PDA

Visualizza versione completa : W32.Sobig.F - Rischio 5 - Update


Giorgius
19-08-2003, 15.20.11
13:15 VIRUS: SOPHOS SEGNALA W32/SOBIG-F

(ASCA) - Roma, 19 ago - Un virus identity file (Ide) che
fornisce protezione e' disponibile sul sito di Sophos e sara'
incluso nella versione di ottobre 2003 (3.74) di Sophos
Anti-Virus. Sophos ha ricevuto diverse segnalazioni su
W32/Sobig-F, un worm costituito da un file a 32 bit. Questo
worm e' anche noto come I-Worm.Sobig.f.
Maggiori informazioni su W32/Sobig-F sono disponibili
all'indirizzo
www.sophos.com/virusinfo/analyses/w32sobigf.html. E'
possibile scaricare il file Ide da
www.sophos.com/downloads/ide/sobigf.ide. Per informazioni su
come usare i file Ide:
www.sophos.com/support/faqs/usingides.html.
http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=2905


Aliases:
W32/Sobig.f@MM (McAfee), W32.Sobig.F@mm (Symantec), W32/Sobig.F (Panda Software), W32/Sobig-F (Sophos), WORM_SOBIG.F (Trend Micro), Win32/Sobig.F (Enciclopedia Virus (Ontinent)), Win32.Sobig.F (Computer Associates), W32/Sobig.F@mm (Norman), W32/Sobig.F@MM (Hacksoft), I-Worm.Sobig.f (Kaspersky (viruslist.com)), Win32.Sobig.F@mm (Bit Defender), W32/Sobig.F@mm (PerAntivirus), WORM_SOBIG.F.DAM (Trend Micro), I-Worm.Sobig.f.txt (Kaspersky (viruslist.com)), I-Worm.Sobig.txt (Kaspersky (viruslist.com)), I-Worm.Sobig.f.txt_ (Kaspersky (viruslist.com)), I-Worm.Sobig.f.dam (Kaspersky (viruslist.com))

Effetti:
This detection is for a new variant of W32/Sobig. In common with previous variants, the worm is written in MSVC, and bears the following characteristics:

propagates via email, constructing outgoing messages with its own SMTP engine
propagates over network shares
Note: The worm carries garbage data appended to end of file, so exact filesize and file checksum may vary.

Installation

The worm copies itself onto the victim machine as:

C:\WINNT\WINPPR32.EXE
A configuration file is also dropped to %Windir%:

C:\WINNT\WINSTT32.DAT
The following Registry keys are added to hook system startup:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
"TrayX" = C:\WINNT\WINPPR32.EXE /sinc

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run
"TrayX" = C:\WINNT\WINPPR32.EXE /sinc
Mail Propagation

The worm mails itself to email addresses harvested from the victim machine, using its own SMTP engine to construct outgoing messages.

Strings within the worm suggest outgoing messages are constructed as follows:

Subject:

Re: Thank you!
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie
Attachment:

your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif
Body:

See the attached file for details
Please see the attached file for details
The "From:" address may be spoofed with an address extracted from the victim machine. Therefore the perceived sender is most likely not a pointer to the infected user.

Exact details concerning outgoing messages will be posted once analysis is complete.

Contacting Remote NTP Servers

The worm contains a list of IP addresses for remote NTP servers, to which it sends NTP packets (destination port 123).


Info:
http://www.hacksoft.com.pe/virus/w32_sobig_f.htm
http://www.symantec.com/avcenter/venc/data/w32.sobig.f@mm.html
http://www.norman.com/virus_info/w32_sobig_f_mm.shtml
http://vil.mcafee.com/dispVirus.asp?virus_k=100561
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?lst=vis&idvirus=40408
http://www.sophos.com/virusinfo/analyses/w32sobigf.html
http://www.enciclopediavirus.com/virus/vervirus.php?id=515


Sistemi Operativi infettati:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

Bico Bico
19-08-2003, 15.32.15
NOOOO, ma allora sta "saga" Sobig non avrà mai fine :crying: :crying:

Giorgius
19-08-2003, 15.43.33
Aggiornamento AntiVirus a Oggi 19.08.03 e attenzione al traffico dati nella porta "123" ;)(Y)

