Kaspersky Labs, concepteur de logiciels de sécurité informatique, a annoncé le début de l'épidémie "Sober". Le programme a été découvert samedi, mais le début de l'épidémie a coïncidé avec le début de la semaine de travail.

"Sober" est un ver de réseau classique qui se transmet via courrier électronique. Il est très difficile à repérer car les messages infectées peuvent contenir divers titres, les textes sont écrits en anglais ou en allemand, et, les pièces jointes portent des extensions différentes (PIF, BAT, SCR, COM, EXE).

Exemple :

Objet:
New Sobig-Worm variation (please read)

Texte:
New Sobig variation in the net. You must change any settings before the worm control your computer! But, read the official statement from Norton Anti Virus!

Pièce jointe:
NAV.pif

Si l'utilisateur a l'imprudence de lancer le fichier, joint au courrier infecté, "Sober" affiche à l'écran un message d'erreur :

File not complete!

Ensuite, il crée dans le dossier système de Windows trois copies portant des noms différents puis les inscrit dans la base du registre du système d'exploitation. Après cela "Sober" lance sa procédure de diffusion. Pour cela, il recherche, sur l'ordinateur infecté, des fichiers pouvant contenir des adresses de courrier électronique (par exemple : HTML, WAB, EML, PST etc.). Ensuite il récupère ces données, puis, enfin, il se transmet à ces adresses, à l'insu du propriétaire de l'ordinateur à partir duquel il effectue cette man?uvre.

Dans le corps du ver, son auteur a inséré des lignes de texte où il exprime son admiration pour l'auteur de "Sobig".

La protection contre "Sober" a été ajoutée à la base de données de Kaspersky Anti-Virus. Une description plus détaillée de "Sober" est disponible dans "l'Encyclopédie Antivirale de Kaspersky Labs "