[NEWS] Attenti al Sober.C

[space king]

Ultimamente, in Italia, è diffusissimo un nuovo worm, il Sober.C, che potremmo definire "antiP2P" e che si autotrasmette via mail dai computer già infetti. La situazione va peggiorando sempre più, semplicemente a causa di quello che è il messaggio più diffuso tra le tante varianti: si avverte infatti l'utente di essere stato oggetto di una scannerizzazione del proprio PC con rilevamento di materiale illegale e successivi provvedimenti, che di conseguenza induce il destinatario della mail, intimorito, ad aprire l'allegato (un file .bat, il contenitore del worm).
Qui di seguito dunque c'è una guida che ha lo scopo di fornire maggiori informazioni su tale fenomeno.

UN WORM DALLE MOLTE FACCE
Gira da poco prima di Natale e ha ora raggiunto il massimo della propria diffusione in Italia un worm, noto come Sober.C, che si presenta come allegato di un messaggio infetto. I contenuti del messaggio variano di volta in volta e, in taluni casi, hanno intimorito gli utenti meno smaliziati inducendoli così ad aprire l'allegato. Sober.C può infettare tutti i sistemi Windows successivi a Windows95.

DI CHE SI TRATTA
Sober.C è un worm dotato di un proprio sistema SMTP che gli consente di auto-spedirsi dal computer infetto a tutti gli indirizzi email che recupera sul computer colpito. Gli indirizzi vengono ricercati non solo nella rubrica di Windows ma anche in tutti quei file che potrebbero contenerne.
In questo modo Sober.C è in grado di inserire in un nuovo ulteriore file tutti gli indirizzi e, alla prima occasione, spedire a ciascuno di essi un messaggio con allegato infetto.
Se viene attivato, il worm presenta un messaggio di errore fasullo mentre comincia a raccogliere gli indirizzi nel file Savesyss.dll della directory System di Windows. Subito dopo modifica le chiavi di registro per attivarsi ogni volta che viene aperto Windows. A quel punto il worm è installato e inizia a spedire i messaggi infetti.

COME RICONOSCERLO
Il worm è scritto per presentare di volta in volta una email con diverso soggetto e diverso nome del file allegato. Inoltre, il mittente dell'email è scelto tra gli indirizzi raccolti dai computer infetti e può dunque ingannare chi riceve l'email infetta.
Il testo del messaggio varia di volta in volta e la variante in assoluto più diffusa in Italia è un testo che sembra studiato per spaventare gli utenti Internet che facciano uso di software peer-to-peer per la condivisione dei file. Un messaggio che sostanzialmente avverte che l'IP dell'utente è stato registrato dall'FBI e che l'utente stesso sarà denunciato per lo scaricamento di film, mp3 e software protetti dal diritto d'autore. Una plateale bufala che, a quanto pare, spinge però tanti ad aprire l'allegato infetto al messaggio.
Con meno frequenza vengono segnalati a SalvaPC versioni di Sober.C che nel messaggio avvertono della presenza di un trojan horse sul proprio computer, un software malevolo, oppure promettono fantastiche vincite per chi è appassionato di videogiochi online e via dicendo.
Ma ecco il testo, in inglese, dell'email infetta che maggiormente si sta diffondendo in Italia:

Ladies and Gentlemen,
Downloading of Movies, MP3s and Software is illegal and punishable by law.

We hereby inform you that your computer was scanned under the IP 239.152.228.184 . The contents of your computer were confiscated as an evidence, and you will be indicated. In the next days you will receive the charge in writing.
In the Reference code: #15965, are all files, that we found on your computer.
The sender address of this mail was masked, to fend off mail bombs.


- You get more detailed information by the Federal Bureau of Investigation -FBI-
- Department for Illegal Internet Downloads, Room 7350
- 935 Pennsylvania Avenue
- Washington, DC 20535, USA
- (202) 324-3000

Una variante ha in allegato un file .com con il seguente messaggio:

NEW!
More than 84.000 entries on our page:

All about:
Pokemon, YU-GI-OH, DragonballZ, BeyBlade, Ranma 1/2, and and and
Games, Video's, Pic's, Cards, MP3s, Screen-saver, and and and
and many many more!

And NO DIALERS!

have fun

COME PROTEGGERSI
Come sempre è necessario non aprire gli allegati che arrivano inattesi via email, tantomeno quelli spediti da mittenti che magari si conoscono ma che, nel messaggio dell'email, riportano una lettera standard in inglese o in tedesco, come accade con Sober.C.
Per proteggersi è naturalmente sempre buona abitudine mantenere aggiornate le definizioni del proprio antivirus.