Giorgius
19-08-2003, 15.51.00
PandaSoftware sta rilevando una pericolosa impennata dalle 16:00 di oggi simile alle prime ore del Virus "Blaster.A"...
http://www.pandasoftware.com/virus_info/


Aggiornatevi in fretta (Update Antivirus) ;)(Y)

Giorgius
19-08-2003, 16.11.09
Tool per rimuovere il Virus:

http://www.nod32.it/img/eye.jpg

Lo trovate da scaricare nel Sito italiano di NOD32
http://www.nod32.it/home/home.htm

;)(Y)

Giorgius
19-08-2003, 23.02.39
http://vil.nai.com/vil/images/logo_main.gif

E' stata rilasciata la nuova Release Stinger v1.8.4

Download:
Mirror: http://download.nai.com/products/mcafee-avert/stinger.exe

Rileva:
This version of Stinger includes detection for all known variants, as of August 19, 2003:
BackDoor-AQJ Bat/Mumu.worm Exploit-DcomRpc
IPCScan IRC/Flood.ap IRC/Flood.bi
IRC/Flood.cd NTServiceLoader PWS-Sincom
W32/Bugbear@MM W32/Deborm.worm.gen W32/Dumaru@MM
W32/Elkern.cav W32/Fizzer.gen@MM W32/FunLove
W32/Klez W32/Lirva W32/Lovgate
W32/Lovsan.worm W32/Mimail@MM W32/MoFei.worm
W32/Mumu.b.worm W32/Nachi.worm W32/Nimda
W32/Sdbot.worm.gen W32/SirCam@MM W32/Sobig
W32/SQLSlammer.worm W32/Yaha@MM

;)(Y)

Bico Bico
20-08-2003, 01.51.18
Da pochi minuti McAfee.com ha innalzato il livello di pericolosità per Sobig.F portandolo a high risk. Più alto persino di Blaster/Lovsan!

azz... la cosa si fa seria :eek:

Bico Bico
20-08-2003, 01.56.30
:eek:

Giorgius
20-08-2003, 10.28.39
E' sempre a Rischio "4" . Non c'è per ora il Rischio "5" (epidemia) come il Blaster. ;)


18:43 VIRUS: SOPHOS, TOOL PER ELIMINARE SOBIG-F

(ASCA) - Roma, 19 ago - I ricercatori di Sophos hanno
sviluppato un tool che rileva ed elimina il worm W32/Sobig-F.
Sophos ha gia' rilasciato un file Ide che fornisce protezione
contro W32/Sobig-F. Questa nuova utilita' permette ad aziende
e utenti domestici di assicurarsi in maniera semplice che le
proprie reti siano pulite ed eventualmente eliminare i file
infetti individuati. E' possibile scaricare il tool
all'indirizzo www.sophos.com/misc/sobigsfx.exe. Per maggiori
informazioni su Sobig-F:
www.sophos.com/virusinfo/articles/sobigf.html e
www.sophos.com/virusinfo/analyses/w32sobigf.html.

Giorgius
20-08-2003, 10.36.38
Questo Virus sarà attivo fino al 09.09.03; il 10.09.03 si autodisattiverà... :rolleyes:

Gervy
20-08-2003, 15.37.43
proprio ora me ne sono arrivate una decina, che c'è l'hanno con me perchè ho messo la news :D

Topov
20-08-2003, 15.50.21
io non l'ho ancora preso: strano :D

Giorgius
20-08-2003, 16.06.00
Io ne sto ricevendo almeno una al giorno, grazie anche ai filtri AntiSpamming e AntiTojan che ho installato da tempo. ;)
Altrimenti... :rolleyes:

Giorgius
20-08-2003, 16.12.27
PandaSoftware sta rilevando un incremento della diffusione del Virus "Sobig" dalla scorsa notte...
http://www.pandasoftware.com/virus_info/virusometer/detail.htm

Giorgius
20-08-2003, 16.25.56
Oggi pomeriggio, PandaSoftware (visti gli incrementi d'infezione in rete) a dato conferma che il livello Rischio è salito a "5" (epidemia). :(

Bico Bico
20-08-2003, 17.00.03
Originariamente inviato da Giorgius
Oggi pomeriggio, PandaSoftware (visti gli incrementi d'infezione in rete) a dato conferma che il livello Rischio è salito a "5" (epidemia). :(

