Sober.R est un virus qui se propage par courriel. Il se présente
sous la forme d'un message en anglais ou allemand dont le
titre et le corps sont variables, accompagné d'un fichier
joint avec une extension .ZIP (111 Ko), en incitant notamment
l'utilisateur à ouvrir ce fichier pour valider un nouveau
mot de passe. Si ce fichier est exécuté, le
virus s'envoie massivement aux adresses présentes dans le
carnet d'adresses Windows et divers autres fichiers.
PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus. D'une
manière générale, même si son nom est intriguant ou attrayant il ne faut
pas exécuter un fichier joint douteux sans avoir fait confirmer son envoi
par l'expéditeur puis l'avoir analysé avec un antivirus à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection Stinger pour rechercher et
éliminer le virus.
|
TYPE :
Troyen
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS :
Worm/Sober.Q (Antivir)
Win32:Sober-Q (Avast)
I-Worm/Sober.S (AVG)
Win32.Sober.S@mm (BitDefender)
Worm.Sober.R (ClamAV)
Win32.Sober.P (Computer Associates)
W32/Sober.R@mm (F-Prot)
W32/Sober.R@mm (F-Secure)
Email-Worm.Win32.Sober.s (KAV)
W32.Sober.Q@mm (Mc Afee)
Win32/Sober.R (NOD32)
Sober.Y (Panda Software)
W32/Sober-O (Sophos)
W32.Sober.P@mm (Symantec)
WORM_SOBER.AC (Trend Micro)
CME-151
TAILLE :
113.551 octets
DECOUVERTE :
05/10/2005
DESCRIPTION DETAILLEE :
Sober.R est une variante du virus Sober qui se présente
sous la forme d'un message en anglais ou en allemand, dont
le titre est variable :
- Your new Password
- Fwd: Klassentreffen
Le corps du message est également variable :
- Your password was successfully changed!
Please see the attached file for detailed information.
- ich hoffe jetzt mal das ich endlich die
richtige person erwischt habe! ich habe jedenfalls mal unser
klassenfoto von damals mit angehngt. wenn du dich dort wiedererkennst,
dann schreibe unbedingt zurck!!
wenn ich aber wieder mal die falsche person erwischt habe,
dann sorry fr die belstigung ;)
liebe gr
Rita,
La pièce jointe possède une extention .ZIP
(111 Ko) :
- pword_change.zip
- KlassenFoto.zip
Si ce fichier est exécuté, un faux message
d'erreur "Error in packed file!" est affiché
pour faire diversion, puis le virus se copie dans le répertoire
Windows\ConnectionStatus\ sous les noms services.exe et netslot.nst,
modifie la base de registres pour s'exécuter automatiquement
à chaque démarrage de l'ordinateur, puis s'envoie
aux contacts présents dans le carnet d'adresses Windows
ainsi qu'aux adresses email collectées dans divers autres
fichiers en évitant certains destinataires et en utilisant
une adresse d'expéditeur usurpée ou falsifiée
et désactive les outils de suppression des logiciels
malveillants mrt.exe de Microsoft et Stinger de Mc Afee.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|