Sober.H est un programme malicieux de type cheval de Troie
qui est automatiquement téléchargé et exécuté depuis le 10/05/05
par les ordinateurs précédemment contaminés par le virus Sober.G
et non encore désinfectés. Lorsque ce troyen est exécuté,
il envoie des spams de propagande politique en allemand aux
adresses présentes dans le carnet d'adresses Windows et divers
autres fichiers du disque dur, en utilisant une adresse d'expéditeur
falsifiée et sans y attacher de fichier infecté.
PREVENTION :
Les utilisateurs concernés doivent mettre
à jour leur antivirus. En cas de doute, les utilisateurs
doivent également s'assurer que leur ordinateur
n'est pas déjà infecté par le virus
Sober.G.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le troyen.
Les utilisateurs ne disposant pas d'un antivirus peuvent
utiliser gratuitement l'antivirus
gratuit en ligne pour rechercher et éliminer
le troyen.
|
TYPE :
Troyen
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS :
Sober.H (F-Secure)
Troj/Sober-H (Sophos)
Trojan.Ascetic.A (Symantec)
W32.Sober.H@mm (Symantec)
WORM_SOBER.H (Trend Micro)
TAILLE :
59.747 octets
DECOUVERTE :
10/06/2004
DESCRIPTION DETAILLEE :
Sober.H est un troyen, c'est-à-dire un programme hostile
incapable de se multiplier et de se propager par lui-même,
contrairement aux virus. Il peut être installé sur l'ordinateur
de sa victime par un virus ayant préalablement infecté l'ordinateur
(notamment Sober.G) ou arriver en
pièce jointe d'un spam.
Le troyen s'installe dans le répertoire System de
Windows sous un nom aléatoire avec une extension en
.EXE, modifie la base de registres afin d'être exécuté
à chaque démarrage de l'ordinateur, désactive
d'éventuelles précédentes versions du
virus Sober puis envoie des spams à caractère
politique aux contacts dont les adresses figurent dans le
carnet d'adresses Windows ainsi que les fichiers .ABC, .ABD,
.ABX, .ADB, .ADE, .ADP, .ADR, .ASP, .BAK, .BAS, .CFG, .CGI,
.CLS, .CMS, .CSV, .CTL, .DBX, .DHTM, .DOC, .DSP, .DSW, .EML,
.FDB, .FRM, .HLP, .IMB, .IMH, .IMM, .INBOX, .INI, .JSP, .LDB,
.LDIF, .LOG, .MBX, .MDA, .MDB, .MDE, .MDW, .MDX, .MHT, .MMF,
.MSG, .NAB, .NCH, .NFO, .NSF, .NWS, .ODS, .OFT, .PHP, .PL,
.PMR, .PP, .PPT, .PST, .RTF, .SHTML, .SLK, .SLN, .STM, .TBB,
.TXT, .UIN, .VAP, .VBS, .VCF, .WSH, .XHTML, .XLS, .XML présents
sur le disque en évitant certains destinataires et
en utilisant une adresse d'expéditeur falsifée.
Il peut enfin se mettre à jour en téléchargeant
et exécutant un fichier nommé winhlpx32ll.exe
depuis le site web people.freenet.de.
Sober.H a été utilisé pour inonder
les boîtes aux lettres de messages en allemand à
caractère xénophobe à partir du 10/06/04,
probablement pour tenter d'influer sur le cour des élections
européennes du 13 juin.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|