Eh, vedi che McAfee ha sempre ragione :o :cool:

a me comunque da quando si sono diffusi non me ne è mai arrivato uno di Sobig, e saranno tre anni che non vedo più un virus nella mia casella di posta InWind, e non uso nessuno filtro :eek: bho, i misteri inspiegabili... qualche annetto fa, invece, fui preso di mira da quel cavolo di W95/Hybris.gen che mi arrivava a ripetizione e non mi lasciava più in pace... io vado a periodi, o tanto o niente :D

Giorgius
20-08-2003, 17.44.42
E-mail deluge triggered by 'worm'

Sobig.F is fourth new Internet snag to attack computers in the past week.
August 20, 2003: 5:52 AM EDT

SAN FRANCISCO (Reuters) - A new mass e-mail worm that attempts to download files from the Internet and potentially leave computers vulnerable to further attack was spreading quickly around the world, anti-virus experts said.
http://money.cnn.com/2003/08/20/technology/worms.reut/index.htm?cnn=yes

Topov
20-08-2003, 19.29.54
Sta facendo un gran casino purtroppo!!!! :o

Brunok
21-08-2003, 12.17.56
Virus Sobig.F
Infezione record

Il baco ha il più alto tasso di propagazione della storia: Il virus ha iniziato ad attaccare i sistemi di posta elettronica a livello globale martedì infettando un messaggio e-mail su 17. Gli esperti: "Qualcosa di mai visto"

NEW YORK, 21 AGOSTO 2003 - E' ormai ufficiale: il virus Sobig.F ha il più alto tasso di propagazione di tutti i tempi. Il virus ha iniziato ad attaccare i sistemi di posta elettronica a livello globale martedì infettando un messaggio e-mail su 17.

Secondo quanto riporta l'edizione online del Wall Street Journal, MessageLabs, una società americana specializzata nel filtrare le e-mail per le grandi aziende, ha intercettato circa un milione di copie di Sobig.F nella sola giornata di martedì, il livello più alto mai registrato.

Sta facendo un macello!!!!!

http://qn.quotidiano.net/art/2003/08/21/4638404

Giorgius
21-08-2003, 12.27.31
Ancora la rete Intranet militare della Uss Navy americano è KO anche grazie al Sobg.F

Giorgius
21-08-2003, 12.37.34
Altra Tool per Rimuovere il Sobig:F

http://www.pandasoftware.es/img/frs/logo.gif
Panda Quickremover

Download:
Mirror: http://updates.pandasoftware.com/pq/gen/sobigf/pqremove.com

Giorgius
21-08-2003, 14.46.37
http://www.corriere.it/Media/Foto/2003/07_Luglio/17/bill--180x230.jpg

Colpita una lettera elettronica su 17, una percentuale mai vista

Virus Sobig.F: computer invasi da email «spam»

Probabilmente inventato per aggirare i filtri anti-posta elettronica indesiderata.
Finirà di replicarsi il 10 settembre

MILANO - Il mondo internet è in allarme per il virus «Sobig.F» che sta invadendo le caselle di posta elettronica di tutto il mondo. Secondo la società MessageLabs Inc., che filtra le email per molte importanti compagnie internazionali, martedì sono state intercettate più di un milione di copie del virus, il record per un singolo giorno: una email ogni 17 è risultata infettata. Finora in record apparteneva al virus «Klez», con una email infettata ogni 125.

Si scaricano gli antivirus specifici dal sito Microsoft (Reuters)
SPAMMER IN AZIONE - Secondo gli esperti Sobig.F è stato probabilmente ideato da uno o più spammer (coloro che lanciano messaggi indesiderati via email) in quanto trasforma il proprio computer in una macchina lancia spam. «Pensiamo che Sobig.F sia stato scritto da uno spammer o da più spammer che cercavano di studiare nuovi modi per scavalcare i filtri anti-spam», ha detto Mikko Hypponen, dirigente dell'area ricerche per l'azienda finlandese per la sicurezza informatica F-Secure. Gli esperti di sicurezza sostengono che è difficile dire con certezza quanti computer siano stati infettati da Sobig.F., che ha colpito i sistemi informatici negli ultimi giorni proprio mentre le imprese e le aziende si stavano ancora riprendendo da altri virus (Blaster, Nachi, Welchia) che si sono sviluppati di recente sfruttando una falla di sicurezza all'interno del sistema operativo Windows di Microsoft, tra cui il baco «Lovsan», che ha infettato centinaia di migliaia di computer la settimana scorsa.

