SoBig: scoperta l’origine. ''Arriva da un sito porno''

SAN FRANCISCO -- Mentre gli esperti delle aziende produttrici di antivirus stavano impedendo un attacco da parte del worm SoBig, l’Fbi citava in giudizio un provider dell’Arizona nell’ambito delle indagini volte a scoprirne gli autori. Secondo gli investigatori, l’infezione sarebbe partita da un sito "per soli adulti".

Jimmy Kuo, ricercatore della Network Associated Inc. ha dichiarato che SoBig F, sesta versione di un worm apparso per la prima volta a gennaio, era nascosto dietro un link di di foto porno, e chiunque cercasse di scaricarle innescava l’infezione, che ha la caratteristica di replicarsi aggredendo la rubrica di posta elettronica per diffondersi a macchia d'olio verso tutti gli indirizzi e-mail in essa contenuti. "SoBig.F ha fatto la sua comparsa lunedì scorso su un sito porno di Usenet", ha detto Kuo.

Usenet è un forum molto popolare, utilizzato da navigatori con interessi comuni per scambiarsi messaggi. "Si direbbe che il virus sia stato "postato" su Usenet il 18 agosto"

Si ritiene che finora circa 100.000 computer siano stati colpiti da SoBig che, a sua volta, ha inviato milioni di mail infette generando un enorme volume di e-mail spazzatura che, se non provoca danni maggiori, rallenta comunque il flusso della rete.

l’insidiosità del virus sta nel fatto che il mittente del messaggio infetto può essere un qualunque indirizzo, estratto da uno dei computer vittima, quindi la mail proviene a tutti gli effetti da un interlocutore noto. Al fine di non essere rilevato automaticamente dai filtri dei server di posta, inoltre, il worm trasporta informazioni insensate (in quantità variabile di volta in volta) accodate alla fine del file infetto, in modo da rendersi non identificabile con i normali sistemi di check.

Le mail, che possono avere per oggetto "Thank-you", "Re:Details" o "Re: That Movie", da sole, comunque, non sono pericolose: il virus si attiva solamente se viene aperto il file allegato. Una volta successo ciò, SoBig.F rastrella l’hard disk e si auto invia a tutti gli indirizzi di posta elettronica che riesce a trovarvi, firmando il messaggio con un nome scelto a caso nella rubrica del Pc colpito.

Da lunedì scorso, gli utenti di tutto il mondo di tutto il mondo, dalla Corea alla Norvegia, stanno combattendo contro i ripetuti attacchi del worm che ha saturato le caselle di centinaia di migliaia di famiglie e di aziende con un numero enorme di messaggi, alla ricerca di vittime, anche eccellenti. Il virus avrebbe infatti colpito tra gli altri il New York Times, la Air Canadatransport e la Booz Allen Hamilton (una delle principali aziende di consulenza Usa.

Gli impiegati della sede centrale del New York Times a Manhattan hanno ricevuto la richiesta di spegnere i Pc. Un portavoce ha rifiutato di commentare il fatto con queste parole: "Non stiamo a speculare su causa, effetto e scopo del problema... Quel che importa è che domani il giornale uscirà regolarmente.

Sobig.F diventerà inattivo dopo il 10 settembre ma, secondo gli esperti, ne verrà sicuramente rilasciata una nuova versione.

Steve Trilling, della Symantec, ha spiegato che, per generare ulteriore traffico in rete, il worm istruisce i Pc infetti affinchè ogni venerdì e sabato contattino un computer-bersaglio scelto tra 20. Dal momento che si temeva che questa azione programmata portasse, oltre al rallentamento del traffico, all’innesco di una nuova serie di comandi destinati a lanciare ulteriori attacchi, gli esperti del Governo e delle aziende per la sicurezza informatica hanno effettuato una corsa contro il tempo per identificare i computer e disattivarli. Venerdì ne erano stati individuati 19 tra Usa, Canada e Corea del Sud. La ventesima macchina è stata localizzata e disattivata negli Stati Uniti poco dopo la deadline. Gli esperti dsono comunque concordi nel dire che è troppo presto per stabilire se la minaccia SoBig sia terminata e che il nuovo attacco potrebbe generare nuovi problemi.