Nuova versione del Virus Sober si diffonde sfruttando l’FBI e Paris Hilton

Video gratis di Paris Hilton? In realtà è una nuova versione del virus Sober. Molti utenti stanno ricevendo email che promettono la visione di un altro video hard della bella ereditiera americana, ma in realtà il file zip allegato contiene un virus piuttosto pericoloso. In alcuni casi il mittente della mail sarebbe l’FBI.

Il pericoloso worm circola da tempo e sfrutta diverse tecniche di Social Engineering per indurre l’utente ad aprire il file contenente il virus e ad infettare il computer. Queste tecniche sfruttano soprattutto paura dell’utente di essere stato scoperto nel fare qualcosa di riprovevole (ad esempio: aver visitato siti per adulti oppure aver scaricato files protetti o canzoni gratuitamente), oppure la curiosità (documenti segreti recapitati per errore ai quali dare una sbirciata) o la promessa di un servizio gratuito (ad esempio un desktop da scaricare, ecc.)

Questa volta si utilizzano diverse tecniche: spesso il mittente della email portavirus sarebbe addirittura l’FBI, che avviserebbe di aver notato la presenza del destinatario della email in almento 30 siti illegali: “we have logged your IP-address on more than 30 illegal Websites” è l’oggetto di uno di questi messaggi. Considerando che la stragrande maggioranza degli utenti di internet ha visitato almeno una volta dei siti per adulti o ha scaricato illegalmente dei files (canzoni protette marchio SIAE ad esempio, o programmi utilizzati a sbafo), è facile che uno degli utenti che si senta in colpa decida di aprire il file che spiegherebbe qualcosa di più sulla sua situazione, aprendo così le porte al virus. Ecco un esempio della email con mittente FBI (falso):
blockquote>Dear Sir/Madam,
we have logged your IP-address on more than 30 illegal Websites.
Please answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison
Department Office Admin Mail Post
*** Federal Bureau of Investigation -FBI-
*** 935 Pennsylvania Avenue, NW, Room 3220
*** Washington, DC 20535
++++ Central Intelligence Agency -CIA-
++++ Office of Public Affairs
++++ Washington, D.C. 20505
++++ phone: (703) 482-0623
++++ 7:00 a.m. to 5:00 p.m., US Eastern time

Lo stesso FBI (Federal Bureau of Investigation – Home Page) ha pubblicato un avviso nel quale avvisa di non aprire questo tipo di email, e che siamo di fronte al peggior worm dell’anno

Questa volta, oltre al senso di colpa, il Social Engineering sfrutta anche la piu’ classica (ed efficace) tecnica di induzione ad andare avanti e ad aprire l’allegato: il sesso e la curiosità morbosa di vedere un personaggio pubblico nudo e in azione. Paris Hilton è una bella ragazza americana, bionda, bel fisico, ma soprattutto ricchissima, ereditiera della catena mondiale di hotel Hilton, disinibita e famosa per le sue stravaganze e i suoi amori. Famosa, soprattutto su internet, grazie al suo video hard, una sorta di filmato amatoriale girato in una camera d’albergo con l’ex (?) partner Nicole Richie. Nel 2004, tanto era diventato famoso questo video e tanta era la curiosità di scaricarlo e vederlo che il nome paris hilton è stato per molti mesi una delle 10 chiavi di ricerca più ricercate su Google.

Ecco il testo di una email virus con oggetto Paris Hilton:

View Paris Hilton & Nicole Richie video clips , pictures & more
Download is free until Jan, 2006!
Please use our Download manager.

Il virus quindi si presenta come allegato in una email che utilizza una delle tecniche di cui sopra. Una volta aperto il file zip e cliccando sul file contenuto, il worm si installa nel computer, disabilita antivirus e sistemi di protezione (non aggiornati), modifica il registro di sistema, crea directory e modifica files per autoreplicarsi. Soberrastrella infatti tutti gli indirizzi email che trova nella rubrica dell’utente e si autoinvia come attached (allegato) zippato , generalmente all’interno di una nuova email scritta in inglese oppure in tedesco. Il nome del file zippato cambia, ma all’interno si trova il file File-packed_dataInfo.exe, il virus vero e proprio.

I suggerimenti sono i soliti: installare un antivirus (e tenerlo aggiornato!), utilizzare un Firewall, ma soprattutto non aprire allegati dubbi, soprattutto se il testo è in lingua straniera, anche se arrivano da amici e conoscenti: potrebbero sempre essere stati infettati dal virus Sober. Per rimuovere il virus usare il tool cliccando http://securityresponse.symantec.com/avcenter/FixSbr.exe [F.B. –

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Per accettazione privacy. Dichiari di avere più di 16 anni: