La nuova variante si nasconde dietro un messaggio d’avviso dell’FBI. La crescente diffusione preoccupa gli esperti di sicurezza
Se si pensa che la prima versione è datata ottobre 2003 si rimane interdetti.
Eppure è così. Sober continua a far parlare di sé.
E la nuova variante non va presa affatto sotto gamba: nella notte hanno cominciato
a circolare diverse milioni di e-mail infette e F-Secure ha
deciso di innalzare il livello di pericolosità a 1, quello massimo.
Sophos ha comunicato che Sober.Z (oppure X, W, AH a seconda dei produttori)
da solo fa oltre il 60% di tutti i malware in circolazione.
La nuova versione di Sober arriva come allegato di una e-mail in lingua inglese
o tedesca. I testi dei messaggi di posta cui si accompagna sono di vario tipo,
con prevalenza di un falso allarme dell’FBI che avverte
gli utenti di aver visitato siti illegali.
Perché il PC si infetti, bisogna aprire il file compresso allegato (di
circa 55 KB). Una volta avviato l’eseguibile, si apre una finestra con
un falso messaggio d’errore.
Il worm crea una sottocartella WinSecurity nella directory
di Windows, dove copia i file services.exe, csrss.exe, smss.exe
che contengono il codice maligno.
Dopodichè, il worm spedisce copie del messaggio prendendo gli indirizzi
dalle rubriche presenti nel PC.
Alla fine del processo, viene mostrato un messaggio nel quale si spiega che
non è stato trovato nessun virus o trojan con l’obiettivo di tranquillizzare
gli utenti.
Maggiori informazioni sono disponibili sul sito di F-Secure
o di Panda
Software.
