Sober - 6 janvier

Publié le par ID

Sober passera à l'attaque prochainement

Plus que quelques jours pour se protéger. Le 6 janvier 2006 à 00h00, tous les ordinateurs infectés par le virus Sober commenceront un processus de mise à jour. Le ver aurait été programmé pour envoyer d'autres virus sober sur le net.

Sober se connecte à une série de liens URL, d'où il télécharge certains fichiers. Cette liste change tous les 14 jours et elle inclut 15 liens URL. Le ver devrait vérifier pas moins de 25 listes différentes, correspondantes a 375 liens qui appartient aux domaines suivantes :
people.freenet.de, scifi.pages.at, home.pages.at, free.pages.at, home.arcor.de

Actuellement, les liens URL n'existent pas, mais l'auteur du virus pourrait les créer juste quelques minutes avant que le contenu soit téléchargé et avant quela mise à jour soit déclenchée sur les systèmes infectés avec Sober.

L'alerte a été classé niveau 1 (niveau le plus élévé) par les experts d'antivirus.
Pour rappel W32.Sober est un ver d’envoi en masse de courrier électronique qui
utilise son propre moteur SMTP pour se propager. Il s'envoie comme pièce jointe de courrier électronique aux adresses recueillies à partir de l'ordinateur compromis. Le courrier électronique peut être en anglais ou en allemand.

Pour vérifier si vous êtes infecté, télécharger FixSbr.exe. Cette outil permet la vérification et la suppression des variantes sober suivantes:
W32.Sober@mm, W32.Sober.B@mm, W32.Sober.C@mm, W32.Sober.D@mm, W32.Sober@mm.enc, W32.Sober.gen, W32.Sober.E@mm, W32.Sober.F@mm, W32.Sober.G@mm, W32.Sober.I@mm, W32.Sober.L@mm, W32.Sober.N@mm, W32.Sober.O@mm, W32.Sober.Q@mm, W32.Sober.V@mm, W32.Sober.W@mm, W32.Sober.X@mm.

Instruction pour utiliser l'outil FixSbr.

Un autres outil de détection et suppression:
Stinger par McAfee

Publié dans Virus et Spywares

Commenter cet article