Sober (virus)

Sober è una famiglia di worm scoperta il 24 ottobre 2003.

Sober invia sé stesso come allegato ad una e-mail (usando il proprio motore SMTP); una volta eseguito, si copia in varie cartelle, creando anche delle chiavi nel registro di sistema in modo da avviarsi all'avvio del sistema.

Sober è scritto in Visual Basic e colpisce solo i sistemi Windows.

Il virus ha avuto un'ampia diffusione nel novembre 2005, quando ha infettato oltre tre milioni di computer spacciandosi come un'e-mail dell'FBI o della CIA; nei computer colpiti, il worm disattivava tutti gli antivirus presenti e recuperava informazioni personali.

Varianti conosciute

[modifica | modifica wikitesto]
  • Sober.L
  • Sober.T
  • Sober.X
  • CME-681
  • WORM_SOBER.AG
  • W32/Sober-{X-Z}
  • Win32.Sober.W
  • Win32.Sober.O
  • Sober.Y (pseudonimo di Sober.X, spesso usato da F-Secure)
  • S32/Sober@MMIM681
  • W32/Sober.AA@mm

Piattaforme colpite

[modifica | modifica wikitesto]

I worm della famiglia Sober devono essere eseguiti manualmente dall'utente per infettare un sistema. Dopo l'esecuzione, il worm può copiarsi in un dei seguenti file della cartella WINDOWS:

  • antiv.exe
  • csrss.exe
  • driver.exe
  • driverini.exe
  • drv.exe
  • explorer.exe
  • filexe.exe
  • hlp16.exe
  • lssas.exe
  • qname.exe
  • services.exe
  • smss.exe
  • spoole.exe
  • swchost.exe
  • syshost.exe
  • systemchk.exe
  • systemini.exe
  • winchk.exe
  • winlog32.exe
  • winreg.exe

Successivamente, il worm aggiunge delle chiavi al registro di sistema che gli consentono di eseguirsi automaticamente all'avvio.

Sober si può auto-inviare via e-mail tramite il suo motore SMTP a tutti i contatti della rubrica Outlook dell'utente.

Disattivazione dei software antivirus

[modifica | modifica wikitesto]

Sober può disattivare molti antivirus, tra i quali Microsoft AntiSpyware e HijackThis.

  1. 24 Ottobre, 2003 – Prima apparizione del virus
  2. 3 Marzo, 2005– Variante L
  3. 14 Novembre, 2005 – Variante T
  4. 15 Novembre, 2005 – Variante X

Motivazioni politiche

[modifica | modifica wikitesto]

Nel maggio del 2005, apparve la variante Q del worm sober, l'unica che sembrava avere motivazioni politiche.

A differenza delle altre varianti, quest'ultima reindirizza l'utente ad una pagina delle elezioni politiche tedesche esente dalla presenza di malware, con lo scopo di promuovere il Partito Nazionalista Tedesco.

Ci furono inoltre ulteriori modifiche del virus sempre al fine di pubblicizzare campagne politiche, sempre originate dalla Germania.

Collegamenti esterni

[modifica | modifica wikitesto]