Microsoft ha pubblicato un nuovo Security Advisory (912920) in cui avverte gli utenti dell’imminente rischio di sicurezza legato alla attivazione del worm Win32/Sober.Z@mm (aka Sober.Y).
News correlate -> Allerta: Nuovo Sober Invade la Rete - Sober Worm: Si Attiva il 5 Gennaio
Il worm sfrutta tecniche di social engineering per ingannare l'utenti inducendolo ad eseguire un allegato virulento incluso in un messaggio di posta elettronica. Se l'utente malcapitato esegue il file allegato, il worm si autospedisce a tutti i contatti presenti nella rubrica del sistema infetto. Gli utenti che dispongono di software di protezione antivirus recenti e aggiornati corrono un rischio minore di essere infettati da Sober.Z. Questa nuova variante di Sober si era largamente diffusa qualche settimana fa in rete intasando i servers di posta di tutto il mondo, grazie all'aiuto delle macchine "zombie" infettate dalle precedenti edizioni dello stesso worm. Sober sfrutta infatti un sistema ingegnoso per aggiornarsi: include una routine che "attiva" il virus dopo un certa data dall'infezione. Una volta attivo il worm tenta di scaricare periodicamente un file da una lista di siti web. É in questa maniera che la maggior parte delle varianti di Sober sono state diffuse: il virus writer esegue l'upload di una nuova versione del worm su un server e tutte le macchine già infette si "aggiornano" alla nuova variante.
Una volta eseguito nel sistema il worm crea la sottocartella 'WinSecurity' nella cartella Windows e si clona tre volte con i seguenti nomi: services.exe, csrss.exe, smss.exe. In aggiunta il worm crea i seguenti files nella stessa posizione: mssock1.dli, mssock2.dli, mssock3.dli, winmem1.ory, winmem2.ory, winmem3.ory, socket1.ifo, socket2.ifo, socket3.ifo. I primi 6 files sono usati per conservare gli indirizzi e-mail rubati, e gli ultimi 3 files per salvare il corpo UUEncoded del worm.
Win32/Sober.Z@mm è programmato per scaricare ed eseguire ulteriore codice nocivo sui sistemi già compromessi, a partire dal 6 Gennaio 2006. Da questa data ogni due settimane il worm scaricherà codice nocivo da una lista aggiornata di siti, ospitati su medesimi domini. Microsoft ha già incluso capacità di rilevamento del worm nell'aggiornamento di Dicembre 2005 del suo Malicious Software Removal Tool e nel nuovo Windows Live Safety Center.
http://www.tweakness.net/
News correlate -> Allerta: Nuovo Sober Invade la Rete - Sober Worm: Si Attiva il 5 Gennaio
Il worm sfrutta tecniche di social engineering per ingannare l'utenti inducendolo ad eseguire un allegato virulento incluso in un messaggio di posta elettronica. Se l'utente malcapitato esegue il file allegato, il worm si autospedisce a tutti i contatti presenti nella rubrica del sistema infetto. Gli utenti che dispongono di software di protezione antivirus recenti e aggiornati corrono un rischio minore di essere infettati da Sober.Z. Questa nuova variante di Sober si era largamente diffusa qualche settimana fa in rete intasando i servers di posta di tutto il mondo, grazie all'aiuto delle macchine "zombie" infettate dalle precedenti edizioni dello stesso worm. Sober sfrutta infatti un sistema ingegnoso per aggiornarsi: include una routine che "attiva" il virus dopo un certa data dall'infezione. Una volta attivo il worm tenta di scaricare periodicamente un file da una lista di siti web. É in questa maniera che la maggior parte delle varianti di Sober sono state diffuse: il virus writer esegue l'upload di una nuova versione del worm su un server e tutte le macchine già infette si "aggiornano" alla nuova variante.
Una volta eseguito nel sistema il worm crea la sottocartella 'WinSecurity' nella cartella Windows e si clona tre volte con i seguenti nomi: services.exe, csrss.exe, smss.exe. In aggiunta il worm crea i seguenti files nella stessa posizione: mssock1.dli, mssock2.dli, mssock3.dli, winmem1.ory, winmem2.ory, winmem3.ory, socket1.ifo, socket2.ifo, socket3.ifo. I primi 6 files sono usati per conservare gli indirizzi e-mail rubati, e gli ultimi 3 files per salvare il corpo UUEncoded del worm.
Win32/Sober.Z@mm è programmato per scaricare ed eseguire ulteriore codice nocivo sui sistemi già compromessi, a partire dal 6 Gennaio 2006. Da questa data ogni due settimane il worm scaricherà codice nocivo da una lista aggiornata di siti, ospitati su medesimi domini. Microsoft ha già incluso capacità di rilevamento del worm nell'aggiornamento di Dicembre 2005 del suo Malicious Software Removal Tool e nel nuovo Windows Live Safety Center.
http://www.tweakness.net/