W32/Sober-C

Veuillez suivre les instructions de suppression des vers.

W32/Sober-C est un ver internet qui se propage par partage de fichiers sur les réseaux peer-to-peer et qui s'envoie par e-mail aux adresses trouvées dans les fichiers de l'ordinateur.

L'objet et le message de l'e-mail sont choisis aléatoirement parmi des listes internes et sont en anglais ou en allemand.

Le nom de fichier de la pièce jointe est aussi choisi aléatoirement à partir d'une liste interne et peut avoir l'extension EXE, SCR, PIF, COM, CMD ou BAT. Voici quelques exemples :

www.iq4you-german-test.com
www.freewantiv.com
www.free4manga.com
www.free4share4you.com
www.tagespolitik-umfragen.com
www.onlinegamerspro-worm.com
www.freegames4you-gzone.com
www.boards4all-terror432.com
www.anime4allfree.com
www.animepage43252.com

Lorsque le ver est exécuté pour la première fois, il se copie dans le dossier système de Windows sous le nom de fichier syshostx.exe et sous deux autres noms de fichiers sélectionnés aléatoirement.

W32/Sober-C crée alors les entrées de registre suivantes :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\<caractères aléatoires>
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\<caractères aléatoires>

pour pointer vers les deux copies du ver avec des noms de fichiers aléatoires pour s'assurer qu'il est exécuté au démarrage du système.

Les fichiers suivants sont aussi créés dans le dossier système de Windows :

ms16taskwin.exe
savesyss.dll
Humgly.lkur
yfjq.yqwm

Ces fichiers ne sont pas malveillants et peuvent être supprimés sans risque.

W32/Sober-C se copie dans le dossier KaZaA My Shared Folder en remplaçant les fichiers exécutables qui ont l'extension COM, EXE, SCR, BAT, CMD ou PIF.