LA SESTA VERSIONE DI SOBIG - Sobig.F è la sesta versione del virus che è comparso nello scorso gennaio. Secondo il sito Nod32 si tratta di un baco che si diffonde attraverso messaggi di posta elettronica che contengono un allegato infetto e tramite condivisioni su rete locale. Il messaggio si presenta con un falso indirizzo email che non corrisponde a quello reale del mittente. L'oggetto della lettera elettonica si presenta con una di queste frasi: «Your details», «Re: Details», «Re: Re: My details», «Re: Approved», «Re: That movie», «Re: Wicked screensaver», «Re: Your application», «Thank you!», oppure «Re: Thank you!». Il messaggio contiene una delle due frasi: «See the attached file for details» oppure «Please see the attached file for details». Poi c'è un allegato con otto diverse versioni con terminazione .pif oppure .scr
Quando viene eseguito il worm copia se stesso nel file
«%Windir%\winppr32.exe». Il baco possiede anche la caratteristica di aggiornarsi via Internet. In base a certe condizioni, il worm contatta server dai quali prelevare un indirizzo da usare per il trasferimento di software (cavalli di troia, backdoor) da installare sul computer infetto. Il virus cessa di replicarsi il 10 settembre 2003.
Corriere.it

Giorgius
21-08-2003, 18.38.31
SoBig Virus Is So Worrying for Computer Users
Thu August 21, 2003 10:03 AM ET
By Bernhard Warner, European Internet Correspondent

... This week, the "Welchia" or "Nachi" worm surfaced. It masquerades as a benign program that attempts to fortify computers against infection from Blaster.

But it packs a punch. It clogs computer networks, slowing Internet connections and even knocking systems offline. Nachia's victims include the European engineering firm ABB, Air Canada and the U.S. Navy and Marine Corps ...
http://www.reuters.com/newsArticle.jhtml;jsessionid=UQOH2NK2VMVOGCRBAEKSF FA?type=technologyNews&storyID=3315669

RNicoletto
22-08-2003, 10.55.05
Sobig.F insiste ! :eek: http://www.businesswire.com/cgi-bin/cb_headline.cgi?&story_file=bw.082103/232335559&directory=/google&header_file=header.htm&footer_file=
The latest blended threat dubbed Sobig.F and Ws32/Sobig.F has, according to published reports, forced 80 branches of the Nordea bank (Scandinavia's largest bank) to close, Air Canada to delay and cancel flights while also impacting many other large organization such as Lockeed Martin and Massachusetts Institute of Technology. Thousands of other companies and home Internet users were affected.


SALUDOS Y BESOS !!!

Gervy
22-08-2003, 14.23.09
Sempre peggio, solo questa mattina una 70 di sobig F mi sono arrivate

Fat George
22-08-2003, 17.54.44
Originariamente inviato da Gervy
Sempre peggio, solo questa mattina una 70 di sobig F mi sono arrivate

:o secondo un recente studio, anche se hai dato la mail a una sola persona, ne bastano sei per arrivare a te. :D

http://www.wintricks.it/news1/article.php?ID=2629

Ma quanta gente conosci?

Io intanto mi do una grattatina...

mimmog
23-08-2003, 02.01.28
Scusate tanto, ho scaricato tutte le versioni esistenti per rilevare ed eliminare tutti i virus W32.Sobig.A,B,C,D,E,F che non solo non mi viene proprio rilevato ma continuo a ricevere centinaia di email al giorno con gli oggetti che corrispondono al virus W32.Sobig.F
Qualcuno mi sà aiutare ?