ULTERIORI INFORMAZIONI
Chi fosse incappato in Sober.C può ricorrere per liberarsene alle istruzioni fornite dal produttore britannico Sophos a questo indirizzo:
www.sophos.com/support/disinfection/worms.html
Oppure utilizzando i tool messi a disposizione da Symantec:
http://securityresponse.symantec.com...oval.tool.html


[Fonte http://punto-informatico.it/]

[Prometeo]

Mi era già capitato nella casella emal, lollissimo vedere che quell'ip non era il mio

[Sir Avalon]

Sicuramente mi sarà arrivata nella mia casella mail,ma visto che non la apro da mesi...^_^
COmunque almeno qualcuno si sentirà più tranquillo

[Porco9a77o]

ma soprattutto e lo vedere ladies and gentleman
uao cosa ho vinto...

[Ceck the sound]

Mi era arrivata quella e-mail , e mi aveva leggermente spaventato , ma dopo 3 secondi e finita dritta nel cestino .So che anche L'Oracolo ne parlava di questa e-mail .


Come effetto puo dare , quando spegni il pc l'avviso : IL PROGRAMMA PROJEKT1 NN RISPONDE
????????
sapete , mi capita a me e ad altri miei amici .Io formattando ho risolto , ma nn so che era , sapete aiutarmi ????Grazie , e grazie per le info .

[space king]

Inviato da Ceck the sound
Mi era arrivata quella e-mail , e mi aveva leggermente spaventato , ma dopo 3 secondi e finita dritta nel cestino .So che anche L'Oracolo ne parlava di questa e-mail .


Come effetto puo dare , quando spegni il pc l'avviso : IL PROGRAMMA PROJEKT1 NN RISPONDE
????????
sapete , mi capita a me e ad altri miei amici .Io formattando ho risolto , ma nn so che era , sapete aiutarmi ????Grazie , e grazie per le info .

Quel che posso supporre è che fosse un'applicazione ancora in corso durante lo spegnimento del PC: quando sei andato per spegnere, si è tentato anche di chiudere quel programma, che però non rispondeva al tentativo.

[Ceck the sound]

Inviato da space king
Quel che posso supporre è che fosse un'applicazione ancora in corso durante lo spegnimento del PC: quando sei andato per spegnere, si è tentato anche di chiudere quel programma, che però non rispondeva al tentativo.

Sì , cercava di terminarlo ma niente .Ma mi insospettisce perche capita anche ai miei amici .



Cmq sapete , dopo il ORMAT , e appena mi sono connesso indovinate un po ?????Avevo gia il Worms Blaster .
Per fortuna lo conoscevo e ho riparato , dato che avevo tenuto da parte il tool per rimuoverlo , ma è un virus ancora in circolazione allora ?!?!?!Nn si stanca mai ?????

[Skaven]

Ma se quella mail non mi e' mai arrivata non sono infetto da quel virus vero?

[Ceck the sound]

Inviato da Skaven
Ma se quella mail non mi e' mai arrivata non sono infetto da quel virus vero?

Anche se l'hai ricevuto nn sei infettato , a patto che tu nn abbia aperto l'allegato .

[Skaven]

Inviato da Ceck the sound
Anche se l'hai ricevuto nn sei infettato , a patto che tu nn abbia aperto l'allegato .

Grazie per il chiarimento

[Sephiroth]

Questa è carina, soprattutto per gli utenti più inesperti...
Comunque, noi non anglofoni abbiamo almeno il vantaggio dell'insospettirci, vedendo una mail non italiana (certo, se poi si sta avendo una corrispondenza con un non italiano si sa il suo indirizzo, no?).

[Wardevil]

A me non è arrivata....
Persino un worm di codesta potenza trema dinnanzi a me,Wardevil....

Cmq,visto che nell'ultimo mese ho cambiato tre e-mail,credo che anche Saber si sarà stufato di rintracciarmi...

[Fedaykin]

Scusate se uppo questo topic, ma credo che non sia un problema, visto ke vorrei trattarte di questo virus. Oggi mi è arrivata una strana mail:

More than 75.000 freeware games!!!

Genre:
-> 8500 online games = 3D Shooter, RPG, Action, Adventure, ...

non online games:
-> Action = 4200 games
-> 3D Shooter's = 7500 games
-> RPG's = 6800 games
-> Adventure's = 5400 games
-> ROM's for NES, SNES, PS1&2, GC ,GB, MD, SMS, .. = 29.000 ROM's
- others = 16900 games

all free!!

Download and enjoy

Ovviamente, io non ho aperto il file .exe che era allegato, proprio avendo letto questo topic. Ma subito dopo mi è arrivata questa:

These recipients of your message have been processed by the mail server:
*******@jumpy.it; Failed; 5.2.2 (mailbox full)

*******@jumpy.it; Failed; 5.2.2 (mailbox full)

dove i due indirizzi non facevano comunque parte della mia rubrica.Insiame a questa mail mi arrivavano in allegato la mail che ho postato prima e un altro file.Ho fatto una scansione e non ho trovato nulla, quindi chiedo aiuto a voi.

[Ceck the sound]

Mi date il link preciso del tool per rimuoverlo dal pc ????
Nn lo trovo .8(
Grazie .

[Aurox]

a me ne sono arrivate circa 5 di mail con questo allegato