I laboratori di F-Secure lanciano l'allarme per una nuova variante del worm Sober, Sober.Y, simile al Sober.K apparso nello scorso febbraio e che come quello arriva come allegato di una mail in inglese o tedesco.

Scoperto la settimana scorsa, solo dal 21 Novembre si è cominciato a rilevare una diffusione massiccia del worm, in genere i testi dell'email che reca l'allegato sono di vario tipo anche falsi allarmi provenienti dall'Fbi.

A causa dell'aumento dei casi di infezione, il team di esperti della sicurezza del Symantec Security Response ha alzato a 3 il livello di pericolosità del virus W32.Sober.X@mm, su una scala di valori compresi tra 1 (gravità minore) e 5 (gravità maggiore).

"Mentre i "mass-mailer" worm non rappresentano in sé una novità, il comportamento zombie con cui hanno agito i computer già infettati dalle vecchie varianti di Sober non è da sottovalutare," ha spiegato a Zeus News Giuseppe Borgonovo, Pre-Sales Technical Manager Symantec Italia. "L'aumento del livello di pericolosità è dovuto appunto a tale comportamento, unitamente al fatto che il messaggio è stato veicolato in diverse lingue. Consigliamo quindi agli utenti di aggiornare i propri sistemi di sicurezza per proteggersi da possibili minacce e agli amministratori IT di implementare adeguate best practice sulla sicurezza per prevenire eventuali infezioni".

W32.Sober.X@mm è un worm mass-mailing che ricorre al proprio motore SMTP per autoinviarsi e diffondersi. Si presenta sottoforma di un innocuo allegato ad un messaggio di posta elettronica, inviato però da un computer infetto. Il Symantec Security Response ha rilevato per la prima volta questo malware il 19 novembre

Le potenziali vittime di questo worm possono ricevere un messaggio email, che sembra provenire dall'FBI o dalla CIA, o che invita l'utente a scaricare alcune foto di Paris Hilton. Maggiori informazioni disponibili qui.

Il Symantec Security Response ha inoltre innalzato il livello di ThreatCon da 1 a 2 (su una scala massima di 4), a causa dell'aumento della diffusione del W32.Sober.X@mm e alla diffusione del codice di sfruttamento di una vulnerabilità di Microsoft IE. Il ThreatCon fornisce una "previsione" sullo stato di Internet.

Anche i laboratori di Panda Software hanno rilevato la comparsa di Sober.AH, nuova variante del worm Sober, che sta attaccando via posta elettronica i computer di tutto il mondo, diventando uno dei virus maggiormente individuati da Panda ActiveScan, la soluzione antivirus online.

Questa nuova variante utilizza tecniche di ingegneria sociale: induce gli utenti a installare file che contengono il codice maligno. Inoltre, Sober.AH è in grado di raggiungere i computer diffondendosi come allegato ad un'e-mail che finge di essere una comunicazione da parte dell'FBI che avverti gli utenti di aver visitato siti Internet illegali. Il worm si invia in messaggi di posta in inglese o tedesco, secondo l'indirizzo del destinatario.

Gli utenti devono ricordare che i messaggi e-mail contenenti Sober.AH possono variare, così come il nome dell'oggetto, il messaggio di testo e l'allegato, che vengono scelti a caso da una lunga lista di opzioni.

Se il file viene eseguito, si aprirà una finestra con un falso messaggio di errore. Quando ciò accade, Sober.AH si invia automaticamente a tutti gli indirizzi di posta elettronica che trova nei file di sistema, analizzando i domini degli indirizzi connettendosi a vari server pubblici DNS e controllando la data e l'ora da diversi server NTP.

Inoltre, il worm è capace di bloccare applicazioni del sistema in esecuzione, tra le quale alcune soluzioni di sicurezza. Quando un processo viene portato a termine, apparirà una finestra di dialogo che afferma che nessun virus, Trojan o spyware è stato trovato. L'obiettivo di questo worm è di lasciare i PC senza alcuna protezione contro futuri attacchi. Maggiori informazioni su questa variante sono disponibili qui.

Luis Corrons, direttore del Laboratori di Panda Software, ha affermato: "Dopo molti tentativi, gli autori dei worm Sober sono riusciti a realizzare il loro obiettivo in modo semplice: utilizzando le tecnologie di ingegneria sociale. Quando un codice maligno usa messaggi di interesse pubblico, riesce a diffondersi su un numero molto elevato di computer. L'uso di tecnologie preventive può determinare se un messaggio di posta elettronica contiene un codice maligno sconosciuto, avvisando l'utente prima dell'apertura della posta."