Topov
23-08-2003, 10.43.30
A me anora niente :D:D:D:D:D

Axel_scorpion
23-08-2003, 10.52.42
Ragazzi, ho bisogno di voi x due aiuti.. Primo: Uso windows Xp aggiornato all'ultimo update, uso come firewall Sygate (personal firewall Pro). Anche dopo aver tolto tutti i virus (compreso il nuovo worm blaster), il firewall mi segna sempre attacchi del tipo intrusioni o "RPC buffer overflow exploit attempt detected". Volevo sapere se è xke ho ancora il worm o per quale motivo..
Come antivirus ho norton 2003 aggiornato e Rav antivrus8.
Il secondo aiuto che vorrei è sapere se secondo voi Rav (http://www.ravantivirus.com/) è valido (è l'unico che mi ha trovato tutti i virus, a differenza degli altri). Grazie, ciao Axel

Giorgius
23-08-2003, 11.46.25
Per tutti quelli che continuano ad avere tentativi d'intrusione ai servizi "RPC" dall'esterno (vedi Blaster e soci):
sono attacchi provenienti da altri Pc collegati in rete ed ancora afflitti dal Virus che continuano a spedire pacchetti di files infetti all'esterno.

Chi non ha ancora un Firewall Software-Hardware lo installi subito ;)


In questi ultimi giorni si è scoperto il "Ground Zero" del Sobig.F


23 ago 10:45 Internet: il virus SoBig e' nato in un sito porno

SAN FRANCISCO - E' stato individuato il sito da cui e' partito il virus piu' veloce della storia, il SoBig. Il 'baco' e' stato rintracciato per la prima volta dietro ad alcune foto di un sito porno gestito in Arizona. I gestori sono stati citati in giudizio. Chi cercava di accedere alle foto hard infettava la propria posta elettronica. (Agr)

Axel_scorpion
23-08-2003, 12.17.51
E per quanto riguarda Rav antivirus?

Giorgius
23-08-2003, 13.20.48
Come gli altri AntiVirus ;)

In alcuni casi sono ottimi per la prevenzione di pericolosi Virus, in altri casi lasciamo stare (vedi il casino degli update di Norton AV2003 dei mesi scorsi)...

Bisogna adottare un "MIX" di Utility oltre all'AntiVirus per essere più sicuri
(AntiTrojan, AntiSpyware, Filtri Pop3) ;)

Giorgius
23-08-2003, 13.55.01
Internet: virus, colpisce anche in Usa, ma non blocca web

(ANSA)-WASHINGTON, 23 AGO-Ha colpito duro anche gli Usa, ma senza rallentare la rete internet, il virus SoBig.F, che sta infettando caselle di posta elettronica in tutto il mondo.I principali provider hanno bloccato decine di milioni di e-mail. Il problema non e' risolto e c'e' chi teme un grande attacco automatico nel week end. American Online ha bloccato 21,6 milioni di copie di virus, 'salvando' le caselle degli abbonati, su 38 milioni di mail esaminate. Postini, azienda di sicurezza sulla rete, ne ha isolate 3,5 milioni di copie.
2003-08-23 - 00:19:00
© Copyright ANSA Tutti i diritti riservati

Giorgius
23-08-2003, 15.13.55
http://newsimg.bbc.co.uk/media/images/39432000/jpg/_39432123_morebig-bbc203.jpg

La diffusione del worm denominato Sobig, o più compiutamente W32/Sobig.f@MM o worm_sobig_f. sta avanzando sempre più rapidamente in tutto il mondo. La nuova minaccia informatica si è già impadronita della posta elettronica di numerosi utenti non solo negli Stati Uniti ma anche in Francia, Germania, Spagna e Paesi scandinavi. E sono arrivate moltissime segnalazioni anche dall'Italia, tanto che il Ministero per l'Innovazione e le Tecnologie, nella persona del Presidente del Centro Nazionale per l'Informatica nella Pubblica Amministrazione ha diffuso una speciale comunicazione di allerta riguardante le caratteristiche del virus e il sistema per disfarsene.
http://www.cnnitalia.it/2003/TECNOLOGIA/08/22/1544sobig/index.html


http://newsimg.bbc.co.uk/media/images/39435000/jpg/_39435901_sobig_203_body_2.jpg

Sobig virus slows down

China has been hit especially hard by "Sobig"
Security experts say they have contained the Sobig worm by identifying and blocking computers key to co-ordinating it.
http://news.bbc.co.uk/2/hi/technology/3173255.stm

mimmog
23-08-2003, 16.03.58
Ragazzi ma come mai con tutti gli antivirus il Sobig non viene trovato sul mio computer ma nella posta elettronica continuo a trovare centinai di emails ??

