Sober.AA est un virus qui se propage par courrier
électronique. Il se présente sous la forme d'un message en
anglais ou allemand accompagné d'un fichier joint dont le nom
est variable et dont l'extension est .ZIP, en tentant de se faire
passer pour un message d'erreur en réponse à un courrier
électronique prétendument envoyé par le destinataire.
|
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. D'une manière générale,
même si son nom est intrigant ou attrayant il ne faut pas
exécuter un fichier joint douteux sans avoir fait confirmer
son envoi par l'expéditeur présumé du message
puis l'avoir analysé avec au moins un antivirus à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter la réinfection de l'ordinateur.
Les utilisateurs
ne disposant pas d'un antivirus peuvent utiliser l'antivirus
gratuit en ligne pour rechercher et éliminer ce
programme malicieux.
|
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows
ALIAS :
WORM/Sober.Gen (AntiVir)
I-Worm/Sober.CP (AVG)
Win32.Sober.Gen (Bit Defender)
Worm.Sober-1 (ClamAV)
W32/Sober.AT@mm (F-Prot)
Email-Worm.Win32.Sober.aa (F-Secure)
Email-Worm.Win32.Sober.aa (Kaspersky)
Win32/Sober.Z (Nod32)
W32/Sober.AN.worm (Panda Software)
W32.Sober.AA@mm (Symantec)
Win32/Sober.AH@mm
TAILLE :
89.274 octets
DECOUVERTE :
30/04/2007
DESCRIPTION DETAILLEE :
Le virus Sober.AA se présente sous la forme d'un message
en anglais ou allemand dont le titre et le corps sont variables.
Les titres de message :
- Error in your eMail
- Your Updated Password!
- Ihr Passwort wurde geaendert!
- Fehlerhafte Mailzustellung
- Ihr Account wurde eingerichtet!
Le corps du message est également un texte en anglais :
- Your eMail has occurred an unknown error on our Server.
Please read your mail and check the text.
The full email is attached!
*** auto mailerdaemon X.Path 4.2
*** (c) by [nom de domaine de l'adresse électronique de
l'expéditeur]
- You notified us that you have forgotten your password.
We have changed your password to a random sequence of letters
and digits!
For more detailed information, see the attached password file
...
- Ihr Passwort wurde erfolgreich geaendert.Ihre neuen Account-Daten
und Passwort befinden sich gesichert im Anhang!
- Diese Nachricht wurde Automatisch generiert. - Ihre EMail konnte
nicht empfangen oder gesendet werden.
- Danke das Sie sich fuer uns entschieden haben.Um ihren neuen
Account zu aktivieren, folgen sie der kurzen Anleitung im Anhang.
Es sind nur 2 Schritte noetig!
La pièce jointe est un fichier dont la taille est 87 Ko,
possédant une extension .ZIP et un nom aléatoire :
- Mail_Data.zip
- Passw_Data.zip
- PDaten.zip
- Anleitung.zip
- Mail_Data[nombre aléatoire].zip
- Passw_Data[nombre aléatoire].zip
- PDaten[nombre aléatoire].zip
- Anleitung[nombre aléatoire].zip
Si ce fichier joint est exécuté, le virus se copie
dans le répertoire système de Windows, affiche un
faux message d'erreur pour faire diversion ("WinZip Header
is missing!"), modifie la base de registres pour s'exécuter
à chaque démarrage de l'ordinateur. Il s'envoie ensuite
automatiquement aux adresses figurant dans le carnet d'adresses
Windows et divers fichiers, puis tente de télécharger
et d'exécuter un fichier depuis un site web distant.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ : des
dizaines de messages infectés envahissent ma boîte aux lettres.
Mon ordinateur est-il contaminé? Comment arrêter ça?
-> FAQ :
une alerte m'indique qu'un virus a été trouvé dans un message que
j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ : que
faire dans le cas d'un fichier "uncleanable" (non nettoyable)?
-> FAQ : comment
supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre fin?
-> Dossier Secuser.com
sur les virus
|
