma che, nel messaggio dell'email, riportano una lettera standard in inglese o in tedesco, come accade con Sober.C.
Per proteggersi e' naturalmente sempre buona abitudine mantenere aggiornate le definizioni del proprio antivirus.
ULTERIORI INFORMAZIONI
Chi fosse incappato in Sober.C puo' ricorrere per liberarsene alle istruzioni fornite dal produttore britannico Sophos a questo indirizzo: http://www.sophos.com/support/disinfection/worms.html
Oppure utilizzando i tool messi a disposizione da Symantec: http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.removal.tool.html
Fonte: SalvaPC News
Gira da poco prima di Natale e ha ora raggiunto il massimo della propria diffusione in Italia un worm, noto come Sober.C, che si presenta come allegato di un messaggio infetto. I contenuti del messaggio variano di volta in volta e, in taluni casi, hanno intimorito gli utenti meno smaliziati inducendoli cosi' ad aprire l'allegato. Sober.C puo' infettare tutti i sistemi Windows successivi a Windows95.
DI CHE SI TRATTA
Sober.C e' un worm dotato di un proprio sistema SMTP che gli consente di auto-spedirsi dal computer infetto a tutti gli indirizzi email che recupera sul computer colpito. Gli indirizzi vengono ricercati non solo nella rubrica di Windows ma anche in tutti quei file che potrebbero contenerne.
In questo modo Sober.C e' in grado di inserire in un nuovo ulteriore file tutti gli indirizzi e, alla prima occasione, spedire a ciascuno di essi un messaggio con allegato infetto.
Se viene attivato, il worm presenta un messaggio di errore fasullo mentre comincia a raccogliere gli indirizzi nel file Savesyss.dll della directory System di Windows. Subito dopo modifica le chiavi di registro per attivarsi ogni volta che viene aperto Windows. A quel punto il worm e' installato e inizia a spedire i messaggi infetti.
COME RICONOSCERLO
Il worm e' scritto per presentare di volta in volta una email con diverso soggetto e diverso nome del file allegato. Inoltre, il mittente dell'email e' scelto tra gli indirizzi raccolti dai computer infetti e puo' dunque ingannare chi riceve l'email infetta.
Il testo del messaggio varia di volta in volta e la variante in assoluto piu' diffusa in Italia e' un testo che sembra studiato per spaventare gli utenti Internet che facciano uso di software peer-to-peer per la condivisione dei file. Un messaggio che sostanzialmente avverte che l'IP dell'utente e' stato registrato dall'FBI e che l'utente stesso sara' denunciato per lo scaricamento di film, mp3 e software protetti dal diritto d'autore. Una plateale bufala che, a quanto pare, spinge pero' tanti ad aprire l'allegato infetto al messaggio.
Con meno frequenza vengono segnalati a SalvaPC versioni di Sober.C che nel messaggio avvertono della presenza di un trojan horse sul proprio computer, un software malevolo, oppure promettono fantastiche vincite per chi e' appassionato di videogiochi online e via dicendo.
Ma ecco il testo, in inglese, dell'email infetta che maggiormente si sta diffondendo in Italia:
Ladies and Gentlemen,
Downloading of Movies, MP3s and Software is illegal and punishable by law. We hereby inform you that your computer was scanned under the IP 239.152.228.184 . The contents of your computer were confiscated as an evidence, and you will be indicated. In the next days you will receive the charge in writing. In the Reference code: #15965, are all files, that we found on your computer. The sender address of this mail was masked, to fend off mail bombs.
- You get more detailed information by the Federal Bureau of Investigation -FBI- - Department for Illegal Internet Downloads, Room 7350 - 935 Pennsylvania Avenue - Washington, DC 20535, USA - (202) 324-3000
COME PROTEGGERSI
Come sempre e' necessario non aprire gli allegati che arrivano inattesi via email, tantomeno quelli spediti da mittenti che magari si conoscono ma che, nel messaggio dell'email, riportano una lettera standard in inglese o in tedesco, come accade con Sober.C.
Per proteggersi e' naturalmente sempre buona abitudine mantenere aggiornate le definizioni del proprio antivirus.
ULTERIORI INFORMAZIONI
Chi fosse incappato in Sober.C puo' ricorrere per liberarsene alle istruzioni fornite dal produttore britannico Sophos a questo indirizzo: http://www.sophos.com/support/disinfection/worms.html
Oppure utilizzando i tool messi a disposizione da Symantec: http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.removal.tool.html
Fonte: SalvaPC News
