Punto informatico Network

20081022222255_1611985231_20081022222238_1475510705_XBUGS INCHWORM.png

Sobig.F, il virus a più rapida diffusione della storia

25/08/2003
- A cura di
Zane.
Archivio - Intercettato per la prima volta all'inizio della scorsa settimana, questo virus è una variante di un vecchio worm, Sobig, realizzato all'inizio dell'anno .

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

virus (1) , storia (1) , sobig.f (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 147 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Intercettato per la prima volta all'inizio della scorsa settimana, questo virus è una variante di un vecchio worm, Sobig, realizzato all'inizio dell'anno . Stando a quanto dichiarato da MessageLabs, la sua propagazione è tale da portarlo in testa ad ogni classifica di diffusione di tutti i tempi.

Il virus utilizza un motore SMTP interno per autoinviarsi ad ogni indirizzo e-mail presente nel computer: non solo la famigerata rubrica di Outlook Express, quindi, ma anche ad ogni nominativo registrato nei file .dbx, .eml, .hlp, .htm, .html, .mht, .wab, .txt

L'e-mail infetta è facilmente riconoscibile dal subject "Re: Details", "Re: Approved", "Re: Re: My details", "Re: Thank you!", "Re: That movie", "Re: Wicked screensaver", "Re: Your application", "Thank you!", "Your details".

Questo virus sta causando NOTEVOLI problemi anche a noi della redazione, che stiamo ricevendo talmente tante copie di questo virus da vedere, di fatto, ingolfate le mailbox: tanto per farvi capire l'entità della cosa, l'indirizzo di redazione ha ricevuto in meno di 5 ore 280 e-mail di soli virus, per un ammontare complessivo di oltre 20 MB. Inoltre, come già visto in Klez, è impossibile avvertire l'utente infetto, poiché il virus altera il campo "mittente" con indirizzi casuali fra quelli rastrellati sulla macchina infetta.

I danni causati da questo malware sono notevoli: oltre a rompere le scatole agli altri con l'invio di migliaia di e-mail, il virus installa anche una backdoor, permettendo di fatto l'accesso remoto alla macchina infettata. Come tutti i worm di "mass mailing" poi, il codicillo rallenta sensibilmente la navigazione a causa del traffico extra generato.

Fortunatamente il virus è studiato per interrompere la propria autoreplicazione il 10 settembre, data in cui, probabilmente, il creatore comincerà a sfruttare le macchine infette grazie alla backdoor installata: furto di dati, eliminazione di file e directory, blocco della macchina, attacchi DDoS, open relay per spamming sono solo alcune delle cosette che potranno essere fatte partendo dal computer infetto. Che bellezza.

Quello che stupisce di più (e che fa arrabbiare non poco) sono le modalità di infezione: contrariamente a malware più innovativi, come il recente Blaster, Sobig non utilizza particolari falle di sicurezza, ma si attiva solamente a richiesta dell'utente, cioè con un doppio clic sull'allegato. Fra l'altro, tutti gli antivirus aggiornati riconoscono e bloccano tempestivamente il virus: questo fa pensare quindi che:

A) l'utenza ancora non ha imparato, a parecchi anni dal primo malware di mass mailing, a distinguere un allegato "buono" da uno "cattivo".

B) l'utente medio ha la presunzione di credere che un antivirus sia un optional.

C) i produttori di antivirus dovrebbero smetterla di illudersi che le definizioni vengano aggiornate manualmente, e inserire questo task come automatico, obbligatorio e invisibile nei loro programmi.

Cosa fare, quindi? È obbligatorio per tutti scaricare subito uno dei tanti fix disponibili, ad esempio quello di symantec e controllare _immediatamente_ i propri sistemi.

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.34 sec.
    •  | Utenti conn.: 91
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0.22