|
|
| Nome
Virus |
|
|
Sober.C
|
Rischio:
Medio |
| Rilevato
il: 20 dicembre 2003 |
| Tipo:
Worm |
|
| Sistemi
operativi attaccabili:
Windows 2000, Windows 95, Windows 98, Windows
Me, Windows NT, Windows Server 2003, Windows XP |
| Sistemi
operativi immuni:
DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x |
| Caratteristiche
2/2 |
|
Pagina
precedente
La e-mail:
Da:
<casuale>
Oggetto: <casuale>
Messaggio: Ladies and Gentlemen,
Downloading of Movies, MP3s and Software
is illegal and punishable by law.
We hereby inform you that your computer
was scanned under the IP 239.152.228.184
. The contents of your computer were
confiscated as an evidence, and you
will be indicated. In the next days
you will receive the charge in writing.
In the Reference code: #15965, are
all files, that we found on your computer.
The sender address of this mail was
masked, to fend off mail bombs.
- You get more detailed information
by the Federal Bureau of Investigation
-FBI- - Department for Illegal Internet
Downloads, Room 7350 - 935 Pennsylvania
Avenue - Washington, DC 20535, USA
- (202) 324-3000
|
Un'altra versione di Sober.C invia un
messaggio che avverte della presenza di un
trojan horse sul proprio computer con un testo
simile a questo:
Da:
<casuale>
Oggetto: <casuale>
Messaggio:
"hi, I am from
Austria and you'll don't believe me,
but a trojan horse in on your pc.
I've scanned the network-ports on the
internet.
And I have found your pc.
Your pc is open on the internet for
everybody!
Because the >filename<.exe trojan
is running on your system.
Check this, open the task manager and
try to stop that!
You'll see, you can't stop this trojan.
When you use win98/me you can't see
the trojan!!
On my system was this
trojan, too!
And I've found a tool to kill that bad
thing.
I hope that I've helped you!"
|
Oppure un'altra variante invia una e-mail
che promette eccezionali vincite a chi e'
un cultore di videogiochi online e così
via.
Cosa accade in caso di apertura del file infetto:
Una volta attivato, il worm mostra questo
falso messaggio di errore
ed inizia a raccogliere gli indirizzi nel
file Savesyss.dll della directory System di
Windows. Subito dopo modifica le chiavi di
registro
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run
per attivarsi ad ogni avvio del sistema operativo.
A quel punto il worm e' installato e inizia
a spedire i messaggi infetti.
Ricordiamo di prestare
sempre la massima cautela nell'aprire file
allegati alle e-mail della cui origine non
si sia certi e di esercitare la massima prudenza
anche in presenza di allegati provenienti
da conoscenti, ma che non erano attesi e di
aggiornare costantemente il programma antivirus
|
| Alias |
| W32/Sober-C
[Sophos], Win32.Sober.C [Computer Associates],
W32/Sober.c@MM [McAfee], WORM_SOBER.C [Trend],
I-Worm.Sober.c [Kaspersky] |
|
| Maggiori
informazioni e rimozione |
| Antivirus
aggiornato |
| Symantec
|
|
|
|
