Le worm Sober est de type mass-mailing (qui n'a pas d'effets destructifs, mais consomme de la bande passante), il utilise son propre moteur SMTP afin de se propager. Ce ver est reçu par email dans un fichier joint dont le nom varie. Une fois lancé, une fenêtre comportant le message " Error - File not complete! " apparaît.



Identifiants : W32/Sober@MM [McAfee], I-Worm.Sober [Kaspersky], W32/Sober-A [Sophos], WORM_SOBER.A [Trend]. Sober [F-Secure], W32/Sober.A@mm [Frisk], W32/Sober.A [Norman], Win32/Sober.A [Eset], Win32.Sober.A [Computer Associates]
Type :  Worm
Taille :  63,488 bytes, varies
Systèmes Vulnérables : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

W32/Sober-A se copie dans le dossier système Windows (%System%) en choisissant l'un des noms suivants :
similare.exe
systemchk.exe
systemini.exe

Il ajoute son nom de fichier dans le registre :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Puis crée le fichier Macromed\Help\Media.dll sous le dossier système Windows, il utilise ensuite son moteur SMTP afin d'envoyer ses copies vers tous les emails qu'il recense.

» Suppression :

Utiliser notre Antivirus Enligne afin de détecter/supprimer  ce ver :
https://k-otik.com/antivirus/


-------------------------------------- Complément d'information ----------------------------------------
Objet de l'email infecté :
New internet virus!
You send spam mails (Worm?)
A worm is on your computer!
Now, its enough
You have sent me a virus!
Hi darling, what are you doing now?
Be careful! New mail worm
Re: Contact
RE: Sex
Sorry, Ive become your mail
Hey man, long not see you
Re: lol
Viurs blocked every PC (Take care!)
Surprise
Ive become your mail!
Advise who I am!
New Sobig-Worm variation (please read)
Back At The Funny Farm
I love you (Im not a virus!)
Neuer Virus im Umlauf!
Sie versenden Spam Mails (Virus?)
Ein Wurm ist auf Ihrem Computer!
Langsam reicht es mir
Sie haben mir einen Wurm geschickt!
Hi Schnuckel was machst du so ?
VORSICHT!!! Neuer Mail Wurm
Re: Kontakt
RE: Sex
Sorry, Ich habe Ihre Mail bekommen
Hi Olle, lange niks mehr geh
Re: lol
Viurs blockiert jeden PC (Vorsicht!)
_berraschung
Ich habe Ihre E-Mail bekommen !
Jetzt rate mal, wer ich bin !?
Neue Sobig Variante (Lesen!!)
Back At The Funny Farm
Ich Liebe Dich

Nom de la Pièce jointe infectée :
anti-Sob.bat
Anti-Sob.bat
anti-trojan.exe
anti_virusdoc.pif
AntiTrojan.exe
AntiVirusDoc.pif
Bild.scr
check-patch.bat
Check-Patch.bat
CM-recover.com
CM-Recover.com
funny.scr
Funny.scr
Hengst.pif
Liebe.com
little-scr.scr
love.com
Mausi.scr
nacked.com
NackiDei.com
Odin_Worm.exe
perversion.scr
Perversionen.scr
pic.scr
playme.exe
potency.pif
Privat.exe
private.exe
removal-tool.exe
Removal-Tool.exe
robot_mail.scr
robot_mailer.pif
RobotMailer.com
schnitzel.exe
screen_doc.scr
Screen_Doku.scr
security.pif

Sources : K-OTik / Symantec / Sophos / PandaSoftware