Sober.Y est un virus qui se propage par courriel.
Il se présente sous la forme d'un message en anglais
ou en allemand dont le titre et le corps sont aléatoires
accompagné d'un fichier joint avec une extension .ZIP
(54 Ko), en tentant notamment de faire passer pour un kit d'accès
aux vidéos des célébrités Paris
Hilton et Nicole Richie ou d'une mise en garde du FBI/CIA suite
à la prétendue consultation de sites illégaux.
Si ce fichier est exécuté, le virus s'envoie en
masse aux adresses présentes dans le carnet d'adresses Windows
et divers autres fichiers.
PREVENTION :
Les utilisateurs concernés doivent mettre
à jour leur antivirus. D'une manière générale,
même si son nom est intrigant ou attrayant il ne faut
pas exécuter un fichier joint douteux sans avoir fait
confirmer son envoi par l'expéditeur du message puis
l'avoir analysé avec un antivirus à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection FixSbr pour rechercher et
éliminer le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS :
Worm/Sober.Y (AntiVir)
Win32:Sober-AB2 (Avast)
I-Worm/Sober.CF (AVG)
Win32.Sober.AD@mm (BitDefender)
Worm.Sober.U (ClamAV)
Win32.Sober.W (CA)
W32/Sober.Z@mm (F-Prot)
Sober.Y (F-Secure)
Worm.Win32.Sober.y (Kaspersky)
W32/Sober@MM!M681 (McAfee)
Win32/Sober.Y (NOD32)
W32/Sober.AA@mm (Norman)
W32/Sober.AH.worm (Panda Software)
W32.Sober.X@mm (Symantec)
WORM_SOBER.AG (Trend Micro)
TAILLE :
55.390 octets
DECOUVERTE :
21/11/2005
DESCRIPTION DETAILLEE :
Sober.Y est une variante du virus Sober qui se présente
sous la forme d'un message en anglais ou en allemand, dont
le titre est variable :
- Registration Confirmation
- Paris Hilton & Nicole Richie
- You visit illegal websites
- Your IP was logged
- Your Password
- smtp mail failed
- Mail delivery failed
- hi, ive a new mail address
L'adresse de l'expéditeur est falsifiée ou
usurpée (dont notamment Department@fbi.gov, Office@fbi.gov,
Mail@cia.gov, Department@cia.gov ou Admin@cia.gov) et le corps
du message est variable :
- Account and Password Information are attached!
- Protected message is attached!
- Account and Password Information are attached!
***** Go to: http://www.[nom de domaine de l'adresse destinataire]
***** Email: postman@[nom de domaine de l'adresse destinataire]
- The Simple Life:
View Paris Hilton & Nicole Richie video clips , pictures
& more ;)
Download is free until Jan, 2006!
Please use our Download manager.
- Dear Sir/Madam,
we have logged your IP-address on more than 30 illegal Websites.
Important:
Please answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison
++++ Central Intelligence Agency -CIA-
++++ Office of Public Affairs
++++ Washington, D.C. 20505
++++ phone: (703) 482-0623
++++ 7:00 a.m. to 5:00 p.m., US Eastern time
- Dear Sir/Madam,
we have logged your IP-address on more than 30 illegal Websites.
Important:
Please answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison
*** Federal Bureau of Investigation -FBI-
*** 935 Pennsylvania Avenue, NW, Room 3220
*** Washington, DC 20535
*** phone: (202) 324-3000
- hey its me, my old address dont work at
time. i dont know why?
! in the last days ive got some mails. i' think thaz your
mails but im not sure!
plz read and check ...
cyaaaaaaa
- This is an automatically generated Delivery
Status Notification.
SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't
work out.
The full mail-text and header is attached!
La pièce jointe possède un nom variable et
une extension .ZIP (54 Ko) :
- reg_pass.zip
- reg_pass-data.zip
- downloadm.zip
- list.zip
- mailtext.zip
- mail.zip
- mail_body.zip
- list[caractères aléatoires].zip
- question_list[caractères aléatoires].zip
Cette archive contient un fichier File-packed_dataInfo.exe.
Si ce fichier est exécuté, le virus se copie
dans le répertoire System de Windows sous un nom aléatoire,
modifie la base de registres pour s'exécuter automatiquement
au prochain démarrage de l'ordinateur, puis s'envoie
aux contacts présents dans le carnet d'adresses Windows,
ainsi qu'aux adresses email collectées dans divers autres
fichiers de l'ordinateur en évitant certains destinataires
et en utilisant une adresse d'expéditeur usurpée
ou falsifiée.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|