Giorgius
23-08-2003, 16.52.18
Xchè fortunatamente non hai aperto nessun allegato ;)
Come ti arrivano eliminale sia da "Posta in Arrivo" che da "Posta Eliminata" ;)

mimmog
23-08-2003, 17.29.08
Forse non ho capito bene come funziona questo virus...
A me arrivano centinaia di email come se fossero state inviate dalla mia email, alcune dicono che non è stato possibile consegnare il messaggio (che non ho mai inviato anche perchè le email del destinataro non le conosco proprio), altre sono avvertimenti inviati dai server che sono protti da antivirus e che mi avvertono che il messaggio inviato dalla mia email è stato respinto perchè contagiato dal virus Sobig.F, altre hanno come oggetto le tipiche frasi del Sobig.F. Ma allora sono infetto o no ??:S

Giorgius
23-08-2003, 17.46.11
Se è come dici si ;)

Verifica con lo Stinger v1.8.4 l'eventuale presenza del Virus sul tuo Sistema ;)

Gervy
23-08-2003, 21.11.21
Sobig-F, bloccato l'assalto del virus alla rete. Ma il peggio verrà lunedì
di Toni De Marchi

L'attacco avrebbe dovuto scattare alle 19 di venerdì 22 agosto, ora di Greenwich. I computer di tutto il mondo infettati dal virus Sobig-F si sarebbero dovuti collegare contemporaneamente a venti server sparsi sui cinque continenti, per recuperare un file con le istruzioni per infettare ulteriormente o danneggiare i computer dove Sobig-F risiede.

Ma un'attività di contrasto internazionale, che ha coinvolto i centri per la sicurezza informatica dei vari paesi europei e l'Fbi americano, ha evitato il peggio. I venti server sono stati spenti, i più importanti nodi internet hanno ricevuto istruzioni per bloccare tutto il traffico verso gli indirizzi di questi server e il virus è stato per il momento reso inoffensivo.

A scoprire queste istruzioni all'interno di Sobig-F sono stati gli ingegneri di F-Secure, un'azienda finlandese specializzata in programmi di sicurezza informatica. Analizzando il codice del virus che si è diffuso a partire dal 16 agosto con una rapidità assolutamente imprevista ed inedita, hanno scoperto questo meccanismo a tempo che avrebbe dovuto attivarsi, appunto, venerdì sera.

Mikko Hyppönen, capo dell'unità anti-virus di F-Secure, spiega che «i computer colpiti da Sobig-F avrebbero dovuto collegarsi a venti siti precedentemente infettati dall'autore del virus per ricevere l'indirizzo di un file che avrebbe dovuto essere scaricato per poi essere eseguito». Cosa sarebbe successo a questo punto nessuno lo sa. «Il file a cui puntava Sobig-F indicava un indirizzo sul sito sex.com. Ma probabilmente gli autori avrebbero dovuto sostituire le istruzioni all'ultimo momento» spiega ancora Hyppönen.

Solo ipotesi, naturalmente, su quello che avrebbe potuto fare Sobig-F se fosse riuscito a portare a termine la sua missione. Una possibilità è che tutti i computer si dovessero collegare ad un sito ad alta visibilità per scaricare contemporaneamente un determinato file e dare così il via ad un cosiddetto attacco DOS (denial of service), in pratica mettendo fuori uso il sito-bersaglio.

Una precedente versione di Sobig (con la F siamo ormai a sei varianti uscite a intervalli regolari dall'inizio di quest'anno) conteneva un codice avrebbe dovuto far connettere al sito della Casa Bianca tutti i computer colpiti. Anche il quel caso l'intervento dell'Fbi e degli organismi di sicurezza informatica impedirono l'attacco spegnendo per alcune ore il sito web del presidente Bush.

