Si sta diffondendo la variante X di Sober, un "mass mailing worm" che presenta molte caratteristiche comuni con le precedenti varianti, ovvero l'invio di email contenenti una copia del worm verso tutti gli indirizzi trovati all'interno del computer infettato. Solo oggi tuttavia Sober.X è passato nelle scale degli osservatori antivirus dalla fase di attenzione a quella di allarme, un evento che negli ultimi mesi non era piu' accaduto. Sono ora invece attese ulteriori versioni capaci di creare problemi agli utenti Windows. Altre varianti di Sober erano già state oggetto delle segnalazioni di SalvaPC, tutte nell'anno 2004: la "I" in novembre, la "D" in marzo e Sober.C nel gennaio 2004, trattati rispettivamente nei numeri 100, 87 e 76 di SalvaPC News.
CHE DANNI PROVOCA
Sober.X, oltre ad inviare un gran numero di messaggi contenenti se stesso, non crea ulteriori danni nei computer infettati. Tuttavia l'utilizzo delle risorse del computer e quelle di rete può generare instabilità.
QUALI I SISTEMI A RISCHIO
A rischio sono tutti i sistemi operativi Windows dalla versione 95 in poi, Windows Server 2003 compreso.
COME FUNZIONA
Una volta attivato nel computer vittima, Sober.X avverte della sua presenza presentando un messaggio in una finestra dal titolo "WinZip Self-Extractor" e con il testo "Error in packed Header". Subito dopo copia se stesso nelle cartelle di sistema utilizzando come nome del file i tre seguenti: csrss.exe services.exe smss.exe Questi nomi di file hanno l'obiettivo di indurre gli utenti a pensare che si possa trattare di file di Windows (in particolare, si possono confondere con alcuni "servizi").
Sober.X crea anche una miriade di altri file, alcuni funzionali all'invio di se stesso agli indirizzi email che trova nel computer infettato, altri dei quali per ora non e' stata riscontrata alcuna attivita' malevola. Sober.X si occupa anche del registro di Windows, dove inserisce le chiavi appropriate per assicurarsi di essere avviato ogni volta viene riacceso il sistema. Solo a questo punto il worm comincia a testare la connessione ad Internet ed a cercare nei file presenti nel computer indirizzi email ai quali autoinviarsi.
COME RICONOSCERLO
Il messaggio di posta elettronica che contiene Sober.X puo' presentarsi sia in inglese che in tedesco e il soggetto puo' essere uno dei seguenti: Registration Confirmation Your Password smtp mail failed, Mail delivery failed, Give a new mail address, You visit illegal websites Your IP was logged Paris Hilton & Nicole Richie Account Information, Ihr Passwort SMTP Mail gescheitert Mailzustellung wurde unterbrochen, Ermittlungsverfahren wurde eingeleitet Sie besitzen Raubkopien RTL, Wer wird Millionaer Sehr geehrter Ebay-Kunde.
Anche il testo del messaggio viene scelto casualmente tra alcuni predeterminati. Per conoscere i testi possibili e' possibile seguire i link di approfondimento in fondo a questo numero di SalvaPC. L'allegato dell'email puo' avere nomi diversi ma ha sempre l'estensione ".zip" ed ha la dimensione di 55.390 Byte.
COME PROTEGGERSI
Aggiornare quanto prima le definizioni dei software antivirus. Tutti i principali produttori hanno rilasciato gli aggiornamenti necessari a proteggere i computer da questa nuova epidemia.