| Autore |
 Discussione n. 1971  |
|
|
admin
Webmaster
Regione: Italy
Prov.: Pisa
Città: Capannoli
24851 Messaggi |
Inserito il - 28/01/2004 : 17:37:11
|
Sober.C è un audace ingannatore
Il worm si sta rivelando una delle minacce più concrete sulla rete colpendo in particolare l'Italia con virulenza. Al punto che un'agenzia nazionale lo scambia per un attacco di hacker contro la magistratura.
http://punto-informatico.it/p.asp?i=46651
23/01/04 - News - Roma - Nessuno quando è stato avvistato per la prima volta avrebbe potuto prevedere che Sober.C sarebbe stato un worm capace di infilarsi in una enorme quantità di computer in mezzo mondo né, tantomeno, che sarebbe divenuto una delle più gravi infezioni informatiche per i computer italiani.
Apparso a ridosso di Natale, Sober.C si presenta in messaggi di posta elettronica che cambiano di volta in volta e, evidentemente, riescono a stuzzicare sufficientemente gli utenti meno accorti che, se sono dotati di piattaforma Windows e non hanno aggiornato i propri strumenti di sicurezza, possono cadere nella sua trappola. Ci vuole ben poco, infatti, per attivare il worm: come tanti altri codici malevoli prima di lui, anche Sober.C è attivato aprendo l'allegato infetto del messaggio proveniente da un altro computer preventivamente infettato.
Sober.C, vedi anche il lancio di SalvaPC News, è un worm dalle molte facce che, a leggere le numerose segnalazioni che giungono quotidianamente in redazione, disorienta molti utenti. Questo perché si può presentare, per dirne una, come un messaggio (in inglese o in tedesco) nel quale si afferma che sono state condotte indagini sul PC dell'utente e sono stati scoperti materiali scaricati illegalmente come film o mp3, legando poi il tutto ad attività investigative dell'FBI. Che naturalmente nulla ha a che vedere con il worm.
La situazione di caos innescata dalla massiccia presenza di Sober.C sul network italiano è tale che ieri una importante agenzia di stampa lo ha scambiato per un attacco hacker di massa alle infrastrutture informatiche della magistratura. Un'azione che potrebbe più facilmente essere attribuibile a dei cracker ma che, in questo caso, è semmai il prodotto di un worm scritto bene da tuttora ignoti virus writer. Descrivendo una delle varianti di Sober.C, quella che parla di un addebito da 239 dollari su una non meglio precisata carta di credito, l'agenzia ha affermato che "è in corso da ieri in tutta Italia un attacco hacker" che sarebbe però bloccato, in questo caso, "dal già operativo sistema di protezione del firewall della rete giustizia".
Ma, al di là delle boutade, Sober.C non usa solo l'email per diffondersi. Come indicato dal produttore antivirus Sophos nella sua pagina di analisi del worm, Sober.C si diffonde anche attraverso file scambiati sulle reti del peer-to-peer. Dalla stessa pagina è anche accessibile un breve tutorial che consente di liberarsi del worm.
per la rimozione: http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.removal.tool.html
|
|
|
admin
Webmaster
Regione: Italy
Prov.: Pisa
Città: Capannoli
24851 Messaggi |
Inserito il - 28/01/2004 : 17:38:10
|
Sober.C, worm contro il P2P
N. 76 di mercoledì 7 gennaio 2004
UN WORM DALLE MOLTE FACCE
Gira da poco prima di Natale e ha ora raggiunto il massimo della propria diffusione in Italia un worm, noto come Sober.C, che si presenta come allegato di un messaggio infetto. I contenuti del messaggio variano di volta in volta e, in taluni casi, hanno intimorito gli utenti meno smaliziati inducendoli così ad aprire l'allegato. Sober.C può infettare tutti i sistemi Windows successivi a Windows95.
DI CHE SI TRATTA
Sober.C è un worm dotato di un proprio sistema SMTP che gli consente di auto-spedirsi dal computer infetto a tutti gli indirizzi email che recupera sul computer colpito. Gli indirizzi vengono ricercati non solo nella rubrica di Windows ma anche in tutti quei file che potrebbero contenerne.
In questo modo Sober.C è in grado di inserire in un nuovo ulteriore file tutti gli indirizzi e, alla prima occasione, spedire a ciascuno di essi un messaggio con allegato infetto.
Se viene attivato, il worm presenta un messaggio di errore fasullo mentre comincia a raccogliere gli indirizzi nel file Savesyss.dll della directory System di Windows. Subito dopo modifica le chiavi di registro per attivarsi ogni volta che viene aperto Windows. A quel punto il worm è installato e inizia a spedire i messaggi infetti.
COME RICONOSCERLO
Il worm è scritto per presentare di volta in volta una email con diverso soggetto e diverso nome del file allegato. Inoltre, il mittente dell'email è scelto tra gli indirizzi raccolti dai computer infetti e può dunque ingannare chi riceve l'email infetta.
Il testo del messaggio varia di volta in volta e la variante in assoluto più diffusa in Italia è un testo che sembra studiato per spaventare gli utenti Internet che facciano uso di software peer-to-peer per la condivisione dei file. Un messaggio che sostanzialmente avverte che l'IP dell'utente è stato registrato dall'FBI e che l'utente stesso sarà denunciato per lo scaricamento di film, mp3 e software protetti dal diritto d'autore. Una plateale bufala che, a quanto pare, spinge però tanti ad aprire l'allegato infetto al messaggio.
Con meno frequenza vengono segnalati a SalvaPC versioni di Sober.C che nel messaggio avvertono della presenza di un trojan horse sul proprio computer, un software malevolo, oppure promettono fantastiche vincite per chi è appassionato di videogiochi online e via dicendo.
Ma ecco il testo, in inglese, dell'email infetta che maggiormente si sta diffondendo in Italia:
Ladies and Gentlemen,
Downloading of Movies, MP3s and Software is illegal and punishable by law.
We hereby inform you that your computer was scanned under the IP 239.152.228.184 . The contents of your computer were confiscated as an evidence, and you will be indicated. In the next days you will receive the charge in writing. In the Reference code: #15965, are all files, that we found on your computer.
The sender address of this mail was masked, to fend off mail bombs.
- You get more detailed information by the Federal Bureau of Investigation -FBI- - Department for Illegal Internet Downloads, Room 7350 - 935 Pennsylvania Avenue - Washington, DC 20535, USA - (202) 324-3000
COME PROTEGGERSI
Come sempre è necessario non aprire gli allegati che arrivano inattesi via email, tantomeno quelli spediti da mittenti che magari si conoscono ma che, nel messaggio dell'email, riportano una lettera standard in inglese o in tedesco, come accade con Sober.C.
Per proteggersi è naturalmente sempre buona abitudine mantenere aggiornate le definizioni del proprio antivirus.
ULTERIORI INFORMAZIONI
Chi fosse incappato in Sober.C può ricorrere per liberarsene alle istruzioni fornite dal produttore britannico Sophos a questo indirizzo:
www.sophos.com/support/disinfection/worms.html
Oppure utilizzando i tool messi a disposizione da Symantec:
securityresponse.symantec.com/avcenter/venc/data/w32.sober.removal.tool.html
|
 |
|
| |
Discussione n. 1971 |
|
|
|
![[AmadeuX BiblioForum]](https://www.amadeux.it/forum/immagini/amadeuxcomm1.jpg "[AmadeuX BiblioForum]")
Sober.C è un audace ingannatore
