Notizie Vulnerabilita' Sober promette due biglietti per i mondiali di calcio del 2006 I tetti di Roma
 |
| Sober promette due biglietti per i mondiali di calcio del 2006 |
|
|
| Scritto da Valentina | |
| Thursday 05 May 2005 | |
|
Una nuova variante del virus Sober è stata individuata dalle maggiori case antivirus, Sober.K è già ad allarme giallo perché, anche se per ora è poco diffuso, si spaccia per un comunicato della FIFA, annunciando la vittoria di due biglietti per i prossimi mondiali di calcio, che si svolgeranno in Germania nel 2006. Sober è un worm di tipo mass-mailing, le sue varianti negli ultimi tempi hanno destato molte preoccupazioni nel mondo dei virus, in particolar modo la variante K che girava per la Rete spacciandosi per una falsa mail proveniente dall'FBI o con altri escamotage di facile successo, come quello di promettere materiale su Paris Hilton. Sober-K è entrato prepotentemente nelle top ten dei virus, soppiantando la precedente versione, Sober-I, che aveva la peculiarità di saper riconoscere la lingua dei destinatari e di mutare il testo di conseguenza. Dalla sua comparsa, che risale all'incirca a metà febbraio 2005, la variante K del worm è arrivata al settimo posto nella classifica di Sophos del mese di febbraio e al quarto posto in quella di marzo. Ma, a quanto pare, gli utenti si sono fatti un po' più furbi e Sober-K è sparito dalla top ten del mese appena trascorso. Non sorprende quindi l'allerta che c'è ora per una nuova variante del worm, i virus-writer sono astuti e hanno prontamente mutato l'infezione in una nuova combinazione delle due precedenti. Il nuovo pericolo si chiama Sober.S, almeno per quanto riguarda Trend Micro, che per prima ne ha dato la segnalazione; l'estensione cambia invece per McAfee, che battezza il worm W32/Sober.p@MM, mentre F-Secure lo chiama Sober.P (Alias: Email-Worm.Win32.Sober.p, W32.Sober.O@mm, W32/Sober.gen@MM) e infine Sophos lo denomina W32/Sober-N, la solita confusione insomma…. Ma cerchiamo di capire meglio di cosa si tratta: il worm si propone in lingua inglese o in lingua tedesca e, nella sua versione più minacciosa, si spaccia per una comunicazione della FIFA (Fédération Internationale de Football Association); in particolare per allettare gli utenti all'apertura dell'allegato (in modo che il virus possa installarsi sui computer) la mail annuncia al destinatario la vincita di due biglietti per la Coppa del Mondo di calcio che si terrà nel 2006 in Germania. I biglietti per i mondiali del prossimo anno sono infatti molto ricercati e i tifosi di calcio nel mondo sono tantissimi, quindi una comunicazione del genere potrebbe avere una forte presa e garantire la diffusione del virus in una maniera alquanto rapida. Il virus colpisce le piattaforme Windows (XP, 2000, 98, ME e NT) e, anche se finora le segnalazioni sono poche, il suo alto potenziale di distribuzione e la sua pericolosità lo fanno classificare come a "rischio medio". Dopo essere stato scaricato, il file infettante deve venir decompresso dal formato .zip, durante l'estrazione il virus, tramite un'applicazione in Visual Basic, fa apparire all'utente n messaggio d'errore e a quel punto il vostro computer è infetto. Una volta installatosi sul computer il file infetto cambia delle chiavi nel registro di sistema, crea nuovi file nella sua directory di installazione (packed1.sbr, packed2.sbr e packed3.sbr) e si rispedisce tramite posta elettronica ai vostri contatti di Outlook. Per difendersi da quella che rischia di essere una nuova epidemia bisogna fare molta attenzione, soprattutto a non aprire e scaricare mail. La posta elettronica contenente Sober.S ha nel nome del mittente una delle seguenti (per la lingua inglese): administrator, hostmaster, info o webmaster. Come titolo la mail ha registration confirmation, your password, your email was blocked o simili. Il messaggio è diversificato a seconda dei domini (e quindi se è inglese o in tedesco), in generale però sarà qualcosa del tipo ''Congratulations, you have won tickets'' con il conseguente invito ad aprire l'allegato. A volte riporta anche un contatto o un link in cui mettere userid e password contenute nel file allegato. Per capire se avete preso il virus potete controllare l'esistenza dei seguenti file, che vengono creati da Sober:
e dei seguenti (che sono copie del worm):
Inoltre il worm tenta di contattare i seguenti server:
Per maggiori dettagli sul worm, sui suoi sintomi e sulla sua rimozione, vi rimandiamo alle relative pagine di Sophos, Trend Micro, F-Secure e McAfee sopra riportate. Alla fine della rimozione vi consigliamo di seguire questa procedura per rimuovere completamente l'infezione, come al solito però vi raccomandiamo di farla solo se avete una certa esperienza di "Regedit", perché se non sapete dove mettere le mani potreste fare più danni di Sober: *Aprite il "Regedit" (Start->Esegui-> scrivere Regedit e dare invio) *Fate un backup della configurazione (dal menu: File->Esporta->click su Tutto in basso a sinistra poi Salva) *Trovate HKEY_LOCAL_MACHINE e aprite le chiavi e cancellate ogni riferimento ai file che avete cancellato per rimuovere il worm. *Trovate il vostro registro utenti HKEY_USERS[numero di codice indicativo di ciascun utente]. *In questo registro aprite la chiave e cancellate ogni riferimento ai file rimossi per togliere il worm. *Chiudete il "Regedit". La conoscenza della minaccia in questo caso può essere una buona prevenzione, quindi diffondete la notizia. Articoli correlati: Attenzione a Nopir, il worm che cancella gli Mp3 |
| < Prec. | Pros. > |
|---|
Ydea S.r.l. P.I.07450431007
Joomla! un software libero rilasciato sotto licenza GNU/GPL.
