Wikipedia

Sober (virus)

Sober è una famiglia di worm informatici che è stata scoperta il 24 ottobre 2003. Come molti worms, Sober invia sé stesso come allegato ad una e-mail di posta elettronica.

Sober è una famiglia di worm scoperta il 24 ottobre 2003.

Sober invia sé stesso come allegato ad una e-mail (usando il proprio motore SMTP); una volta eseguito, si copia in varie cartelle, creando anche delle chiavi nel registro di sistema in modo da avviarsi all'avvio del sistema.

Sober è scritto in Visual Basic e colpisce solo i sistemi Windows.

Il virus ha avuto un'ampia diffusione nel novembre 2005, quando ha infettato oltre tre milioni di computer spacciandosi come un'e-mail dell'FBI o della CIA; nei computer colpiti, il worm disattivava tutti gli antivirus presenti e recuperava informazioni personali.

Varianti conosciute

modifica
  • Sober.L
  • Sober.T
  • Sober.X

Alias

modifica
  • CME-681
  • WORM_SOBER.AG
  • W32/Sober-{X-Z}
  • Win32.Sober.W
  • Win32.Sober.O
  • Sober.Y (pseudonimo di Sober.X, spesso usato da F-Secure)
  • S32/Sober@MMIM681
  • W32/Sober.AA@mm

Piattaforme colpite

modifica

Azioni

modifica

Infezione

modifica

I worm della famiglia Sober devono essere eseguiti manualmente dall'utente per infettare un sistema. Dopo l'esecuzione, il worm può copiarsi in un dei seguenti file della cartella WINDOWS:

  • antiv.exe
  • csrss.exe
  • driver.exe
  • driverini.exe
  • drv.exe
  • explorer.exe
  • filexe.exe
  • hlp16.exe
  • lssas.exe
  • qname.exe
  • services.exe
  • smss.exe
  • spoole.exe
  • swchost.exe
  • syshost.exe
  • systemchk.exe
  • systemini.exe
  • winchk.exe
  • winlog32.exe
  • winreg.exe

Successivamente, il worm aggiunge delle chiavi al registro di sistema che gli consentono di eseguirsi automaticamente all'avvio.

Diffusione

modifica

Sober si può auto-inviare via e-mail tramite il suo motore SMTP a tutti i contatti della rubrica Outlook dell'utente.

Disattivazione dei software antivirus

modifica

Sober può disattivare molti antivirus, tra i quali Microsoft AntiSpyware e HijackThis.

Rinvenimenti

modifica
  1. 24 Ottobre, 2003 – Prima apparizione del virus
  2. 3 Marzo, 2005– Variante L
  3. 14 Novembre, 2005 – Variante T
  4. 15 Novembre, 2005 – Variante X

Motivazioni politiche

modifica

Nel maggio del 2005, apparve la variante Q del worm sober, l'unica che sembrava avere motivazioni politiche.

A differenza delle altre varianti, quest'ultima reindirizza l'utente ad una pagina delle elezioni politiche tedesche esente dalla presenza di malware, con lo scopo di promuovere il Partito Nazionalista Tedesco.

Ci furono inoltre ulteriori modifiche del virus sempre al fine di pubblicizzare campagne politiche, sempre originate dalla Germania.

Collegamenti esterni

modifica
Estratto da "https://it.wikipedia.org/w/index.php?title=Sober_(virus)&oldid=131498298"