W32.Sober.C@mm anche a voi?

[The Joker]

Tra ieri e oggi ho ricevuto una decina di mail differenti tutte con il solo scopo di porgermi in allegato tale virus (subito reso inoffensivo da norton). capita solo a me?

[Al è qui]

Per ora nessuno.

[amvinfe]

Originariamente inviato da Al è qui
Per ora nessuno.

:gren: :gren: :gren:





Me ne sono arrivate una decina in due giorni, una con allegato con doppia estensione, tutte le altre con allegato .scr Sono passate direttamente tutte nella monnezza. :gren:

[Al è qui]

Originariamente inviato da amvinfe


Me ne sono arrivate una decina in due giorni, una con allegato con doppia estensione, tutte le altre con allegato .scr Sono passate direttamente tutte nella monnezza. :gren:

Ma a te arrivano perchè sei cattivo.
IO sono santo

[Dwarf]

Mi sono arrivate una decina di email tra il 31/12 e 1/1

[amvinfe]

Originariamente inviato da Al è qui
Ma a te arrivano perchè sei cattivo.
IO sono santo

Questa l'hai sparata grossa.....più di una mongolfiera

Originariamente inviato da Dwarf
Mi sono arrivate una decina di email tra il 31/12 e 1/1

Qualcuno che ti ha in rubrica.

[Al è qui]

Originariamente inviato da amvinfe
Questa l'hai sparata grossa.....più di una mongolfiera

[SupraRZ]

Originariamente inviato da amvinfe
Qualcuno che ti ha in rubrica.

esatto... prova a indagare tra i tuoi contatti

[Dwarf]

No questa volta il virus è arrivato tramite il solito spamming

[SupraRZ]

/ Notizie / Sicurezza / Antivirus



Il massmailer W32/Sober.C@Mm presenta rischio MEDIO, secondo McAfee Avert
Marta Bricco | 22-12-2003


McAfee AVERT (Anti-Virus Emergency Response Team), la divisione di ricerca anti-virus di Network Associates, ha assegnato una valutazione di rischio MEDIA al worm W32/Sober.c@MM recentemente scoperto, e conosciuto anche come Sober.c.


Sober.c, al quale inizialmente era stata assegnata una pericolosità bassa, è un worm abbastanza diffuso che contiene il proprio motore SMTP e ha come bersaglio gli indirizzi email che vengono raccolti dal computer della vittima.
Il worm internet, una volta attivato, si autoinvia agli indirizzi contenuti nella rubrica di Microsoft Outlook dell'utente. I messaggi in uscita vengono creati dal motore SMTP del worm stesso e possono essere scritti sia in inglese che in tedesco, e il nome dell'allegato può variare. McAfee invita gli utenti a cancellare immediatamente qualsiasi email che contenga nel campo Subject frasi come Betr: Klassentreffen, Testen Sie ihren IQ, Bankverbindungs- Daten, Neuer Dialer Patch!, Ermittlungsverfahren wurde eingeleitet, Ihre IP wurde geloggt, Sie sind ein Raubkopierer, Sie tauschen illegal Dateien aus, Ich hasse dich, Ich zeige sie an!, Sie Drohen mir, you are an idiot, why me?, I hate you, Preliminary investigation were started, Your IP was logged, You use illegal File Sharing ...
In Allegato, si trovano: www.iq4you-german-test.com, www.freewantiv.com, www.free4manga.com, www.free4share4you.com, www.tagespolitik-umfragen.com, www.onlinegamersproworm.com, www.freegames4you-gzone.com, www.boards4all-terror432.com, www.anime4allfree.com, Gli url allegati possono terminare con una delle seguenti estensioni, e possono
essere preceduti da .txt o .doc, e/o un numero a caso: * com - * bat - * cmd - * pif - * scr - * exe - * com.
Una volta eseguito, Sober.c estrae gli indirizzi email dal PC dell'utente e
li scrive sul file SAVESYSS.DLL nella directory %SysDir%.
Altre due copie del worm vengono lasciate nella directory %SysDir%, con
nomi che possono variare. Per esempio, "%SysDir%\ONDMONSTR.EXE" e
"%SysDir%\DATMSCRYPT.EXE." Questi ultimi due file controllano che il worm rimanga nella memoria. Una volta terminato uno dei due processi del worm, un'altra copia riavvia il processo molto velocemente.
Informazioni sul virus e gli aggiornamenti resi disponibili da AVERT sono
disponibili all'indirizzo http://vil.nai.com/vil/content/v_100912.htm.
Inoltre, gli utenti di prodotti anti-virus McAfee Security possono trovare
aggiornamenti di sistema completi all'indirizzo
http://www.networkassociates.com/us/downloads/updates/.