Network Associates e Symbolic hanno dato notizia della nuova infezione che ha iniziato a propagarsi il 31 maggio, ossia proprio quando Sobig.B avrebbe dovuto disattivarsi. Al nuovo worm viene attribuito rischio medio
3 giugno 2003 Verso la metà dello scorso mese si è propagato il
virus worm Palyh (Sobig.B), una variante del ceppo Sobig. Tale virus era
caratterizzato da una peculiarità: avrebbe dovuto cessare il suo effetto il 31
maggio. Ma come era facile pensare, a partire da tale data si è scoperta
l’esistenza di una nuova variante della famiglia Sobig, Sobig.C.
A darne notizia sono Network Associates e Symbolic, che fanno notare
come il nuovo worm abbia caratteristiche molto simili a Palyh ma in questa
nuova variante la mail non finge di provenire da support@microsoft.com. Usa invece degli
indirizzi trovati sul disco della macchina infetta, indirizzi che quindi
non necessariamente sono la reale fonte di infezione.
Il worm può arrivare con un messaggio di posta elettronica con le seguenti
caratteristiche:
Da: tizio@vattalepesca.com (può essere un
qualsiasi indirizzo presente nella posta)
Oggetto: (uno dei
seguenti)
* Approved
* Re: 45443-343556
* Re: Application
* Re:
Approved
* Re: Movie
* Re: Screensaver
* Re: Submitted (004756-3463)
* Your application
Allegati: (uno dei seguenti)
*
45443.pif, application.pif, approved.pif, document.pif, documents.pif,
movie.pif, sscreensaver.scr, submitted.pif
(facciamo notare che il virus si
può propagare con un’estensione “.PI” invece che “.PIF”).
Corpo del
testo: Please see the attached file
Come il suo
predecessore, anche questo worm è “a scadenza”: è infatti programmato per
non propagarsi più a partire dall’8 giugno 2003. Ovviamente, per evitare sia il contagio sia l’eventuale propagazione, il
consiglio è quello di aggiornare le definizioni dei virus del proprio
programma antivirus.