W32.Sober.N/O/P/S - ALLERTA 5 - (Update)

[Giorgius]

(ANSA) - BERLINO, 3 MAG - Allarme virus per la vendita di via Internet del biglietti per i Mondiali 2006. A lanciarlo e' il comitato organizzatore del Campionato. Il virus informatico, definito "pericoloso", e' contenuto nell'allegato ad un messaggio internet proveniente dall'indirizzo "Ticket@fifa.de" o "Gewinn@fifa.de". " sicuro che si tratta di posta contaminata", spiega il Comitato inviando a non aprire l'allegato.

[Giorgius]

(ASCA) - Roma, 3 mag - Mcafee Avert (Anti-virus and Vulnerability Emergency Response Team) ha elevato il livello di pericolosita' a medio per il worm W32/Sober.p@MM, conosciuto anche come Sober.p. Si tratta di un worm prolifico che si diffonde tramite e-mail autoinviandosi agli indirizzi rilevati sulla macchina della vittima. Il worm arriva come file .zip allegato all'e-mail e presenta molte delle stesse funzionalita' del suo predecessore W32/Sober.k@MM. Sober.p e' stato segnalato ieri pomeriggio e finora i ricercatori di Mcafee Avert hanno ricevuto oltre 60 segnalazioni del virus provenienti da un unico mittente. Sober.p is e' una minaccia mass mailing che contiene il proprio motore Smtp per costruire i messaggi in uscita, che sono scritti in tedesco o in Inglese. Il worm raccoglie gli indirizzi dai file locali e poi li utilizza per autoinviarsi. Cio' produce un messaggio con l'indirizzo del mittente camuffato. L'allegato arriva sotto forma di file .zip che include al proprio interno un eseguibile, denominato ''winzipped-text_data.txt.pif''. Quando l'archivio Zip viene estratto e il file Pif eseguito manualmente, il virus potrebbe visualizzare un messaggio falso di errore. Gli utenti dovrebbero estrarre manualmente l'eseguibile dal file .zip e lanciarlo per essere infettati. Il virus costruisce i messaggi sia in tedesco che in inglese. Versione Tedesca: From: (l'indirizzo e' falsificato) Subject: WM-Ticket-Auslosung Corpo del messaggio: sara' uno dei seguenti: Herzlichen Glueckwunsch, beim Run auf die begehrten Tickets fur die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei. Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang. Ihr ''ok2006'' Team St. Rainer Gellhaus --- FIFA-Pressekontakt: --- Pressesprecher Jens Grittner und Gerd Graus --- FIFA Fussball-Weltmeisterschaft 2006 --- Organisationskomitee Deutschland --- Tel. 069 / 2006 - 2600 --- Jens.Grittner@ok2006.de --- Gerd.Graus@ok2006.de Di seguito l'esempio di un messaggio in inglese generato casualmente: From: (l'indirizzo e' falsificato) Subject: Your Password Corpo del messaggio: Account and Password Information are attached! Visit: http://www. {sender's domain} *** AntiVirus: No Virus found *** ''{recipient's domain} '' Anti-Virus*** http://www. {recipient's domain} Protezione dei sistemi e cure McAfee ha protetto proattivamente oltre 8.000 clienti di McAfee VirusScan online nelle prime tre ore dopo la scoperta di Sober.p. Maggiori informazioni e le cure per Sober.p sono disponibili on line all'indirizzo http://vil.nai.com/vil/content/v_133409.htm. I clienti McAfee sono protetti contro questa minaccia dal 9 marzo scorso: i file Dat 4443 - 4481 rilevano proattivamente questa nuova variante W32/Sober.gen@MM.

[Giorgius]

Aliases:
W32.Sober.O@mm (Symantec), WORM_SOBER.S (Trend Micro), W32/Sober.V.worm (Panda Software), Win32.Sober.N (Computer Associates), W32/Sober.p@MM (McAfee), W32/Sober-N (Sophos), Sober.O@mm (Norman), Sober.P (F-Secure), Email-Worm.Win32.Sober.p (Kaspersky (viruslist.com)), Win32/Sober.O (ClamAV), Worm.Sober.P (ClamAV), Win32.Sober.O@mm (Bit Defender), Win32/Sober.O (ESET (NOD32)), Worm/Sober.P (Otros)

Effetti:
W32.Sober.O@mm is a mass-mailing worm that sends itself as an email attachment to addresses gathered from the compromised computer. It uses its own SMTP engine to spread. The email may be in either English or German.

Info:
http://www.pandasoftware.com/virus_i...170&sind=0
http://www.trendmicro.com/vinfo/viru...e=WORM_SOBER.S
http://www.sarc.com/avcenter/venc/da...ober.o@mm.html
http://www.sophos.com/virusinfo/analyses/w32sobern.html
http://www.f-secure.com/v-descs/sober_p.shtml
http://www.trendmicro.com/vinfo/viru...RM%5FSOBER%2ES
http://vil.nai.com/vil/content/v_133409.htm
http://www.pspl.com/virus_info/worms/sobero.htm
http://www.enciclopediavirus.com/vir...us.php?id=1976


Aggiornamento AntiVirus al 03/05/05 (Y)

[Giorgius]

