ATTENZIONE !!! Da ieri la variante I di Sober, un “mass mailing worm”

20 Novembre 2004 Off Di Life

In passato altre varianti di Sober hanno raggiunto la “soglia di attenzione”, la D nello scorso marzo e Sober.C nel gennaio 2004, trattati rispettivamente nel numero 87 e 76 di SalvaPC News.

UNA VARIANTE CORROTTA
———————

Di Sober.I purtroppo esiste una variante corrotta che, per qualche ragione non ancora chiarita, raggiunge il computer della vittima all'interno di un file incompleto, situazione che mette in crisi i sistemi antivirus che possono non riuscire a rilevare il worm.

In particolare, una versione “corrotta” di Sober.I puo' riuscire ad installarsi nel computer senza trovare alcuna opposizione dai software di protezione. Si puo' riconoscere un computer infettato in questo modo perche' all'avvio di Windows si riesce a vedere per pochissimi istanti una finestra del “prompt dei comandi DOS”, la classica finetra nera che appare anche quando si sceglie dal menu' Avvio il “prompt dei comandi”.

Se un computer viene infettato da una versione corrotta di Sober.I bisogna necessariamente procedere alla sua rimozione manualmente, seguendo le istruzioni pubblicate dai centri antivirus e disponibili agli indirizzi riportati in fondo a questo messaggio.

CHE DANNI PROVOCA
—————–

Sober.I, oltre ad inviare un gran numero di messaggi contenenti se stesso, puo' scaricare ed eseguire programmi nel computer infettato attraverso la porta TCP 37.

QUALI I SISTEMI A RISCHIO
————————-

Questa nuova variante di Beagle e' in grado di infettare tutti i sistemi operativi Windows dalla versione 95 in poi, Windows Server 2003 compreso.

COME FUNZIONA
————-

Appena avviato su di un computer scatta l'infezione che prevede varie operazioni:

– Per primo, all'utente appare una finestra di errore con la scritta: “WinZip_Data_Module is missing ~Error: {2A0DCCF6}”

– Vengono creati 15 file nella cartella di sistema di Windows, due di questi file hanno un nome casuale, gli altri sono i seguenti:

clonzips.ssc
clsobern.isc
cvqaikxt.apk
dgssxy.yoi
nonzipsr.noz
Odin-Anon.Ger
sb2run.dii
sysmms32.lla
winexerun.dal
winmprot.dal
winroot64.dal
winsend32.dal
zippedsr.piz

– Modifica del registro di Windows con l'impostazione dei parametri di avvio del computer in modo da essere sempre avviato ad ogni accensione.

– Download di file: in questa fase grazie alla backdoor sulla porta TCP 37 il worm potrebbe scaricare sul computer un file prelevato da “home.arcor.de”, seppure al momento nessuno dei file che Sasser.I ha tentato di scaricare sono presenti su quel server.

– Scandaglia l'hard disk del computer alla ricerca di indirizzi email, cercandoli all'interno dei file.

– Utilizza un proprio server SMTP per inviare a tutti gli indirizzi recuperati sul computer infetto una email con una copia di se stesso. L'utilizzo di un proprio server SMTP impedisce agli utenti di percepire questa operazione.

COME RICONOSCERLO
—————–

Il messaggio di posta elettronica che contiene Sober.I non ha segni distintivi, il mittente dell'email e' casuale, il soggetto viene scelto tra una lunga serie di breve frasi in inglese o tedesco, cosi' come il corpo del messaggio con la sola differenza che spesso le frasi sono piu' d'una.

L'allegato dell'email puo' avere nomi ed estensioni diversi, cosi' come avere doppie estensioni, pratica quest'ultima che inganna l'utente facendogli sembrare, ad esempio, che l'allegato sia un semplice file di testo (txt) mentre in relta' una seconda estensione non visibile e' il comando di attivazione del worm: cliccando sul file non si apre il file di testo ma si avvia l'infezione del computer.

COME PROTEGGERSI
—————-

Aggiornare quanto prima le definizioni dei software antivirus. Al momento in cui scriviamo ancora non e' presente una cura contro le versioni corrotte di Sober.I per le quali e' necessaria la massima attenzione, avendo cura di eliminare i messaggi sospetti senza aprirli.

ULTERIORI INFORMAZIONI
———————-

Un tool di rimozione in inglese per Sober.I e' a disposizione al seguente indirizzo:
http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.removal.tool.html

Per le versioni corrotte di Sober.I bisogna invece seguire le istruzioni (in inglese) per rimuovere manualmente il worm ai seguenti indirizzi (dove si trova anche una descrizione completa del worm):
http://www.sarc.com/avcenter/venc/data/w32.sober.i@mm.html
oppure
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOBER.I

Altre informazioni su questa variante di Beagle sono disponibili in inglese al seguente indirizzo:
http://www.sophos.com/virusinfo/analyses/w32soberi.html

———————————————————————-
Fonte: SalvaPC News
supplemento di Punto Informatico (http://punto-informatico.it)

Speciale Natale 2004

Borsellino: la sua vita valeva solo 200 milioni di lire. A cura di A. De Blasi.