Comparso per la prima volta nel 2003, il worm continua a circolare sulla Rete
Sober torna a far parlare di sé. Dai maggiori produttori di antivirus arrivano
infatti segnalazioni di nuove varianti del worm, apparso per la prima volta nell’ottobre
2003.
F-Secure ha identificato quattro nuove varianti di Sober. Kaspersky parla di
tre varianti. Queste ultime sono comunque delle modifiche al medesimo codice
maligno che arriva come allegato a un messaggio di posta elettronica.
Il messaggio viene distribuito con il campo oggetto vuoto oppure con scritte
in inglese o tedesco (ad esempio Registration Confirmation oppure
Haben Sie diese EMail verschickt).
Nel corpo del messaggio può essere riportata la seguente frase che invita
l’utente ad aprire il file allegato: Thanks for your registration..
Your data are saved in the zipped Word.doc file!
I nomi degli allegati identificati fino adesso sono i seguenti: Exceltab-packed_list.exe;p.
Liste.zip; Reg-List-Dat_Packer2.exe; reg_text.zip; Word-Text.zip; Word-Text_packedList.exe;
Word-Text_packedList.zi
Il worm si attiva solo se l’utente apre l’allegato. L’avvio
del file visualizza un falso messaggio di errore (WinZip Self-Extractor.).
WinZip_Data_Module is missing ~Error
Dopodichè, il worm fa una copia di se stesso nella cartella di sistema
di Windows e aggiorna il Registry per l’avvio automatico a ogni boot di
Windows.
Il worm utilizza un proprio motore interno SMTP per inviare e-mail di spamming,
con l’obiettivo di intasare i mail server e compromettere le performance
di rete.
Maggiori informazioni sul worm sono disponibili, fra gli altri, sui siti di
F-Secure,
Symantec,
Trend
Micro.
