Sober.C
est un virus qui
se propage par email. Il se présente sous la forme d'un
message
dont le titre est aléatoire et dont le fichier joint
comporte
une extension en .BAT, .COM, .CMD, .EXE, .PIF ou .SCR, tentant
notamment de se faire passer pour une alerte virus ou pour une
mise en garde suite
à la découverte de fichiers illégaux sur
l'ordinateur de la victime. Si
le fichier joint est exécuté, le virus s'envoie
aux correspondants présents
dans le carnet d'adresses Windows, ainsi qu'aux adresses collectées
dans divers fichiers.
PREVENTION
:
Les utilisateurs concernés doivent mettre
à jour leur antivirus. D'une manière générale,
même si son nom est attrayant il ne faut pas exécuter
un fichier joint sans l'avoir au préalable analysé avec
un antivirus à jour.
DESINFECTION
:
Avant
de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection FixSober pour rechercher
et éliminer le virus.
|
TYPE
:
Ver
SYSTEME(S)
CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS
:
Sober.C (F-Secure)
I-Worm.Sober.c (Kaspersky)
W32/Sober.c@MM (McAfee)
W32.Sober.C@mm
(Symantec)
WORM_SOBER.C (Trend Micro)
TAILLE
:
74.346 octets (variable)
DECOUVERTE
:
20/12/2003
DESCRIPTION
DETAILLEE :
Sober.C est une variante du virus Sober.A
qui se présente sous la forme d'un message dont le
titre et le corps du message sont aléatoires, en anglais
ou en allemand. Quelques titres de messages :
- Preliminary
investigation were started
- Your
IP was logged
- You
use illegal File Sharing ...
- A Trojan
horse is on your PC
- a trojan
is on your computer!
- Anime,
Pokemon, Manga, ...
- ups,
i've got your mail
- Sorry,
that's your mail
- hi,
its me
- Thank
You very very much
- you
are an idiot
- why
me?
- I hate
you
- Betr:
Klassentreffen
- Testen
Sie ihren IQ
- Bankverbindungs-
Daten
- Neuer
Dialer Patch!
- Ermittlungsverfahren
wurde eingeleitet
- Ihre
IP wurde geloggt
- Sie
sind ein Raubkopierer
- Sie
tauschen illegal Dateien aus
- Ich
hasse dich
- Ich
zeige sie an!
- Sie
Drohen mir!!
- Anime,
Pokemon, Manga, Handy ...
- AnmeldebestStigung
- Neu!
Legales Filesharing
- Umfrage:
Rente erst mit 80!
- du
wirst ausspioniert
- Ein
Trojaner ist auf Ihrem Rechner!
- Du
hast einen Trojaner drauf!
- Hi,
Ich bin's
La pièce
jointe possède un nom aléatoire et une extension
en .BAT, .COM, .CMD, .EXE, .PIF ou .SCR :
- yourmail.
- yourmail.txt.
- yourmail.doc.
- test.
- photos.
- reward.
- youtoo.
- set_config.
- idiot.
- painfulness.
- terror-list.
- account.
- credit
card.
- yourregistration.
- yourregistration.txt.
- letters.
- refcode[nombre
aléatoire].
- refcode[nombre
aléatoire].txt.
- mangaconection.
- remove-[nom
aléatoire]_tool.exe
- remove-[nom
aléatoire]-patch.exe
- downloader.exe
- www.anime4allfree.com
- www.animepage43252.com
- www.onlinegamerspro-worm.com
- www.freegames4you-gzone.com
- www.boards4all-terror432.com
- www.iq4you-german-test.com
- www.freewantiv.com
- www.free4share4you.com
Si ce
fichier est exécuté, un faux message d'erreur
indique "Runtime Error" puis le virus se copie en
trois exemplaires dans le répertoire System de Windows
sous le nom SYSHOSTX.EXE et deux autres noms aléatoires,
modifie la base de registres pour s'exécuter automatiquement
au prochain démarrage de l'ordinateur, puis s'envoie
aux correspondants présents
dans le carnet d'adresses Windows, ainsi qu'aux adresses email
collectées dans divers autres fichiers de l'ordinateur infecté.
INFORMATIONS
COMPLEMENTAIRES :
->
Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
->
Messages
trompeurs envoyés par Sober.C indexés par Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
->
FAQ :
une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|