Virus Sobig.F

======================================================================


                 Message du CERT-Renater (certsvp@renater.fr)


======================================================================


Bonjour,



Sobig.F est un ver Internet qui se propage depuis le 19 Aout 2003
au moyen de la messagerie electronique et des partages sur 
les reseaux de systemes Windows. Il s'agit d'une nouvelle variante 
du ver Sobig.A apparu en debut d'annee:
   http://www.sophos.fr/virusinfo/analyses/w32sobiga.html


Les systemes vulnerables sont les systemes Windows 95, 98, NT, 
Me, 2000 et XP.


A l'heure actuelle, le mecanisme de propagation par le biais de
partages reseaux est tres peu, voir pas du tout documente dans
les analyses des editeurs de logiciels anti-viraux. Il semblerait 
que les tests soient encore en cours.


Propagation par la messagerie electronique:


 Format du courrier infecte:


  Expediteur: 
   peut-etre admin@internet.com ou forge au moyen d'une adresse
   de courrier electronique prelevee sur le disque infecte


  Sujet choisi parmi: 
   Re: That movie
   Re: Wicked screensaver
   Re: Your application
   Re: Approved
   Re: Re: My details
   Re: Details
   Your details
   Thank you!



  Corps du message choisi parmi: 
   Please see the attached file for details.
   See the attached file for details



  Nom du fichier attache  choisi parmi: 


   movie0045.pif
   wicked_scr.scr
   application.pif
   document_9446.pif
   details.pif
   your_details.pif
   thank_you.pif
   document_all.pif
   your_document.pif 



 Entre autres actions, une fois execute:


 - le ver place une copie de lui-meme dans le repertoire d'installation
   du systeme Windows. Le fichier cree se nomme winppr32.exe. Un autre 
   fichier, winstt32.dat est egalement depose dans ce repertoire. Il 
   s'agirait a priori d'un fichier de configuration.


 - Le ver tente ensuite de creer sur le disque les cles de registre:


   HKLM\Software\Microsoft\Windows\CurrentVersion\Run\TrayX = 
    <Windows folder>\winppr32.exe /sinc


  et


  HKCU\Software\Microsoft\Windows\CurrentVersion\Run\TrayX = 
   <Windows folder>\winppr32.exe /sinc


  afin d'etre execute a chaque redemarrage de la machine.


  - Il recherche ensuite sur le disque des adresses de courrier 
    electronique dans les fichiers de type: .dbx, .eml, .hlp, .htm, 
    .html, .mht, .wab, .txt. Ces adresses lui serviront a remplir 
    les champs destinataires des messages qu'il se chargera par la 
    suite de disseminer.


 - A priori, il tenterait aussi de se propager en infectant d'autres 
   systemes par le biais de partages reseaux mal proteges. 


Apres le 10 Septembre 2003, le ver cesse de se propager.



Pour se proteger de ce type de menace:


  - prendre soin de mettre regulierement a jour tous vos
    systemes, notamment les logiciels Oulook Express et 
    Internet Explorer dont des vulnerabilites sont tres
    souvent utilisees dans le mecanisme de propagation de 
    nombreux vers Internet;
  - mettre en place une protection anti-virale sur tous 
    les systemes vulnerables a ce type d'attaque (Windows
    notamment). Configurer l'outil avec soin;
  - mettre a jour tres regulierement le logiciel anti-virus
    et sa base de signatures (prendre en compte que de 
    nouvelles menaces apparaissent presque tous les jours);
  - manipuler les pieces jointes avec beaucoup de prudence.
    Se mefier des messages bizarres et inattendus. 
    Dans certains cas l'emetteur du message n'est pas connu,
    mais dans de tres nombreux cas il l'est. Ne surtout pas 
    hesiter a demander confirmation de l'envoi a l'emetteur.
    Se mefier des messages bizarres. Privilegier l'option 
    "enregistrement de la piece jointe sur le disque" a
    l'"ouverture immediate" du fichier. Les logiciels anti-virus
    sont souvent configures pour analyser les fichiers lors
    de l'ouverture ou de l'enregistrement de fichiers sur le 
    disque. 
    Le logiciel anti-virus ne peut bien inter-agir avec votre
    logiciel de messagerie que s'ils sont concus pour 
    travailler ensemble. L'option "enregistrement de la piece 
    jointe" est donc preferable.
    Bien sur, cela ne peut etre efficace que si logiciels et 
    base de signatures anti-virales sont a jour.
  - effectuer des sauvegardes regulieres et frequentes.
  - rester toujours tres vigilant




