Le ver bilingue Sober.q est un vrai casse tête pour les internautes européens

Le ver bilingue Sober.q est un vrai casse tête pour les internautes européens

Kaspersky Lab, éditeur de solutions de sécurité informatique, annonce l'identification d'une nouvelle version de Sober - Email-Worm.Win32.Sober.q. Ce dernier a été téléchargé sur des machines précédemment infectées par Sober.p et s'avère être une modification du source code de Sober. Cette version n'est pas dotée de fonctions de duplication, par contre elle permet d'envoyer des spams de propagande d'extrême droite aux adresses récoltées sur la machine victime.

Sober.q se copie dans le répertoire système Windows, et modifie le système de registre afin que le ver soit activé à chaque fois que Windows est démarré sur la machine victime. Il place également d'autres fichiers sur le système infecté. Sober.q collecte les adresses email présentes sur l'ordinateur infecté, sauvegarde ces adresses puis envoie des spams à ces adresses, exceptées les adresses qui semblent appartenir à des éditeurs d'antivirus ou à des développeurs de logiciels.

Le ver laisse aussi un fichier qui contient un message en allemand de l'auteur "Ich bin immer noch kein Spammer! Aber sollte vielleicht einer werden :) In diesem Sinne"autrement dit "je ne suis pas encore un spammeur ! Mais je vais peut etre le devenir : )" . Ce fichier contient également des liens vers des articles publiés sur l'Internet affirmant que Sober est utilisé pour mettre en place des réseaux botnets - réseaux de machines infectées qui peuvent être exploiter par la suite pour envoyer du spam.

Plutôt que se répliquer, Sober.q envoie du spam aussi bien en allemand qu'en anglais. Les messages en allemand sont envoyés sur les domaines .de, ch, .at, .li, et.gmx. Les messages contiennent des textes d'extrême droite et des liens vers des sites de même nature. Même si les sites contiennent des discours qui peuvent offenser le lecteur, ils ne sont pas porteurs de malware qui pourrait infecter une machine utilisée pour visiter ces sites. Le ver présente plusieurs douzaines de messages différents.Tous les autres destinataires reçoivent des messages en anglais mais le contenu présente le même discours politique.

Tout comme la version précedénte de Sober, Sober.q se connecte à un nombre de serveurs NTP et surveille la date et l'heure du système sur la machine infectée. Une fois que la date du système affiche le 11 mai, Sober q tentera de terminer certaines tâches données (microsoftanti, gcas, gcip, giantanti, inetupd, nod32kui, nod32, fxsob, s-t-i-n-g, hijack, sober ) ce qui rendra plus difficile la suppression du ver.

La base Anti-Virus Kaspersky a été rapidement mise à jour et protège contre ' Sober.q '. Vous pouvez consulter une description plus détaillée en anglais sur l'encyclopédie virale de Kaspersky www.viruslist.com.

17.05.2005

Recommander cette page

Photos non contractuelles - © 1997 - 2014 Kaspersky Lab ZAO.

Tous droits réservés. La meilleure des technologies en matière de prévention des cyber-risques.