1. /
  2. Security Response/
  3. W32.Sober.I@mm
  4. W32.Sober.I@mm
  • Ajouter

W32.Sober.I@mm

Niveau de risque2 : Faible

Découvert :
19 Novembre 2004
Mis à jour :
13 Février 2007 12:30:18 PM
Egalement appelé :
Win32.Sober.I [Computer Associ, Sober.I [F-Secure], I-Worm.Sober.i [Kaspersky], W32/Sober.j@MM [McAfee], W32/Sober.I@mm [Norman], W32/Sober.I.worm [Panda], W32/Sober-I [Sophos], WORM_SOBER.I [Trend]
Type :
Worm
Etendue de l'infection :
56 808 octets
Systèmes affectés :
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

W32.Sober.I@mm est un ver d'envoi en masse de courrier électronique qui utilise son propre moteur SMTP pour se propager. Il envoie une copie de lui-même en pièce jointe d'un courrier électronique aux adresses trouvées sur un ordinateur infecté.

L'objet du courrier électronique est variable, en anglais ou en allemand. L'adresse électronique de l'envoyeur est usurpée. Le nom de la pièce jointe peut varier, avec une extension de type .bat, .com, .pif, .scr, ou .zip. Elle peut aussi disposer d'une double extension.

Cette menace est écrite en langage de programmation Visual Basic de Microsoft. Elle est compressée avec UPX.

    Remarques :
    • Les définitions LiveUpdate, version 61119c (version prolongée 19/11/2004 rév. 3) ou supérieure, détectent cette menace.
    • Sous certaines circonstances le ver peut se corrompre lui même. Si c'est le cas, le ver ne s'exécutera pas sur l'ordinateur et il est possible que les programmes antivirus ne le détectent pas. Lorsqu'un ordinateur est infecté par une version corrompue de W32.Sober.I@mm, des fenêtres d'invite de commande peuvent apparaître brièvement au démarrage de Windows.
    • L'outil de suppression de W32.Sober@mm ne désinstallera pas les versions corrompues de W32.Sober.I@mm et vous devrez procéder à la désinstallation manuelle en suivant les instructions précisées ci-dessous.


    Dates de la protection antivirus

    • Version initiale des définitions Rapid Release19 Novembre 2004
    • Dernière version des définitions Rapid Release24 Juin 2014 révision 006
    • Version initiale des définitions Daily Certified19 Novembre 2004
    • Dernière version des définitions Daily Certified12 Septembre 2012 révision 036
    • Date de la version initiale des définitions Weekly Certified19 Novembre 2004
    Cliquez ici si vous souhaitez une description plus détaillée des définitions de virus Rapid Release et Daily Certified.

    Evaluation de la menace

    Virulence

    • Niveau de virulence :Low
    • Nombre d'infections :More than 1000
    • Nombre de sites :More than 10
    • Répartition géographique :Medium
    • Contrôle de la menace :Easy
    • Suppression :Moderate

    Dommages

    • Niveau de dommages :Medium
    • Elément déclencheur :Ne s'applique pas
    • Résultat d'activation :Ne s'applique pas
    • Envoi de courrier électronique en masse :Le ver envoie un courrier d'envoi en masse.
    • Supprime des fichiers :Ne s'applique pas
    • Modifie des fichiers :Ne s'applique pas
    • Diffuse des informations confidentielles :Ne s'applique pas
    • Dégrade les performances :Ne s'applique pas
    • Cause l'instabilité du système :Ne s'applique pas
    • Compromet les paramètres de sécurité :Ne s'applique pas

    Distribution

    • Niveau de distribution :High
    • Objet du courrier électronique :Variable
    • Nom de la pièce jointe :Variable
    • Taille de la pièce jointe :Ne s'applique pas
    • Ports :Port TCP 37
    • Lecteurs partagés :Ne s'applique pas
    • Cible d'infection :Ne s'applique pas
    • Date de la pièce jointe :Ne s'applique pas
    Rédigé par :Candid Wueest