Pour en savoir plus sur Sobig.F, consulter les avis suivant (certains 
contiennent des instructions pour nettoyer manuellement un systeme 
infecte:



Sophos:
http://www.sophos.com/virusinfo/analyses/w32sobigf.html


Symantec:
http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.f@mm.html


F-Secure:
http://www.f-secure.com/v-descs/sobig_f.shtml


Norton:
http://vil.nai.com/vil/content/v_100561.htm


Trend-micro:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.F


Computer Associates:
http://www3.ca.com/virusinfo/virus.aspx?ID=36376

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
          S E C U S E R   A L E R T   19/08/03
                http://www.secuser.com/
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
                     Virus Sobig.F
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

1. RESUME DE L'ALERTE
2. SYSTEME(S) CONCERNE(S)
3. PREVENTION
4. DESINFECTION
5. AIDE ET DISCUSSION
6. FAIRE CONNAITRE SECUSER ALERT
7. CONTACTER SECUSER.COM
8. DESABONNEMENT ET CHANGEMENT D'ADRESSE


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1. RESUME DE L'ALERTE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sobig.F est un virus qui se propage par email et via les dossiers partagés.
Il se présente sous la forme d'un message dont le titre est aléatoire et d'un
fichier joint dont l'extension est .PIF ou .SCR. Si ce fichier est exécuté,
le virus s'envoie aux correspondants présents dans le carnet d'adresses
Windows, ainsi qu'aux adresses email collectées dans les fichiers .DBX,
.HLP, .HTM ou .HTML de l'ordinateur infecté.
http://www.secuser.com/alertes/2003/sobigf.htm

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
2. SYSTEME(S) CONCERNE(S)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
3. PREVENTION
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Les utilisateurs concernés doivent mettre à jour leur antivirus. D'une
manière générale, même si son nom est attrayant il ne faut pas exécuter un
fichier joint sans l'avoir au préalable analysé avec un antivirus à jour.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
4. DESINFECTION
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser
gratuitement l'antivirus en ligne pour rechercher et éliminer le virus.
http://www.secuser.com/alertes/2003/sobigf.htm#Desinfection

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
5. AIDE ET DISCUSSION
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Précédentes alertes virus
http://www.secuser.com/alertes/
Précédents faux virus et autres canulars
http://www.secuser.com/hoax/
Forum de discussion et d'entraide sur les virus informatiques
http://www.secuforum.com/fr.comp.securite.virus/
Antivirus gratuit en ligne
http://www.secuser.com/outils/antivirus.htm
Derniers communiqués sécurité
http://www.secuser.com/communiques/
Dernières nouvelles de la sécurité informatique
http://www.secuser.com/actu/

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
6. FAIRE CONNAITRE SECUSER ALERT
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Si vous pensez que cette lettre et ses services gratuits peuvent être
utiles à un(e) ami(e) ou un collègue, vous pouvez l'inviter à s'abonner ou
à découvrir le site Secuser.com.
http://www.secuser.com/services/invitation/

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
7. CONTACTER SECUSER.COM
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Pour nous transférer copie d'un nouveau virus ou hoax, nous informer d'une
tentative de piratage, nous envoyer vos critiques et suggestions, ou encore
nous contacter à propos de tout autre sujet.
http://www.secuser.com/contact/

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
8. DESABONNEMENT ET CHANGEMENT D'ADRESSE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Afin d'assurer la gratuité du service, les opérations d'abonnement et de
désabonnement ont été automatisées. Pour changer votre adresse email ou
vous désabonner, merci d'utiliser le lien ci-dessous. Vous trouverez une
aide complète sur la gestion de votre abonnement dans la page Contact.
http://v2.mlmgr.com/msm.pl/11076/1045833673309802
http://www.secuser.com/contact/index.htm#newsletters


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
La liste Secuser Alert est une publication gratuite
du site Secuser.com (http://www.secuser.com/)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Reproduction interdite sans accord écrit préalable
dans le cas d'une utilisation autre que privée
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Copyright (c) 2001-2003 Emmanuel JUD
Secuser est une marque déposée
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Powered by Splio Pro (http://www.splio.fr/)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~