Transmenu powered by JoomlArt.com - Mambo Joomla Professional Templates Club

Una e-mail dell'FBI sta girando in questi giorni in rete, i destinatari si vedono accusati di aver navigato in siti illegali in quanto controllati dall'FBI e invitati a compilare un questionario preparato appositamente da un  "Internet Fraud Complaint Center" dell'ufficio investigativo federale.

In realtà la mail è finta, non viene dall'FBI, anche se l'indirizzo del mittente trae facilmente in inganno, avendo un falso nome di ente governativo e un suffisso di tipo .org o .fbi. Non si tratta di una comunicazione dell'FBI, ma di un virus.

A dare l'allarme è stato proprio il Federal Bureau of Investigation, che ha anche consigliato vivamente di non aprire gli allegati contenuti nelle mail, nella nota proposta al pubblico si legge: "Queste e-mail non vengono dall'FBI. L'FBI non manda questo tipo di messaggi non richiesti al pubblico. […] L'FBI ha preso sul serio questo fatto e sta investigando. Gli utenti che ricevono mail di questo tipo sono invitati ad avvisare l'Internet Crime Complain Center all'indirizzo http://www.ic3.gov ". 

I creatori del virus hanno approfittato della momentanea "chiusura per lavori "di fbi.gov, che era stato preso di mira e violato.

Il virus responsabile è una nuova versione di un worm di vecchia conoscenza, pare infatti si tratti proprio di Sober.K, che si sta diffondendo velocemente in rete (sopratutto in Europa) con vari stratagemmi.

Sober aveva già usato una tecnica simile in passato, spacciandosi per mail della RIAA (l'equivalente della nostra Siae).

Oltre a diffondersi tramite la finta mail dell'FBI, Sober.K può arrivare anche in mail con indirizzi nei quali compare una delle seguenti parole: Service, Webmaster, Register, Hostmaster, Postmaster, police, Officer, Admin,Web, Security .

E inoltre segue parecchie tecniche per interessare i malcapitati utenti: la più gettonata dopo quella già descritta, è quella di promettere materiale su Paris Hilton, l'affascinante ereditiera della famosa catena di alberghi diventata star televisiva tramite i reality show, che ultimamente è stata bersagliata dalle nuove tecnologie (foto compromettenti diffuse in rete, come il suo numero di cellulare, la sua rubrica e-mail, etc..).

Gli attachments sono solitamente .zip.

Attenzione quindi a questo worm di tipo mass-mailing, perché è molto astuto e sta scatenando una vera e propria epidemia.

L'apertura dell'allegato della mail veicolante comporta l'immediato contagio e il conseguente reinvio automatico a tutti i contatti che trova nel vostro computer, poi cambia una serie di valori nei registri e esegue vari sottoprogrammini. 

Di per se stesso non è un virus particolarmente fastidioso, ma le grandi case di sicurezza ne danno l'allarme proprio per la sua facile diffondibilità.

La prima volta che viene eseguito Sober.K apre il Blocco Note e presenta un testo che inizia con "Text#674327:".

Oltre ad aggiornare gli antivirus (a breve saranno resi disponibili anche per questa variante) e a fare attenzione agli allegati che aprite, vi diamo anche dei consigli nel caso vi accorgeste di aver contratto l'infezione.

Seguite le istruzioni standard di rimozione dei worms di Sophos (variano per ogni tipo di sistema operativo) e alla fine eseguite anche la seguente procedura in modo da non ricaricare il virus successivamente (l'operazione richiede un minimo di competenza, quindi se non vi senite di farla rivolgetevi ad altri, perché si vanno a mettere le mani nel "regedit" e potreste fare più danni del worm):

*Aprite il "Regedit" (Start->Esegui-> scrivere Regedit e dare invio)

*Fate un backup della configurazione  (dal menu: File->Esporta->click su Tutto in basso a sinistra poi Salva)

*Trovate  HKEY_LOCAL_MACHINE e aprite le chiavi

   HKLMSoftwareMicrosoftWindowsCurrentVersionRun

   HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce

 e cancellate ogni riferimento ai file che avete cancellato per rimuovere il  worm.

*Trovate il vostro registro utenti HKEY_USERS[numero di codice  indicativo di ciascun utente].

*In questo registro aprite la chiave
HKU[numero di codice]SoftwareMicrosoftWindowsCurrentVersionRun
e cancellate ogni riferimento ai file rimossi per togliere il worm.

*Chiudete il "Regedit".

Articoli correlati:

FBI sotto attacco
Top ten virus 2004: l’anno di Netsky.
Attenzione alla nuova variante di Sober.
MyDoom: è di nuovo allarme.
Aggiornamento sul caso Indymedia.
Il silenzio di Indymedia