Sobig.F
est un virus qui
se propage par email et via les dossiers partagés. Il
se présente sous la forme d'un message
dont le titre est aléatoire et d'un fichier joint dont
l'extension est .PIF ou .SCR.
Si
ce fichier est exécuté, le virus s'envoie aux
correspondants présents
dans le carnet d'adresses Windows, ainsi qu'aux adresses email
collectées dans les fichiers .DBX, .EML, .HLP, .MTH, .HTM .HTML
et .TXT de l'ordinateur infecté.
PREVENTION
:
Les utilisateurs concernés doivent mettre
à jour leur antivirus. D'une manière générale,
même si son nom est attrayant il ne faut pas exécuter
un fichier joint sans au moins l'avoir au préalable
analysé avec un antivirus à jour.
DESINFECTION
:
Avant
de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection FixSbigF pour rechercher
et éliminer le virus.
|
TYPE
:
Ver
SYSTEME(S)
CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
ALIAS
:
Win32.Sobig.F (CA)
Worm.Sobig.f
(KAV)
W32/Sobig.f@MM (Mc Afee)
W32/Sobig-F (Sophos)
W32.Sobig.F@mm (Symantec)
WORM_SOBIG.F (Trend Micro)
Win32.HLLM.Reteras
TAILLE
:
72.295 octets
DECOUVERTE
:
19/08/2003
DESCRIPTION
DETAILLEE :
Le virus Sobig.F est une variante du virus Sobig.A.
Il se présente sous la forme d'un message dont le titre
et le nom du fichier joint sont aléatoires.
L'adresse
de l'expéditeur du message infecté est une adresse
prise au hasard sur l'ordinateur contaminé ou sinon
admin@internet.com. Le titre du message est un des suivants
:
- Re:
Thank you!
- Thank
you!
- Re:
Details
- Re:
Re: My details
- Re:
Approved
- Re:
Your application
- Re:
Wicked screensaver
- Re:
That movie
Le corps
du message est au choix :
- See
the attached file for details.
- Please
see the attached file for details.
.La pièce
jointe possède une extension en .PIF ou .SCR :
- your_document.pif
- document_all.pif
- thank_you.pif
- your_details.pif
- details.pif
- document_9446.pif
- application.pif
- wicked_scr.scr
- movie0045.pif
Si le
fichier joint est exécuté, le virus se copie
dans le répertoire Windows sous le nom WINPPR32.EXE,
modifie la base de registres afin de s'exécuter automatiquement
à chaque démarrage de l'ordinateur, puis s'envoie
à tous les correspondants présents
dans le carnet d'adresses Windows, ainsi qu'aux adresses email
contenues dans les fichiers .DBX, .EML, HLP, .MTH, .HTM .HTML
et .TXT.
Sobig.F est également programmé pour télécharger
et exécuter un fichier sur l'ordinateur infecté
à l'insu de l'utilisateur, le vendredi et le dimanche
entre 19 et 22 heures GMT, ce qui rend possible sa mise à
jour automatique par Internet ou diverses actions hostiles
comme dérober des données confidentielles ou
installer un proxy permettant aux spammeurs d'envoyer leurs
messages depuis l'ordinateur contaminé.
Ce virus
est programmé pour ne plus s'activer à partir
du 10/09/03 et ne devrait donc plus se propager à partir
de cette date.
INFORMATIONS
COMPLEMENTAIRES :
->
Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
->
Messages
trompeurs envoyés par Sobig.F indexés par Hoaxkiller.fr
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|