Virus: dalla Germania Sober.I
![[img]](/mediamytech/006010001958.jpg)
Il worm si è diffuso nel fine settimana ben oltre la media. Due le varianti. Già pronti i rimedi » Sicurezza in primo piano» Virus alert
Meglio proteggersi Peccato che, più che la mamma, l’utente debba in seguito ringraziare l’antivirus (sempre che sia aggiornato): Sober.I - che nel fine settimana ha infettato un consistente numero di Pc in Europa - si diffonde proprio così nei paesi di lingua tedesca. Per chi non è tedesco, il worm assume una forma meno esplicita e - per certi versi - invitante: ha mittente e oggetto variabile, ma il messaggio fa riferimento ad un cambio password avvenuto con successo e a un errore avvenuto subito dopo l’invio del messaggio, con conseguente rimozione dell’account in questione.
Anche qui l’invito è ad aprire un allegato (a volte due: il secondo è un semplice backup del primo, giusto per accrescere le probabilità di fare danni), con conseguenze immaginabili.
Il worm [le informazioni da Trend Micro oppure da Symantec] non è in sé una novità: discende da Sober.A, che ha di recente compiuto il primo anno di vita, e ne ricalca il comportamento, sfruttando un proprio motore Smtp per diffondersi.
Dopo una verifica sulla porta 37/Tcp dell’eventuale attività di rete, il worm installa il motore Smtp, evitando di inviare le e-mail infette a specifici indirizzi, piazza alcuni eseguibili nella directory di Windows e definisce due nuove chiavi nel registro di sistema per rimanere residente in memoria.
I vendor - concordi nel definire “medio” il rischio legato a Sober.I - hanno già approntato strumenti specifici per la rimozione del worm, oppure definizioni per i propri scanner antivirus in grado di rilevare e rimuovere il worm.
Ancora nessun commento.