Il ritorno di Sobig: nuova ondata di worm

Qualche mese fa Sobig.e aveva letteralmente "spopolato" in rete, causando non pochi danni. Al momento i più importanti istituti per la sicurezza informatica segnalano una nuova potenziale epidemia causata da Sobig.f

W32/Sobig.f@MM è stato isolato nella giornata di ieri e, come tutti i worm, si diffonde autoinviandosi attraverso allegati di posta elettronica. Gli indirizzi email vengono "sniffati" dalle consuete rubriche indirizzi presenti sul sistema, mentre per l'invio viene utilizzato un motore SMTP interno (il virus contiene un elenco di indirizzi IP relativi a server NTP da utilizzare).

I dati relativi al mittente vengono modificati, in tal modo l'identificazione del "pc untore" è parecchio difficile.

Il worm, quando viene "erroneamente" attivato, crea un file eseguibile C:\WINNT\WINPPR32.EXE ed un files di configurazione C:\WINNT\WINSTT32.DAT; per garantire l'esecuzione al riavvio del sistema operativo, inserisce nel registro di sistema alcune chiavi.

Come per le versioni precedenti di Sobig, anche la variante F terminerà la propria diffusione il giorno 10 Settembre 2003. Al momento non è noto alcun effetto distruttivo di questo worm, ma già solo il massiccio numero di email che crea e lo sniffing dei propri indirizzi di posta non sono elementi da trascurare.

Le più famose software house hanno rilasciato recentemente un aggiornamento delle definition list, attraverso cui Sobig F viene correttamente neutralizzato.

Qualora il sistema sia però stato già infettato, o per un più approfondito controllo, a questo indirizzo trovate il tool di rimozione sviluppato da Symantec.

Non recente quanto Sobig f, ma forse più pericoloso, è il wom Welchia, che purtroppo sfruttando alcune vulnerabilità dei sistemi operativi Microsoft può avere effetti distruttivi sui dati e destabilizzanti sul sistema.

Il worm sfrutta un noto bug su RPC di Windows 2000 ed XP per entrare tramite la porta 135. Una volta attivo scarica se stesso in locale tramite TFTP e inizia la sua attività, apparentemente non distruttiva. Welchia elimina MSBlast (un'altro recente worm!) e scarica le patch ufficiali dal sito Microsoft per correggere le vulnerabilità su RPC (al termine di tale operazione il sistema viene riavviato).

Nachi (altro nome con cui viene chiamato Welchia) rimane poi attivo sul sistema fino al primo Gennaio 2004, giorno in cui si cancellerà automaticamente.

Anche se apparentemente Welchia sembra innoffensivo, anzi provvede all'eliminazione di un'altro worm, il traffico generato in rete da tale diffusione può creare non pochi problemi ed inoltre questi sono solo gli effetti ad oggi noti, in futuro il worm potrebbe mutare le proprie caratteristiche ed attuvare una routine in qualche modo pericolosa.

Ulteriori informazioni circa Welchia sono disponibili qui.

Da quanto si apprende dalle informazioni rilasciate dai vari istituti per la sicurezza, ancora una volta sembra evidente che un sistema Windows aggiornato ed un antivirus con le ultime definition list possono garantire una discreta tranquillità.