www.MegaLab.it

Intercettato per la prima volta all'inizio della scorsa settimana, questo virus è una variante di un vecchio worm, Sobig, realizzato all'inizio dell'anno . Stando a quanto dichiarato da MessageLabs, la sua propagazione è tale da portarlo in testa ad ogni classifica di diffusione di tutti i tempi.

Il virus utilizza un motore SMTP interno per autoinviarsi ad ogni indirizzo e-mail presente nel computer: non solo la famigerata rubrica di Outlook Express, quindi, ma anche ad ogni nominativo registrato nei file .dbx, .eml, .hlp, .htm, .html, .mht, .wab, .txt

L'e-mail infetta è facilmente riconoscibile dal subject "Re: Details", "Re: Approved", "Re: Re: My details", "Re: Thank you!", "Re: That movie", "Re: Wicked screensaver", "Re: Your application", "Thank you!", "Your details".

Questo virus sta causando NOTEVOLI problemi anche a noi della redazione, che stiamo ricevendo talmente tante copie di questo virus da vedere, di fatto, ingolfate le mailbox: tanto per farvi capire l'entità della cosa, l'indirizzo di redazione ha ricevuto in meno di 5 ore 280 e-mail di soli virus, per un ammontare complessivo di oltre 20 MB. Inoltre, come già visto in Klez, è impossibile avvertire l'utente infetto, poiché il virus altera il campo "mittente" con indirizzi casuali fra quelli rastrellati sulla macchina infetta.

I danni causati da questo malware sono notevoli: oltre a rompere le scatole agli altri con l'invio di migliaia di e-mail, il virus installa anche una backdoor, permettendo di fatto l'accesso remoto alla macchina infettata. Come tutti i worm di "mass mailing" poi, il codicillo rallenta sensibilmente la navigazione a causa del traffico extra generato.

Fortunatamente il virus è studiato per interrompere la propria autoreplicazione il 10 settembre, data in cui, probabilmente, il creatore comincerà a sfruttare le macchine infette grazie alla backdoor installata: furto di dati, eliminazione di file e directory, blocco della macchina, attacchi DDoS, open relay per spamming sono solo alcune delle cosette che potranno essere fatte partendo dal computer infetto. Che bellezza.

Quello che stupisce di più (e che fa arrabbiare non poco) sono le modalità di infezione: contrariamente a malware più innovativi, come il recente Blaster, Sobig non utilizza particolari falle di sicurezza, ma si attiva solamente a richiesta dell'utente, cioè con un doppio clic sull'allegato. Fra l'altro, tutti gli antivirus aggiornati riconoscono e bloccano tempestivamente il virus: questo fa pensare quindi che:

A) l'utenza ancora non ha imparato, a parecchi anni dal primo malware di mass mailing, a distinguere un allegato "buono" da uno "cattivo".

B) l'utente medio ha la presunzione di credere che un antivirus sia un optional.

C) i produttori di antivirus dovrebbero smetterla di illudersi che le definizioni vengano aggiornate manualmente, e inserire questo task come automatico, obbligatorio e invisibile nei loro programmi.

Cosa fare, quindi? È obbligatorio per tutti scaricare subito uno dei tanti fix disponibili, ad esempio quello di symantec e controllare _immediatamente_ i propri sistemi.