Roma – La nuova variante X del famigerato Sober , che da oltre una settimana sta infestando le mailbox di tutto il mondo, potrebbe presto essere eletta come il worm più prolifico dell’anno. L’ondata del nuovo vermicello non accenna infatti ad arrestarsi: secondo Sophos , che identifica la nuova variante con la lettera Z, Sober è contenuto in una e-mail ogni 14 e rappresenta l’85% delle segnalazioni di virus ricevute dalla società.
Sophos afferma che Sober.X, anche noto come AA, AG, Y e M681, è attualmente il terzo worm più diffuso al mondo dietro a Netsky-P e Zafi-D: fortunatamente il numero delle infezioni è, in proporzione, assai più basso.
Il worm, descritto sul numero 109 della newsletter SalvaPC , si sta propagando in modo massiccio mediante l’invio di messaggi di posta elettronica che hanno per oggetto frasi che tentano di stuzzicare la curiosità dell’utente. Ad esempio, molti di questi sembrano inviati dalla CIA o dall’FBI, mentre altri fanno credere di contenere video di Paris Hilton e Nicole Richie: in realtà l’allegato, con dimensione fissa di 55.390 byte, è un file “.zip” contenente il codice virale.
Se eseguito, il worm mostra un messaggio di errore fasullo (“Error in packed Header”) e si installa nel sistema: dopodiché inizia a cercare fonti disponibili contenenti indirizzi di posta elettronica a cui autoinviarsi. In base alla versione di Windows, Sober.X invia i messaggi in lingua inglese o tedesca. Symantec ha spiegato che Sober.X è stato diffuso in maniera simultanea dalle vecchie varianti di Sober. Sembra che le vecchie varianti si siano sincronizzate via NTP (Network Time Protocol) per mettere in moto un invio di massa esattamente 23 giorni dopo le ore 19.00 GMT del 29 ottobre.
Negli scorsi giorni l’FBI ha messo in guardia gli utenti dalla nuova minaccia e ha annunciato indagini approfondite sull’origine del virus.
“Il primo caso di Sober è stato rilevato nell’ottobre 2003, più di due anni fa. Da allora si pensa che tutte le 25 varianti del virus siano state scritte dalla stessa persona, che pare agisca da qualche parte in Germania”, ha spiegato F-Secure in un advisory. “Diversamente da altri virus, Sober non sembra avere alcuna finalità di lucro”.
“Mentre i mass-mailer worm non rappresentano in sé una novità, il comportamento zombie con cui hanno agito i computer già infettati dalle vecchie varianti di Sober non è da sottovalutare”, ha commentato Giuseppe Borgonovo, pre-sales technical manager di Symantec Italia. “L’aumento del livello di pericolosità è dovuto appunto a tale comportamento, unitamente al fatto che il messaggio è stato veicolato in diverse lingue. Consigliamo quindi agli utenti di aggiornare i propri sistemi di sicurezza per proteggersi da possibili minacce e agli amministratori IT di implementare adeguate best practice sulla sicurezza per prevenire eventuali infezioni”.