Stinger: http://download.nai.com/products/mca...rt/ST1NGER.EXE
Symantec: http://securityresponse.symantec.com...ter/FxSobr.exe
Ikarus: http://download.ikarus.at/remover/IkarusRem_Sober.exe
Nod32: http://www.nod32.it/cgi-bin/mapdl.pl?tool=Sober
Panda Software (Registrazione): http://www.pandasoftware.es/descargas/utilidades/
Trend Micro: http://es.trendmicro-europe.com/ente..._tools_new.php

[Giorgius]

(ANSA) - BERLINO,3 MAG - Il sito ufficiale dei Mondiali 2006 di calcio e' isolato da ieri a causa di un virus informatico che impedisce di inviare o ricevere e-mail. Lo ha reso noto il numero 2 del comitato organizzatore, Niersbach, precisando che il sistema di vendita dei biglietti su Internet non ha subito danni. Su quest'ultimo fronte, preoccupa il virus diffuso via e-mail a numerose persone in cui si comunica la vincita di diversi ticket. Niersbach ha invitato chi ricevesse i messaggi, di non aprire l'allegato.

[Giorgius]

MILANO (Reuters) - C'è un nuovo virus per computer che si sta diffondendo in questi giorni tramite la posta elettronica, grazie ad una e-mail che avvisa il destinatario di aver vinto 2 biglietti gratuiti per la Coppa del Mondo di calcio del 2006 che si giocherà in Germania. Lo riferisce Trend Micro, società che si occupa di soluzioni antivirus a livello mondiale, che ha dichiarato un allarme di livello medio per il cosiddetto "WORM_SOBER.S"...

Leggi: http://it.news.yahoo.com/050503/58/37k5o.html

[Giorgius]

The latest Sober worm has spread rapidly in the past 24 hours and now makes up two-thirds of virus traffic on the Internet, according to security experts. Sober.P, first detected on Monday, now accounts for 77 percent of all viruses detected by Sophos's threat-monitoring stations worldwide, the British security company said on Tuesday. At the same time, Kaspersky Labs, a Russian maker of antivirus software designed to combat such threats, described the worm's spread in Western Europe as an "epidemic"...

Leggi: http://news.zdnet.co.uk/0,39020330,39197134,00.htm

[Giorgius]

(ASCA) - Roma, 5 mag - Gli esperti dei Sophoslabs, la rete globale di centri di analisi dei virus e dello spam di Sophos, ha segnalato agli utenti un nuovo worm che si diffonde via e-mail fingendosi un biglietto per i mondiali di calcio del 2006 in Germania. Nelle ultime 24 ore il worm si e' posizionato in cima alla classifica dei virus piu' diffusi, raggiungendo il 62 per cento dei virus avvistati dalle stazioni di monitoraggio di Sophos in tutto il mondo. Come le prime versioni del worm Sober, il virus puo' diffondersi in inglese e tedesco e utilizzare una varieta' di oggetti e corpi di testo differenti. Quando viene spedito in tedesco puo' camuffarsi da e-mail proveniente dalla Fifa che avvisa i destinatari di aver vinto dei biglietti gratuiti per assistere ai mondiali. Comunque, se l'utente apre il file allegato, il computer viene immediatamente infettato dal worm, che si autoinvia agli indirizzi e-mail trovati nel Pc colpito. Questa non e' la prima volta che un virus utilizza un torneo di calcio internazionale per diffondersi. Nel 2002 il virus Chick-F cerco' di sfruttare i mondiali in Corea del Sud e in Giappone. Ulteriori informazioni su Sober-N all'indirizzo http://www.sophos.com/virusinfo/anal...32sobern.html.

[Giorgius]

...Alcuni esperti, pero', non lo assimilano a un vero e proprio worm, bensi' a un programma nocivo. Infatti, Sober.p non ha Cavalli di Troia ne' keylogger (software che ubano le password digitate sulla tastiera), ma rallenta il traffico di e-mail su larga scala...

Leggi: http://it.news.yahoo.com/050506/195/37pik.html

[Giorgius]

Sober reloaded

Zombie PCs infected with the Sober-P worm are set to reactivate on Monday, 23 May. Sober-P posed as offers of a free ticket for next year's World Cup and set up backdoor access on compromised PCs, claiming thousands of victims since its first appearance earlier this month. These infected machines were later used to generate a German hate-mail spam outbreak this week. The sheer volume of this deluge illustrated the potential for further mischief...

Leggi: http://www.theregister.co.uk/2005/05/20/sober_reloaded/

[Giorgius]

A security researcher said Friday that the aggressive Sober worm of early May is timed to download new code the first day of this week.Sober.p, the mass-mailed worm that spread voraciously by virtue of its offer of free World Cup tickets, is poised to launch another attack Monday, said Dmitri Alperovitch from security firm CipherTrust...

Leggi: http://www.cmpnetasia.com/ViewArt.cf...id=3&subcat=50

The Methodology Behind The Sober.p Worm

Leggi: http://www.securitypipeline.com/show...leId=163106278

[Giorgius]

Quel virus è neonazista allarme continuo sul web

... I messaggi contengono un invito al ricevente ("Lese selbst", leggi direttamente), a cliccare su un link che punta al sito del partito di estrema destra NPD, o ad articoli sul tema immigrazione pubblicati da giornali tedeschi come Der Spiegel, Taz ed Heise online. E' la prima volta che lo spam viene impiegato in maniera così massiccia per veicolare della propaganda politica...

Leggi: http://www.repubblica.it/2005/e/sezi.../virusweb.html