Diffusion massive de clones de Sober
Caroline Breure

Caroline Breure

Communication Manager Benelux & Nordic
Kaspersky Lab B.V.
Papendorpseweg 79
3528 BJ Utrecht

caroline.breure@kaspersky.nl

Mobile: +31 (0)6 31 793 632
Nanda Bechtholt

Nanda Bechtholt

The Communication Force
Kruisweg 797
2132 NG Hoofddorp

NandaB@communicationforce.com

Telefoon: +31-(0)23-56 56 850
Fax: +31-(0)23- 56 56 859


Elke Woessner

Elke Woessner

Head of Communications Europe
Kaspersky Labs GmbH
Despag-Straße 3
85055 Ingolstadt

Elke.Woessner@kaspersky.de

Phone: +49 (0)841 981 89 270
Mobile: +49 (0)151 5440 66 44

Nieuws:

Diffusion massive de clones de Sober

Kaspersky Lab, éditeur de logiciel de sécurité informatique, annonce l'identification de trois nouvelles variantes du ver de réseau “Email-Worm.Win32.Sober”. Selon la classification de Kaspersky Lab, on leur a attribué les index «u», «v» et «w». Chaque nouvelle variante est compressée différemment mais il s'agit du même programme malicieux. Les nombreuses détections des nouvelles variantes de Sober dans le trafic de messagerie attestent du fait que cette épidémie est le résultat d'une diffusion massive de spams infectés par le ver.

Les nouvelles variantes de Bagle sont envoyées via courrier électronique sous forme d'attachés à des messages. La taille du fichier attaché porteur du ver est d'environ 130 Ko. L'objet ou le texte du message infecté sont soit absents, soit complètement aléatoires, aussi la détection de ces messages dangereux se limite à l'appellation du fichier attaché qui peut être le suivant :

  • Exceltab-packed_List.exe
  • Liste.zip
  • Reg-List-Dat_Packer2.exe
  • reg_text.zip
  • Word-Text.zip
  • Word-Text_packedList.exe
  • Word-Text_packedList.zip

La procédure d'exécution des nouvelles versions est typique à la famille des Sober. Le ver est activé lorsque l'internaute ouvre le fichier attaché au message. A la suite de quoi le ver affiche sur l'écran un message d'erreur «WinZip Self-Extractor. WinZip_Data_Module is missing ~Error».

Les nouvelles versions de Sober se copient ensuite dans le répertoire système de Windows et s'enregistrent dans la clé autorun du registre système. Elles créent également des copies supplémentaires et des fichiers annexes avec différents noms dans le répertoire système de Windows. Pour leur multiplication, les vers scannent le système de fichiers de la machine infectée à la recherche d'adresses de courrier électronique et se diffusent à la liste d'adresses détectée.

Les procédures de détection des nouvelles versions de Sober, u,v et w ont été diffusées via les mises à jour urgentes des bases de données antivirus de Kaspersky Lab. Nous recommandons fortement aux utilisateurs de mettre à jour leurs bases antivirus.
15.11.2005

RSS-Feed