Sober.A
est un virus qui
se propage par email. Il se présente sous la forme d'un
message
dont le titre est aléatoire et dont le fichier joint
comporte
une extension en .BAT, .COM; .EXE, .PIF ou .SCR et tente de
se faire passer notamment pour un utilitaire antivirus.
Si
ce fichier est exécuté, le virus s'envoie aux
correspondants présents
dans le carnet d'adresses Windows, ainsi qu'aux adresses email
collectées dans divers fichiers de l'ordinateur.
PREVENTION
:
Les utilisateurs concernés doivent mettre
à jour leur antivirus. D'une manière générale,
même si son nom est attrayant il ne faut pas exécuter
un fichier joint sans l'avoir au préalable analysé avec
un antivirus à jour.
DESINFECTION
:
Avant
de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection FixSober pour rechercher
et éliminer le virus.
|
TYPE
:
Ver
SYSTEME(S)
CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS
:
Sober (F-Secure)
I-Worm.Sober (Kaspersky)
W32/Sober@MM (McAfee)
W32.Sober@mm
(Symantec)
WORM_SOBER.A (Trend Micro)
TAILLE
:
63.488 octets (variable)
DECOUVERTE
:
24/10/2003
DESCRIPTION
DETAILLEE :
Le virus se présente sous la forme d'un message
dont le titre et le nom du fichier joint sont aléatoires,
en anglais ou en allemand. Quelques
titres de messages :
- Neuer
Virus im Umlauf!
- Back
At The Funny Farm
- Sie
versenden Spam Mails (Virus?)
- Ein
Wurm ist auf Ihrem Computer!
- Langsam
reicht es mir
- Sie
haben mir einen Wurm geschickt!
- Hi
Schnuckel was machst du so ?
- VORSICHT!!!
Neuer Mail Wurm
- Re:
Kontakt
- RE:
Sex
- Sorry,
Ich habe Ihre Mail bekommen
- Re:
lol
- Viurs
blockiert jeden PC (Vorsicht!)
- berraschung
- Ich
habe Ihre E-Mail bekommen !
- Jetzt
rate mal, wer ich bin !?
- Neue
Sobig Variante (Lesen!!)
- Ich
Liebe Dich
- Sie
sollten diesen Entfernen!!
- New
internet virus!
- You
send spam mails (Worm?)
- A
worm is on your computer!
- You
have sent me a virus!
- Hi
darling, what are you doing now?
- Be
careful! New mail worm
- Re:
Contact
- Sorry,
I've become your mail
- Hey
man, long not see you
- Viurs
blocked every PC (Take care!)
- Surprise
- I've
become your mail!
- Advise
who I am!
- New
Sobig-Worm variation (please read)
- I
love you (I'm not a virus!)
- I permanently
get Spam-Mails from you and inside is a virus!!
- You
should remove these thing.
La pièce
jointe possède un nom aléatoire et une extension
en .BAT, .COM; .EXE, .PIF ou .SCR :
- AntiVirusDoc.pif
- Check-Patch.bat
- Screen_Doku.scr
- Removal-Tool.exe
- Hengst.pif
- Perversionen.scr
- CM-Recover.com
- Bild.scr
- schnitzel.exe
- robot_mail.scr
- RobotMailer.com
- Privat.exe
- AntiTrojan.exe
- Mausi.scr
- NackiDei.com
- Anti-Sob.bat
- Liebe.com
- security.pif
- funny.scr
- Odin_Worm.exe
- check-patch.bat
- anti_virusdoc.pif
- perversion.scr
- screen_doc.scr
- potency.pif
- CM-recover.com
- pic.scr
- playme.exe
- robot_mailer.pif
- private.exe
- anti-trojan.exe
- little-scr.scr
- love.com
- nacked.com
- NAV.pif
Si ce
fichier est exécuté, un faux message d'erreur
indique "File not complete!" puis le virus se copie
en trois exemplaires dans le répertoire System de Windows
sous le nom SIMILARE.EXE et deux autres noms aléatoires,
modifie la base de registres pour s'exécuter automatiquement
au prochain démarrage de l'ordinateur, puis s'envoie
aux correspondants présents
dans le carnet d'adresses Windows, ainsi qu'aux adresses email
collectées dans divers fichiers de l'ordinateur infecté.
INFORMATIONS
COMPLEMENTAIRES :
->
FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
|