I laboratori di Network Associates portano da basso a medio il livello di rischio del nuovo worm massmailer
22 dicembre 2003 Da basso a medio. I laboratori McAfee Avert hanno elevato la
valutazione di rischio per il nuovo worm massmailer W32/Sober.C@Mm BEAVERTON,
cononsciuto anche come Sober.c.
Si tratta di un worm abbastanza diffuso che
contiene il proprio motore Smtp e ha come bersaglio gli indirizzi email che
vengono raccolti dal computer della vittima.
Una volta attivato, Sober.c si
auto invia agli indirizzi contenuti nella rubrica di Microsoft Outlook
dell’utente. I messaggi in uscita vengono creati dal motore Smtp del worm stesso
e possono essere scritti sia in inglese che in tedesco, e il nome dell’allegato
può variare.
Le intestazioni dei messaggi posso essere le seguenti:
Betr:
Klassentreffen
Testen Sie ihren IQ
Bankverbindungs- Daten
Neuer
Dialer Patch!
Ermittlungsverfahren wurde eingeleitet
Ihre IP wurde
geloggt
Sie sind ein Raubkopierer
Sie tauschen illegal Dateien aus
Ich hasse dich
Ich zeige sie an!
Sie Drohen mir
you are an idiot
why me?
I hate you
Preliminary investigation were started
Your
IP was logged
You use illegal File Sharing
In allegato messaggi che
possono terminare con una delle seguenti estensioni, e possono essere preceduti
da .txt o .doc, e/o un numero a caso: .com – .bat – .cmd – .pif – .scr – .exe –
.com.
Una volta eseguito, Sober.c estrae gli indirizzi email dal pc
dell’utente e li scrive sul file SaveSyss.Dll nella directory %SysDir%.
Altre due copie del worm vengono lasciate nella directory %SysDir%, con nomi
che possono variare. Per esempio, “%SysDir%\OndMonstr.exe” e
“%SysDir%\DatmScrypt.exe.”
Le due copie controllano che il worm rimanga
nella memoria.
Informazioni sul virus e gli aggiornamenti resi
disponibili da Avert sono disponibili all’indirizzo
http://vil.nai.com/vil/content/v_100912.htm . Inoltre, gli utenti di prodotti
anti-virus McAfee Security possono trovare aggiornamenti di sistema completi
all’indirizzo http://www.networkassociates.com/us/downloads/updates/.
