Semaine noire pour la sécurité informatique. Un nouveau virus baptisé Sobig.F sature actuellement les réseaux déjà atteints par Blaster et Welchi. Comme le reste de la famille Sobig, le nouveau virus est un « mass mailer » utilisé notamment pour envoyer des spams.
Cette variante de Sobig.A, découvert en janvier 2003, est actuellement le ver qui se répand le plus rapidement sur les réseaux. Les experts lui attribuent un indice de dangerosité de 7 sur une échelle de 10.
Sobig.F cible les plates-formes Windows (95, 98, ME, NT, 2000 et XP) équipées de l’outil de messagerie Outlook, toutes versions confondues. Les Macintosh et les PC sous GNU/Linux ne sont donc pas concernés. Bien qu’inoffensif, le virus sature les réseaux en envoyant des e-mails en grand nombre.
Moins d’une dizaine d’objets de message, tous en anglais, ont été recensés (Re: Thank you, Re: Details, etc.). Le corps du message est le suivant : « See the attached file for details » ou « Please see the attached file for details ». Par ailleurs, neuf pièces jointes différentes accompagnent l’e-mail, majoritairement avec des extensions de type .PIF
Un virus spammeur
Le virus ne s’exécute pas automatiquement : il faut ouvrir la pièce jointe pour qu’il contamine le système. Sobig.F part alors à la recherche de toutes les adresses électroniques présentes dans Windows. Une fois ces adresses collectées, il se propage vers leurs correspondants via son propre moteur SMTP (Simple Mail Transfer Protocol). À noter, qu’il est programmé pour se désactiver le 10 septembre prochain.
Enfin, comme le reste de la famille Sobig, cette variante peut être utilisée pour envoyer des spams, ces messages publicitaires non sollicités. « Sobig.F tente d’installer un petit serveur relais (proxy server), qui peut être utilisé par les spammeurs pour falsifier leur adresse IP afin de ne pas être retrouvés », explique François Paget, expert en virus chez l’éditeur Network Associates (McAfee).
« 10% à 15% des spams envoyés sur Internet à la fin du mois de juin ont été envoyés avec Sobig », rappelle pour sa part Alexandre Durante, directeur général de F-Secure France. Comme à l’accoutumée, les éditeurs de logiciels antivirus conseillent aux utilisateurs de mettre à jour leurs définitions de virus afin de parer aux attaques de Sobig.F, et éventuellement de nettoyer leur système.
Il est également possible de l’éradiquer manuellement via la procédure suivante :
1/ Désactiver le processus SOBIG.EXE, ou avec un nom approchant, dans le Gestionnaire de tâches (Task manager).
2/ Supprimer le fichier WINSTT32.DAT du système.
3/ Nettoyer la Base de registre en y supprimant les clés suivantes : TrayX = «C:\Windows \winppr32.exe /sinc», située dans HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\
CurrentVersion\ Run ; puis TrayX = «C:\Windows\winppr32.exe /sinc» située dans HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run.
Cette variante de Sobig.A, découvert en janvier 2003, est actuellement le ver qui se répand le plus rapidement sur les réseaux. Les experts lui attribuent un indice de dangerosité de 7 sur une échelle de 10.
Sobig.F cible les plates-formes Windows (95, 98, ME, NT, 2000 et XP) équipées de l’outil de messagerie Outlook, toutes versions confondues. Les Macintosh et les PC sous GNU/Linux ne sont donc pas concernés. Bien qu’inoffensif, le virus sature les réseaux en envoyant des e-mails en grand nombre.
Moins d’une dizaine d’objets de message, tous en anglais, ont été recensés (Re: Thank you, Re: Details, etc.). Le corps du message est le suivant : « See the attached file for details » ou « Please see the attached file for details ». Par ailleurs, neuf pièces jointes différentes accompagnent l’e-mail, majoritairement avec des extensions de type .PIF
Un virus spammeur
Le virus ne s’exécute pas automatiquement : il faut ouvrir la pièce jointe pour qu’il contamine le système. Sobig.F part alors à la recherche de toutes les adresses électroniques présentes dans Windows. Une fois ces adresses collectées, il se propage vers leurs correspondants via son propre moteur SMTP (Simple Mail Transfer Protocol). À noter, qu’il est programmé pour se désactiver le 10 septembre prochain.
Enfin, comme le reste de la famille Sobig, cette variante peut être utilisée pour envoyer des spams, ces messages publicitaires non sollicités. « Sobig.F tente d’installer un petit serveur relais (proxy server), qui peut être utilisé par les spammeurs pour falsifier leur adresse IP afin de ne pas être retrouvés », explique François Paget, expert en virus chez l’éditeur Network Associates (McAfee).
« 10% à 15% des spams envoyés sur Internet à la fin du mois de juin ont été envoyés avec Sobig », rappelle pour sa part Alexandre Durante, directeur général de F-Secure France. Comme à l’accoutumée, les éditeurs de logiciels antivirus conseillent aux utilisateurs de mettre à jour leurs définitions de virus afin de parer aux attaques de Sobig.F, et éventuellement de nettoyer leur système.
Il est également possible de l’éradiquer manuellement via la procédure suivante :
1/ Désactiver le processus SOBIG.EXE, ou avec un nom approchant, dans le Gestionnaire de tâches (Task manager).
2/ Supprimer le fichier WINSTT32.DAT du système.
3/ Nettoyer la Base de registre en y supprimant les clés suivantes : TrayX = «C:\Windows \winppr32.exe /sinc», située dans HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\
CurrentVersion\ Run ; puis TrayX = «C:\Windows\winppr32.exe /sinc» située dans HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run.
Semaine noire pour la sécurité informatique. Un nouveau virus baptisé Sobig.F sature actuellement les réseaux déjà atteints par Blaster et Welchi. Comme le reste de la famille Sobig, le nouveau virus est un « mass mailer » utilisé notamment pour envoyer des spams. Cette variante de Sobig.A, découvert en janvier 2003, est actuellement le ver qui se répand le plus rapidement sur les réseaux. Les experts lui attribuent un indice de dangerosité de 7 sur une échelle de 10.Sobig.F cible les plates-formes Windows (95, 98, ME, NT, 2000 et XP) équipées de l’outil de messagerie Outlook, toutes versions confondues. Les Macintosh et les PC sous GNU/Linux ne sont donc pas concernés. Bien qu’inoffensif, le virus sature les réseaux en envoyant des e-mails en grand nombre. Moins d’une dizaine d’objets de message, tous en...
