Si sta diffondendo la variante I di Sober, un "mass mailing worm" che presenta molte caratteristiche comuni con le precedenti versioni, ovvero l'invio di email contenenti una copia del worm verso tutti gli indirizzi trovati all'interno dal computer infettato. In passato altre varianti di Sober hanno raggiunto la "soglia di attenzione", la D nello scorso marzo e Sober.C nel gennaio 2004, trattati rispettivamente nel numero 87 e 76 di SalvaPC News. Di Sober.I purtroppo esiste una variante corrotta che, per qualche ragione non ancora chiarita, raggiunge il computer della vittima all'interno di un file incompleto, situazione che mette in crisi i sistemi antivirus che possono non riuscire a rilevare il worm. In particolare, una versione "corrotta" di Sober.I puo' riuscire ad installarsi nel computer senza trovare alcuna opposizione dai software di protezione. Si puo' riconoscere un computer infettato in questo modo perche' all'avvio di Windows si riesce a vedere per pochissimi istanti una finestra del "prompt dei comandi DOS", la classica finetra nera che appare anche quando si sceglie dal menu' Avvio il "prompt dei comandi". Se un computer viene infettato da una versione corrotta di Sober.I bisogna necessariamente procedere alla sua rimozione manualmente, seguendo le istruzioni pubblicate dai centri antivirus e disponibili agli indirizzi riportati in fondo a questo messaggio.
CHE DANNI PROVOCA
Sober.I, oltre ad inviare un gran numero di messaggi contenenti se stesso, puo' scaricare ed eseguire programmi nel computer infettato attraverso la porta TCP 37.
QUALI I SISTEMI A RISCHIO
Questa nuova variante di Beagle e' in grado di infettare tutti i sistemi operativi Windows dalla versione 95 in poi, Windows Server 2003 compreso.
COME FUNZIONA
Appena avviato su di un computer scatta l'infezione che prevede varie operazioni: - Per primo, all'utente appare una finestra di errore con la scritta: "WinZip_Data_Module is missing ~Error: {2A0DCCF6}" - Vengono creati 15 file nella cartella di sistema di Windows, due di questi file hanno un nome casuale, gli altri sono i seguenti: clonzips.ssc clsobern.isc cvqaikxt.apk dgssxy.yoi nonzipsr.noz Odin-Anon.Ger sb2run.dii sysmms32.lla winexerun.dal winmprot.dal winroot64.dal winsend32.dal zippedsr.piz - Modifica del registro di Windows con l'impostazione dei parametri di avvio del computer in modo da essere sempre avviato ad ogni accensione. - Download di file: in questa fase grazie alla backdoor sulla porta TCP 37 il worm potrebbe scaricare sul computer un file prelevato da "home.arcor.de", seppure al momento nessuno dei file che Sasser.I ha tentato di scaricare sono presenti su quel server. - Scandaglia l'hard disk del computer alla ricerca di indirizzi email, cercandoli all'interno dei file. - Utilizza un proprio server SMTP per inviare a tutti gli indirizzi recuperati sul computer infetto una email con una copia di se stesso. L'utilizzo di un proprio server SMTP impedisce agli utenti di percepire questa operazione.
COME RICONOSCERLO
Il messaggio di posta elettronica che contiene Sober.I non ha segni distintivi, il mittente dell'email e' casuale, il soggetto viene scelto tra una lunga serie di breve frasi in inglese o tedesco, cosi' come il corpo del messaggio con la sola differenza che spesso le frasi sono piu' d'una. L'allegato dell'email puo' avere nomi ed estensioni diversi, cosi' come avere doppie estensioni, pratica quest'ultima che inganna l'utente facendogli sembrare, ad esempio, che l'allegato sia un semplice file di testo (txt) mentre in relta' una seconda estensione non visibile e' il comando di attivazione del worm: cliccando sul file non si apre il file di testo ma si avvia l'infezione del computer.
COME PROTEGGERSI
Aggiornare quanto prima le definizioni dei software antivirus. Al momento in cui scriviamo ancora non e' presente una cura contro le versioni corrotte di Sober.I per le quali e' necessaria la massima attenzione.