Ma ciò che ha colpito gli esperti a proposito di questa sesta incarnazione di Sobig (da “so” a “big”, “così grande”) è stata l'impressionante velocità con cui si è diffuso. «Una email ogni 17 in media è stata colpita da Sobig-F» spiega Paul Wood, dirigente di MessageLabs Ltd., una ditta inglese che fornisce servizi di messaggistica elettronica alle grandi corporation. I virus “normali” hanno un tasso di infezione che raramente scende al di sotto di uno su 125 messaggi. «Nelle prime 24 ore di vita del virus aveva già prodotto oltre un milione di false email» dice Wood, riferendosi soltanto al traffico gestito dalla sua società. Dunque parecchi milioni di falsi messaggi sono stati diffusi con all'interno il virus.

Il meccanismo con cui opera è molto raffinato: una volta penetrato in un computer raccoglie gli indirizzi email che vi trova e manda altrettanti falsi messaggi usando lo stesso indirizzo di posta del computer infettato. I destinatari ricevono in questo modo delle email che sembrano perfettamente legittime e le aprono senza sospetti.

Mark Sunner, responsabile tecnico di MessageLabs, ritiene però che il peggio debba ancora venire. «Prevedo che avremo un picco di infezioni lunedì» spiega. «Con tanta gente in vacanza questa settimana, il virus è parcheggiato nei server email in attesa di colpire, e quelli che tornano dalle vacanze non hanno gli antivirus aggiornati».

mimmog
24-08-2003, 01.51.15
Ho scaricato anche Stringer ma come gli altri antivirus mi dice che il mio computer non è infetto...allora come mai ora mi ritrovo 136 email con oggetti tipo Re:Details oppure Re:Approved, etc etc ??? :anger:

Giorgius
24-08-2003, 11.44.08
Ci deve essere sicuramente un Pc nella rete (infetto) che cerca di attaccare il tuo Pc. ;)

Le E-Mail che ti sembrano ritornare indietro probabilmente sono un "Hoax" del Virus per continuare l'attacco della prossima settimana (ricordiamoci che è un Virus SuperSpammer).

Già, la prossima settimana, una marea di impiegati si beccheranno contemporaneamente nei loro PC tutte le Varianti del "Blaster", il "Sobig-F" e tutte le altre sottomondezze che circolano nella rete... Che caos...

mimmog
24-08-2003, 13.06.52
speriamo sia come dici tu...vorrà dire che devo cancellare tutti i messaggi che arrivano fino al 10 settembre giorno in cui il virus si dovrebbe disattivare da solo. Solo oggi alle ore 13:00 ho già ricevuto ben 300 email totali !

Giorgius
24-08-2003, 13.44.48
Putroppo con questa "pattumiera" virulenta bisogna solamente aspettare la seconda metà del mese di Settembre.

Giorgius
24-08-2003, 13.53.10
Un Utility completamente Freeware:

http://www.bytegems.com/images/sobig-shot.png

Effetti:
This program uses a simple algorithm that significantly reduces the trafic from your mail server to your computer and still prevents you from downloading infected messages. This algorithm written in such way, so it won't harm your ordinary harmless e-mail.

Info:
http://www.bytegems.com/sobigstopper.shtml

Download:
Mirror: http://www.bytegems.com/files/SobigVirusStopperSetup.exe


;)(Y)

Giorgius
24-08-2003, 14.02.17
http://www.cnnitalia.it/2003/TECNOLOGIA/08/21/2010sobig/story.sobig.jpg

Internet: virus, si tira il fiato, ma allerta rimane

(ANSA) - NEW YORK, 23 AGO - La minaccia non e' ancora svanita ma gli sceriffi della rete hanno segnato un punto a loro favore contro il virus piu' veloce nella storia il Sobig F. Il virus ha colpito finora i computer di 148 Paesi nel mondo inondandoli di posta spazzatura. L'attacco destinato a milioni di personal computer sparsi per il pianeta e' sventato dopo aver trovato i 20 computer untori. Ma l'allerta rimane, Sobig F e' autoprogrammato per distruggersi il 10 settembre dopo essersi riprodotto al massimo delle sue potenzialita'.
2003-08-24 - 09:45:00

© Copyright ANSA Tutti i diritti riservati

Giorgius
29-08-2003, 14.51.02
Internet: verso antivirus su server, non solo su pc

