W32/Sober-X

Veuillez suivre les instructions de suppression des vers.

W32/Sober-X envoie par courriel des messages en allemand à des adresses trouvées dans des fichiers du disque dur.

Lorsqu’il est exécuté pour la première fois, une boîte de message peut apparaître avec le titre "WinZip" et contenant le texte "Error in Packed Data Header". W32/Sober-X envoie par courriel des messages en allemand à des adresses trouvées dans des fichiers du disque dur. Le cheval de Troie recherche des adresses électroniques dans des fichiers dont les noms contiennent les chaînes de caractères suivantes :

pmr stm slk inbox imb csv bak imh xhtml imm imh cms nws vcf ctl dhtm cgi pp ppt msg jsp oft vbs uin ldb abc pst cfg mdw mbx mdx mda adp nab fdb vap dsp ade sln dsw mde frm bas adr cls ini ldif log mdb xml wsh tbb abx abd adb pl rtf mmf doc ods nch xls nsf txt wab eml hlp mht nfo php asp shtml dbx

W32/Sober-X n’envoie pas de courriel à toute adresse contenant les chaînes suivantes :

@www @from. smtp- @smtp. gold-certs ftp. .dial. .ppp. anyone subscribe mantec announce @gmetref sql. someone nothing you@ user@ reciver@ somebody secure msdn. me@ whatever@ whoever@ anywhere yourname mustermann@ .kundenserver. mailer-daemon variabel -dav law2 .sul.t- .qmail@ t-ipconnect t-dialin ipt.aol time freeav @ca. abuse winrar domain. host. viren bitdefender spybot detection icrosoft ewido. emsisoft @foo. winzip @example. bellcore. @arin mozilla @iana @avp @msn @sophos @panda @kaspers free-av antivir virus verizon. @ikarus. @nai. @messagelab nlpmail01. clock

W32/Sober-X crée les fichiers vides suivants dans le dossier système Windows.

bbvmwxxf.hml gdfjgthv.cvq langeinf.lin nonrunso.ber rubezahl.rub runstop.rst

Lorsqu’il est exécuté pour la première fois, une boîte de message peut apparaître avec le titre "WinZip" et contenant le texte "Error in Packed Data Header".

Des copies du ver peuvent être créés aux emplacements suivants :

<Windows>\hhbveeed.exe <Windows>\ConnectionStatus\Microsoft\services.exe