Le ver postal "Sober"récidive

22 déc. 2003
Actualités Virus

Kaspersky Labs, concepteur de logiciels de sécurité informatique, annonce la découverte d'une nouvelle modification du ver postal : "Sober.c". Pour le moment, on a déjà enregistré plusieurs cas de contamination.

La famille "Sober" appartient à la classe des vers postaux : ce sont des programmes malfaisants se transmettant par courrier électronique. La présente modification est la troisième depuis la détection de la version originale de ce ver, le 27 octobre 2003. Comme ses prédécesseurs, "Sober.c" a été, vraisemblablement, créé en Allemagne.

"Sober.c" se distingue de ses prédécesseurs par les moyens plus efficaces qu'il emploie pour contaminer les ordinateurs, puis pour s'y cacher. Comme les autres représentants de la famille, il tente d'infecter l'ordinateur par courrier électronique. Les lettres même peuvent avoir des apparences (dans les langues anglaises et allemandes) et des pièces jointes diverses.

Par exemple :

Sujet:
why me?

Texte:
You say in the www. that i'm a terrorist!!! No way out for you. I REPORT YOU ! You've said THAT about me

Pièce jointe:
terror-list.com

Il est nécessaire de remarquer, que les fichiers joints infectés peuvent avoir aussi les extensions "bat", "cmd", "pif" et "scr". Kaspersky Labs en profite pour vous rappeler que de tels fichiers peuvent contenir du code malicieux, et qu'ils nécessitent donc un contrôle approfondi, avant leur exécution.

Si l'utilisateur lance, par imprudence, la pièce jointe, un message d'erreur apparaît à l'écran et le processus de contamination de la machine démarre.

"Sober.c" crée, dans le catalogue Windows, trois copies portant des noms aléatoires, puis les enregistre dans le dossier de démarrage automatique de la base du registre. Il intensifie, ainsi, sa présence, à chaque redémarrage du système d'exploitation.

Ensuite, "Sober.c" lance son processus de diffusion. Il analyse le contenu du disque de l'ordinateur infecté, à la recherche de fichiers aux extensions prédéfinies (par exemple : HTML, WAB, EML etc.), afin d'y récupérer les adresses de courrier électronique de ses futures victimes. Il peut, dès lors, se propager, grâce à son utilitaire SMTP intégré. Tout cela se fait à l'insu du propriétaire de l'ordinateur infecté.

"Pour le moment nous n'avons enregistré que quelques cas de contamination par "Sober.c". Cependant, comme la pratique de ses prédécesseurs le montre, le pic de l'épidémie devrait se situer au début de la semaine de travail, lorsque les utilisateurs commencent à traiter leur courrier, accumulé pendant le week-end. Pour ne pas gâcher le début de votre semaine, ni vos fêtes de Noël, nous recommandons de lancer la mise à jour de votre antivirus, ainsi que l'analyse de votre disque dur, dès le démarrage de votre ordinateur" a commenté Eugène Kaspersky, responsable des études antivirales chez Kaspersky Labs.

La protection contre "Sober.c"a été ajoutée à la base de données de Kaspersky Anti-Virus.

  PARTAGER