Sober, un attacco in due tempi
Anche Sober si propaga via mail
Sober è un worm che, grazie a numerose varianti create nel corso degli anni, non è mai stato del tutto debellato. Dall'ottobre 2003, quando fu scoperto per la prima volta, è tutt'ora considerato una grave minaccia, uno dei worm più pericolosi che la rete abbia mai conosciuto.
La particolarità di Sober è che s'inserisce direttamente nel registro di Windows, rendendosi invisibile all'utente, e quindi capace di danneggiare il sistema a proprio piacimento.
Anche Sober appartiene alla categoria dei malware che si diffondono via posta elettronica. La prima email infetta da questo worm, è stata scoperta il 24 ottobre 2003. Si trattava del consueto cliché : la solita email scritta in inglese, che conteneva il solito allegato con il solito "regalino" infetto. Nel momento in cui l'utente apriva l'allegato, il worm infettava la macchina e tentava di auto-inviarsi via email a nuove vittime, utilizzando la rubrica dei contatti.
Una volta installato in Windows, Sober crea diversi file, con lo scopo è confondere l'utente che tenta di rimuoverlo, ma anche consentire future infezioni. Il "pezzo forte" del worm era però costituito dalla sua capacità di infettare il registro, creando una nuova chiave che lo mandava automaticamente in esecuzione all'avvio di Windows, anche se uno dei file infetti veniva cancellato.
Sober torna alla ribalta nel 2005, due anni dopo la sua prima comparsa. Sembrava che questo worm si fosse "addormentato", quando comparve una nuova variante, il 3 marzo. Gli attacchi iniziano a ripetersi e diventare sempre più frequenti. Il 14 novembre, appare la variante T di Sober, ma la variante più pericolosa apparirà a pochi giorni di distanza, il 21 novembre, con la variante Sober.X. L'email che veniva inviata stavolta era spacciata come proveniente direttamente dalla CIA o dall'FBI, e dichiarava che l'utente era stato sorpreso a navigare in alcuni siti illegali e gli si chiedeva di rispondere ad un questionario, inserito come allegato nell'email. Ovviamente, l'allegato nascondeva il worm. Sober.X, che era ancor più dannoso rispetto alla prima versione, perché capace anche di rubare i dati personali dell'utente.
Il creatore di Sober non è mai stato scoperto, anche se le autorità, per via di un messaggio di chiaro carattere politico presente in alcune versione del worm, pensano si possa trattare di un militante di un partito tedesco di estrema destra.
