Il ritorno di Sober e la falsa toolbar

Una nuova variante del virus Sober è stata segnalata dai maggiori produttori di antivirus.
Il ritorno di Sober e la falsa toolbar

Una nuova variante del virus Sober è stata segnalata dai maggiori produttori di antivirus. In 12 ore, dicono gli esperti di Sophos, l’ultima versione di Sober è diventata il secondo virus più diffuso.
Il worm arriva via posta elettronica in due versioni: nel primo caso, il messaggio è scritto in inglese e in tedesco e reca come oggetto New password. Nel messaggio è contenuto il file pwor_change.zip, in modo da indurre l’utente ad aprire l’allegato. Nel secondo caso, il messaggio scritto in tedesco fa riferimento a una rimpatriata di classe con allegato il file KlassenFoto.zip, oppure Privat-Foto.zip.
I file allegati sono compressi e contengono il file eseguibile PW_Klass.Pic.packed-bitmap.exe che contiene il payload del worm. L’avvio del file causa un falso errore di CRC e il virus entra in azione. Il virus si mette alla ricerca di indirizzi di posta elettronica a cui inviare una copia di se stesso usando un motore SMTP integrato.
Maggiori informazioni sono disponibili, fra gli altri, siti di Panda Software, Sophos e F-Secure.

Contemporaneamente, ci è giunta notizia della diffusione in Rete (per il momento attraverso messaggi istantanei – IM – e IRC) di link che propongono il download di una falsa toolbar di Google. Questo esempio di malware, oltre ad utilizzare illegalmente il marchio della società di Mountain View, installa sulla macchina del “malcapitato” utente diversi adware quindi si tenta di sferrare attacchi phishing con l’intento di indurre all’inserimento di dati personali. Il funzionamento della falsa barra di Google ricorda da vicino quello di CoolWebSearch, malware ancora oggi ampiamente diffuso. Vengono altresì utilizzate molteplici vulnerabilità software nel tentativo di facilitare l’installazione automatica del malware.
Appare chiaro come i malintenzionati comincino ad abbinare più tecniche per rendere i propri malware più difficili da scoprire e per indurre gli utenti ad installarli. In questo caso vengono sfruttate vulnerabilità di sicurezza, attuati tentativi di phishing e vengono usate tecniche di “ingegneria sociale” ("social engineering"). Si tratta di espedienti con cui i vari malintenzionati cercano di persuadere l’utente, ad esempio, sulla bontà di una comunicazione o di un file.

Ti consigliamo anche

Link copiato negli appunti