Sobig
est un virus qui
se propage par email et via les dossiers partagés. Il
se présente sous la forme d'un message dont le titre
et le nom du fichier joint sont aléatoires, et dont l'adresse
d'expéditeur est en général big@boss.com.
Si le fichier joint est exécuté, le virus s'envoie
automatiquement à toutes les adresses email collectées
sur le disque dur puis tente d'installer un troyen.
PREVENTION
:
Les utilisateurs concernés doivent mettre
à jour leur antivirus. D'une manière générale,
même si son nom est attrayant il ne faut pas exécuter
un fichier joint sans l'avoir au préalable analysé avec
un antivirus à jour.
DESINFECTION
:
Avant
de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection FixSobig pour rechercher
et éliminer le virus.
|
TYPE
:
Ver
SYSTEME(S)
CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
ALIAS
:
Win32.Sobig (CA)
I-Worm.Sobig (KAV)
W32/Sobig@MM (Mc Afee)
W32/Sobig (Panda)
W32/Sobig-A (Sophos)
W32.Sobig.A@mm (Symantec)
WORM_SOBIG.A (Trend)
TAILLE
:
65.536 octets
DECOUVERTE
:
09/01/2003
DESCRIPTION
DETAILLEE :
Le virus
se présente sous la forme d'un message dont le titre
et le nom du fichier joint sont variables. Le titre du message
est au choix :
- Re:
Movies
- Re:
Sample
- Re:
Document
- Re:
Here is that sample
L'expéditeur
des messages est big@boss.com. La pièce jointe a une
extension en .PIF et son nom évoque un fichier multimédia
:
- Movie_0074.mpeg.pif
- Document003.pif
- Untitled1.pif
- Sample.pif
Si le
fichier joint est exécuté, le virus se copie
dans le répertoire Windows sous le nom WINMGM32.EXE,
modifie la base de registres pour s'exécuter automatiquement
au prochain démarrage, puis extrait ensuite les adresses
emails contenues dans les fichiers .TXT, .HTM, .HTML, .EML,
.WAB et .DBX pour s'y envoyer automatiquement.
Sobig
tente
enfin de télécharger et d'installer un cheval
de Troie depuis un site web hébergé chez Geocities,
permettant à une personne malveillante de prendre le
contrôle de l'ordinateur infecté.
INFORMATIONS
COMPLEMENTAIRES :
->
FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> Dossier
Secuser.com sur les virus
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
|