2258 Letture

Allarme per l'ennesima versione di Sober

Sober torna a far parlare di sé. Dai maggiori produttori di antivirus arrivano infatti segnalazioni di nuove varianti del worm, apparso per la prima volta nell'ottobre 2003.
F-Secure ha identificato quattro nuove varianti di Sober. Kaspersky parla di tre varianti. Queste ultime sono comunque delle modifiche al medesimo codice maligno che arriva come allegato a un messaggio di posta elettronica.
Il messaggio viene distribuito con il campo oggetto vuoto oppure con scritte in inglese o tedesco (ad esempio Registration Confirmation oppure Haben Sie diese EMail verschickt).
Nel corpo del messaggio può essere riportata la seguente frase che invita l'utente ad aprire il file allegato: Thanks for your registration. Your data are saved in the zipped Word.doc file!.
I nomi degli allegati identificati fino adesso sono i seguenti: Exceltab-packed_list.exe; Liste.zip; Reg-List-Dat_Packer2.exe; reg_text.zip; Word-Text.zip; Word-Text_packedList.exe; Word-Text_packedList.zip.
Il worm si attiva solo se l'utente apre l'allegato. L'avvio del file visualizza un falso messaggio di errore (WinZip Self-Extractor. WinZip_Data_Module is missing ~Error). Dopodiché, il worm fa una copia di se stesso nella cartella di sistema di Windows e aggiorna il Registry per l'avvio automatico a ogni boot di Windows.
Il worm utilizza un proprio motore interno SMTP per inviare e-mail di spamming, con l'obiettivo di intasare i mail server e compromettere le performance di rete.
Maggiori informazioni sul worm sono disponibili, fra gli altri, sui siti di F-Secure, Symantec, Trend Micro.

Allarme per l'ennesima versione di Sober - IlSoftware.it