Transmenu powered by JoomlArt.com - Mambo Joomla Professional Templates Club

Sober è un worm di tipo mass-mailing, cioè si diffonde tramite posta elettronica, il testo può essere in inglese o in tedesco, però questa variante è in grado di decidere che lingua usare a seconda dell’estensione dell’indirizzo del destinatario, la lingua tedesca è riservata a chi ha un e-mail in Svizzera (.ch), Germania (.de), Austria (.at) o Liechtenstein (.il). Le versioni precedenti invece usavano solamente la lingua germanica.

Per infettare il computer bisogna eseguire l’allegato alla mail, il worm invita a questa operazione fornendo nel subject l'avviso di una mancata recapitazione o dell'invio di una password.

Una volta installatosi Sober fa comparire il messaggio” WinZip_Data_Module is missing ~Error: {2A0DCCF6}”. A questo punto il virus crea 15 files, due dei quali hanno nomi casuali, mentre gli altri risultano essere

clonzips.ssc
clsobern.isc
cvqaikxt.apk
dgssxy.yoi
nonzipsr.noz
Odin-Anon.Ger
sb2run.dii
sysmms32.lla
winexerun.dal
winmprot.dal
winroot64.dal
winsend32.dal
zippedsr.piz

mentre i files eseguibili

logsys.exe
syssmss32.exe

sono stati segnalati come quelli usati per agire.

Il virus crea anche una copia di se stesso in caso la prima venga cancellata.

La mail inoltre dichiara di essere stata debitamente controllata da un antivirus e di essere “pulita”. Una volta installatosi il worm rallenta notevolmente il sistema operativo colpito, che deve essere uno tra Windows 2000, 95, 98, Me, Nt, Xp e Windows Server 2003.

Sober-I si ritrasmette a tutta la lista della rubrica trovata sul computer del malcapitato, evitando però di spedirsi ad indirizzi che contengono alcune stringhe particolari.

Il consiglio è di aggiornare velocemente gli antivirus.