L'ondata travolgente del worm teutonico

L'ondata travolgente del worm teutonico

Parla tedesco l'ultima versione di Sober che nelle passate 48 ore ha letteralmente travolto la rete italiana, generando un flusso di segnalazioni e preoccupazione. Un'azione con risvolti politici
Parla tedesco l'ultima versione di Sober che nelle passate 48 ore ha letteralmente travolto la rete italiana, generando un flusso di segnalazioni e preoccupazione. Un'azione con risvolti politici


Roma – Germania ed India: erano questi fino a un paio di giorni fa i paesi nei quali i maggiori osservatori antivirus avevano segnalato la diffusione di una versione particolarmente infettiva di Sober, worm che nella sua “edizione” Sober.Q sta ora facendo danni in quantità anche in Italia.

“Da stamattina – scrive Marco M. a Punto Informatico – la nostra rete sta ricevendo montagne di email apparentemente spedite senza volontà da indirizzi di nostri clienti. Queste email recano tutte indicazioni in lingua tedesca e segnalano link a notizie di quotidiani tedeschi (Der Spiegel e altri)”. Situazione analoga viene confermata a Punto Informatico da moltissimi lettori, segno evidente della capacità di Sober.U di diffondersi sui sistemi Windows e di ottenere il suo scopo: ingolfare la rete di email più o meno deliranti.

Già, perché la nuova variante di Sober emersa domenica, secondo Trend Micro , sfrutta come le precedenti le sue capacità spammatorie: anziché diffondersi via email come molti altri worm, Sober trasforma i computer infettati in fucili sparaspam capaci di veicolare enortmi quantità di messaggi, soprattutto quando connessi a banda larga.

La presenza di un numero così elevato di email non lascia adito a dubbi: gli autori di Sober sfruttano ancora una volta una botnet , rete di computer non presidiati e controllati da remoto (i cosiddetti “zombie”), in questo caso infettati attraverso siti capaci di depositare su quei PC malware di varia natura, trasformandoli appunto in sparaspam. “Sober.Q – ha spiegato a cnet Scott Chasin di MX Logic – sembra essere scaricato da macchine infettate da Sober.P. Se davvero è così, gli autori di Sober.P potrebbero avere controllo remoto di un ampio numero di computer infetti. Una rete che si trasformerebbe non solo in un megafono per distribuire messaggi d’odio ma anche una piattaforma per spam, worm e attacchi denial-of-service in futuro”.

E non si tratta di messaggi comuni: scritte come accennato in tedesco, ma esiste anche la variante inglese, sono email a sfondo politico . Questo non deve stupire, visto che negli ultimi mesi un numero sempre più ampio di azioni di questo tipo, o cracking e defacing, sono state condotte con apparenti finalità e rivendicazioni politiche. All’interno delle email, infatti, link a riviste tedesche o a siti di varia natura con materiali che assomigliano molto alle rivendicazioni politiche delle leghe d’estrema destra della Sassonia: propaganda contro l’Unione Europea e il “tradimento dei valori fondamentali della Germania” e cosine del genere. I subject suonano così: “multi-culturalità? multi-criminalità”, “siete appena stati schiavizzati”, “occhio, la polizia dà l’allarme”.

“La diffusione maggiore del virus – spiega a Punto Informatico Stefano Meller, amministratore delegato della società di sicurezza Yarix – è avvenuta in Germania ed India, ma anche in Italia ha fatto parecchie vittime con un’estensione a macchia di leopardo: alcuni domini hanno infatti ricevuto centinaia di email del virus, mentre altri sono rimasti immuni dall’attacco”.

Molti sono i colpiti dal worm, visto l’enorme numero di messaggi generati, e non è così semplice riuscire ad isolare queste email dai network dei provider. “La soluzione – sostiene Meller – è rivolgersi il prima possibile al proprio amministratore di rete al fine di impostare dei filtri appropriati nel sistema di posta elettronica. Il problema principale infatti è che la mail diffusa dal virus non è riconosciuta da nessun sistema come spam. L’amministratore deve quindi, per prima cosa, provvedere ad impostare adeguatamente i filtri che regolano la ricezione della posta, al fine di evitare che la diffusione di queste mail sia ancora più “massiccia”. Tale provvedimento riesce però solo momentaneamente ad impedire l’intasamento della propria casella ed il rallentamento delle funzioni informatiche aziendali, poiché funge esclusivamente come un tampone”.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 17 mag 2005
Link copiato negli appunti