Il massmailer W32/Sober.C@Mm presenta rischio MEDIO, secondo McAfee Avert

firewallSicurezza

McAfee AVERT (Anti-Virus Emergency Response Team), la divisione di
ricerca anti-virus di Network Associates, ha assegnato una valutazione
di rischio MEDIA al worm W32/Sober.c@MM recentemente scoperto, e
conosciuto anche come Sober.c.

Sober.c, al quale inizialmente era stata assegnata una pericolosità bassa, è un worm abbastanza diffuso che contiene il proprio motore SMTP e ha come bersaglio gli indirizzi email che vengono raccolti dal computer della vittima. Il worm internet, una volta attivato, si autoinvia agli indirizzi contenuti nella rubrica di Microsoft Outlook dell’utente. I messaggi in uscita vengono creati dal motore SMTP del worm stesso e possono essere scritti sia in inglese che in tedesco, e il nome dell’allegato può variare. McAfee invita gli utenti a cancellare immediatamente qualsiasi email che contenga nel campo Subject frasi come Betr: Klassentreffen, Testen Sie ihren IQ, Bankverbindungs- Daten, Neuer Dialer Patch!, Ermittlungsverfahren wurde eingeleitet, Ihre IP wurde geloggt, Sie sind ein Raubkopierer, Sie tauschen illegal Dateien aus, Ich hasse dich, Ich zeige sie an!, Sie Drohen mir, you are an idiot, why me?, I hate you, Preliminary investigation were started, Your IP was logged, You use illegal File Sharing … In Allegato, si trovano: www.iq4you-german-test.com, www.freewantiv.com, www.free4manga.com, www.free4share4you.com, www.tagespolitik-umfragen.com, www.onlinegamerspro-worm.com, www.freegames4you-gzone.com, www.boards4all-terror432.com, www.anime4allfree.com, www.animepage43252.com, yourmail, alledigis, aktenz. Gli allegati possono terminare con una delle seguenti estensioni, e possono essere preceduti da .txt o .doc, e/o un numero a caso: * com – * bat – * cmd – * pif – * scr – * exe – * com. Una volta eseguito, Sober.c estrae gli indirizzi email dal PC dell’utente e li scrive sul file SAVESYSS.DLL nella directory %SysDir%. Altre due copie del worm vengono lasciate nella directory %SysDir%, con nomi che possono variare. Per esempio, %SysDir%ONDMONSTR.EXE e %SysDir%DATMSCRYPT.EXE. Questi ultimi due file controllano che il worm rimanga nella memoria. Una volta terminato uno dei due processi del worm, un’altra copia riavvia il processo molto velocemente. Informazioni sul virus e gli aggiornamenti resi disponibili da AVERT sono disponibili all’indirizzo http://vil.nai.com/vil/content/v_100912.htm . Inoltre, gli utenti di prodotti anti-virus McAfee Security possono trovare aggiornamenti di sistema completi all’indirizzo http://www.networkassociates.com/us/downloads/updates/ .

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore