Ultimamente, in Italia, è diffusissimo un nuovo worm, il Sober.C, che potremmo definire "antiP2P" e che si autotrasmette via mail dai computer già infetti. La situazione va peggiorando sempre più, semplicemente a causa di quello che è il messaggio più diffuso tra le tante varianti: si avverte infatti l'utente di essere stato oggetto di una scannerizzazione del proprio PC con rilevamento di materiale illegale e successivi provvedimenti, che di conseguenza induce il destinatario della mail, intimorito, ad aprire l'allegato (un file .bat, il contenitore del worm).
Qui di seguito dunque c'è una guida che ha lo scopo di fornire maggiori informazioni su tale fenomeno.
UN WORM DALLE MOLTE FACCE
Gira da poco prima di Natale e ha ora raggiunto il massimo della propria diffusione in Italia un worm, noto come Sober.C, che si presenta come allegato di un messaggio infetto. I contenuti del messaggio variano di volta in volta e, in taluni casi, hanno intimorito gli utenti meno smaliziati inducendoli così ad aprire l'allegato. Sober.C può infettare tutti i sistemi Windows successivi a Windows95.
DI CHE SI TRATTA
Sober.C è un worm dotato di un proprio sistema SMTP che gli consente di auto-spedirsi dal computer infetto a tutti gli indirizzi email che recupera sul computer colpito. Gli indirizzi vengono ricercati non solo nella rubrica di Windows ma anche in tutti quei file che potrebbero contenerne.
In questo modo Sober.C è in grado di inserire in un nuovo ulteriore file tutti gli indirizzi e, alla prima occasione, spedire a ciascuno di essi un messaggio con allegato infetto.
Se viene attivato, il worm presenta un messaggio di errore fasullo mentre comincia a raccogliere gli indirizzi nel file Savesyss.dll della directory System di Windows. Subito dopo modifica le chiavi di registro per attivarsi ogni volta che viene aperto Windows. A quel punto il worm è installato e inizia a spedire i messaggi infetti.
COME RICONOSCERLO
Il worm è scritto per presentare di volta in volta una email con diverso soggetto e diverso nome del file allegato. Inoltre, il mittente dell'email è scelto tra gli indirizzi raccolti dai computer infetti e può dunque ingannare chi riceve l'email infetta.
Il testo del messaggio varia di volta in volta e la variante in assoluto più diffusa in Italia è un testo che sembra studiato per spaventare gli utenti Internet che facciano uso di software peer-to-peer per la condivisione dei file. Un messaggio che sostanzialmente avverte che l'IP dell'utente è stato registrato dall'FBI e che l'utente stesso sarà denunciato per lo scaricamento di film, mp3 e software protetti dal diritto d'autore. Una plateale bufala che, a quanto pare, spinge però tanti ad aprire l'allegato infetto al messaggio.
Con meno frequenza vengono segnalati a SalvaPC versioni di Sober.C che nel messaggio avvertono della presenza di un trojan horse sul proprio computer, un software malevolo, oppure promettono fantastiche vincite per chi è appassionato di videogiochi online e via dicendo.
Ma ecco il testo, in inglese, dell'email infetta che maggiormente si sta diffondendo in Italia:
Ladies and Gentlemen,
Downloading of Movies, MP3s and Software is illegal and punishable by law.
We hereby inform you that your computer was scanned under the IP 239.152.228.184 . The contents of your computer were confiscated as an evidence, and you will be indicated. In the next days you will receive the charge in writing.
In the Reference code: #15965, are all files, that we found on your computer.
The sender address of this mail was masked, to fend off mail bombs.
- You get more detailed information by the Federal Bureau of Investigation -FBI-
- Department for Illegal Internet Downloads, Room 7350
- 935 Pennsylvania Avenue
- Washington, DC 20535, USA
- (202) 324-3000
Una variante ha in allegato un file .com con il seguente messaggio:
NEW!
More than 84.000 entries on our page:
All about:
Pokemon, YU-GI-OH, DragonballZ, BeyBlade, Ranma 1/2, and and and
Games, Video's, Pic's, Cards, MP3s, Screen-saver, and and and
and many many more!
And NO DIALERS!
have fun
COME PROTEGGERSI
Come sempre è necessario non aprire gli allegati che arrivano inattesi via email, tantomeno quelli spediti da mittenti che magari si conoscono ma che, nel messaggio dell'email, riportano una lettera standard in inglese o in tedesco, come accade con Sober.C.
Per proteggersi è naturalmente sempre buona abitudine mantenere aggiornate le definizioni del proprio antivirus.
ULTERIORI INFORMAZIONI
Chi fosse incappato in Sober.C può ricorrere per liberarsene alle istruzioni fornite dal produttore britannico Sophos a questo indirizzo:
www.sophos.com/support/disinfection/worms.html
Oppure utilizzando i tool messi a disposizione da Symantec:
http://securityresponse.symantec.com...oval.tool.html
[Fonte http://punto-informatico.it/]