Diffusion massive de clones de Sober

15 nov. 2005
Actualités Virus

Kaspersky Lab, éditeur de logiciel de sécurité informatique, annonce l'identification de trois nouvelles variantes du ver de réseau “Email-Worm.Win32.Sober”. Selon la classification de Kaspersky Lab, on leur a attribué les index «u», «v» et «w». Chaque nouvelle variante est compressée différemment mais il s'agit du même programme malicieux. Les nombreuses détections des nouvelles variantes de Sober dans le trafic de messagerie attestent du fait que cette épidémie est le résultat d'une diffusion massive de spams infectés par le ver.

Les nouvelles variantes de Bagle sont envoyées via courrier électronique sous forme d'attachés à des messages. La taille du fichier attaché porteur du ver est d'environ 130 Ko. L'objet ou le texte du message infecté sont soit absents, soit complètement aléatoires, aussi la détection de ces messages dangereux se limite à l'appellation du fichier attaché qui peut être le suivant :

  • Exceltab-packed_List.exe
  • Liste.zip
  • Reg-List-Dat_Packer2.exe
  • reg_text.zip
  • Word-Text.zip
  • Word-Text_packedList.exe
  • Word-Text_packedList.zip

La procédure d'exécution des nouvelles versions est typique à la famille des Sober. Le ver est activé lorsque l'internaute ouvre le fichier attaché au message. A la suite de quoi le ver affiche sur l'écran un message d'erreur «WinZip Self-Extractor. WinZip_Data_Module is missing ~Error».

Les nouvelles versions de Sober se copient ensuite dans le répertoire système de Windows et s'enregistrent dans la clé autorun du registre système. Elles créent également des copies supplémentaires et des fichiers annexes avec différents noms dans le répertoire système de Windows. Pour leur multiplication, les vers scannent le système de fichiers de la machine infectée à la recherche d'adresses de courrier électronique et se diffusent à la liste d'adresses détectée.

Les procédures de détection des nouvelles versions de Sober, u,v et w ont été diffusées via les mises à jour urgentes des bases de données antivirus de Kaspersky Lab. Nous recommandons fortement aux utilisateurs de mettre à jour leurs bases antivirus.

  PARTAGER