(ANSA) - WASHINGTON, 28 AGO - Antivirus sui server che collegano i computer a internet, e non piu' soltanto sui singoli pc, perche' di fatto non servono a niente o quasi. E' questa la soluzione alla quale stanno pensando i principali web providers americani per rispondere ai sempre piu' frequenti attacchi informatici, secondo quanto scrive il 'Washington Post'. I programmi antivirus installati cui pc non sono piu' in grado di difendere i computer, come ha recentemente dimostrato l'attacco massiccio di Sobig.F.
2003-08-29 - 10:15:00
© Copyright ANSA Tutti i diritti riservati


Era ora! ;)(Y)

Giorgius
30-08-2003, 14.21.13
http://vil.nai.com/vil/images/logo_main.gif

E' stata rilasciata la nuova Release Stinger v1.8.5

Download:
Mirror: http://download.nai.com/products/mcafee-avert/stinger.exe

Rileva:
This version of Stinger includes detection for all known variants, as of August 28, 2003:

BackDoor-AQJ Bat/Mumu.worm Exploit-DcomRpc
IPCScan IRC/Flood.ap IRC/Flood.bi
IRC/Flood.cd NTServiceLoader PWS-Narod
PWS-Sincom W32/Bugbear@MM W32/Deborm.worm.gen
W32/Dumaru@MM W32/Elkern.cav W32/Fizzer.gen@MM
W32/FunLove W32/Klez W32/Lirva
W32/Lovgate W32/Lovsan.worm W32/Mimail@MM
W32/MoFei.worm W32/Mumu.b.worm W32/Nachi.worm
W32/Nimda W32/Sdbot.worm.gen W32/SirCam@MM
W32/Sobig W32/SQLSlammer.worm W32/Yaha@MM


;)(Y)

Giorgius
30-08-2003, 15.21.53
http://www.cnnitalia.it/2003/TECNOLOGIA/08/28/1258antivirus/antivirus.story.jpg

Il popolo degli Internauti a caccia di antivirus

Visite record ai siti delle principali software-house che si occupano di sicurezza informatica
Ultimo aggiornamento 28 agosto 2003, 15:40 ora italiana (13:40 GMT)

NEW YORK (CNN) -- Messi sotto pressione dai ripetuti attacchi di virus e worm delle ultime settimane, gli utenti di internet si sono gettati "a pesce" sul sito della Microsoft che distribuisce le toppe informatiche, ma non solo...
http://www.cnnitalia.it/2003/TECNOLOGIA/08/28/1258antivirus/index.html

Giorgius
11-09-2003, 11.05.42
BUCHAREST (Reuters) - A 24-year-old Romanian man, accused of unleashing an Internet worm called "Blaster.F," has been charged with cybercrime offences carrying up to 15 years in prison, police said on Wednesday.

Police said Dan Dumitru Ciobanu, had admitted spreading the virus, a low-grade variant of the highly damaging Blaster worm, but had told investigators it was an accident.

Ciobanu's arrest last week followed that of an American teenager accused of creating another Blaster strain.

Romania's tough new cybercrime law, which covers online fraud, hacking and virus-writing, carries a sentence of three to 15 years, more than twice the maximum sentence for rape.

"He has been charged with illegal and major disturbing of informatics systems and for holding illegal software," Liviu Zamfirescu, a police officer from the suspect's home city of Iasi in the northeast, told Reuters.

A police statement said Ciobanu admitted releasing the virus onto the Web when he tested it on his computer while online.

"Ciobanu initially denied he modified the virus, but later he admitted he modified the virus by switching the names of the folders...and also changed the original message into the Romanian language," the statement said.

Ciobanu is not in custody. No date has been set for his trial.

The original Blaster worm, considered one of the most damaging virus outbreaks ever, surfaced last month. It implanted itself on over half a million PCs that run the latest versions of the Microsoft Windows operating system.

The mastermind behind Blaster remains at large. Experts have warned the code is readily available online where it can be modified and re-released.

Security and law enforcement officials have called for tough justice in prosecuting virus writers in light of a recent surge in viruses and Internet worms capable of bogging down Internet connections and knocking corporate computer systems offline.

American teenager Jeffrey Lee Parson was arrested last month on charges he created and distributed another toned-down Blaster variant, known as Blaster.B. He faces imprisonment of 10 years and a $250,000 fine if convicted.

Anti-virus experts said Blaster.F had done little damage.