Virus | Spyware
Sober.I
À l'aide de ces sites Web, vous pouvez écarter le virus Sober.I:
écarter Sober.I virus
W32.Sober.I@mm est un ver d'masse-expédition qui utilise son propre moteur de smtp pour écarter en s'envoyant comme attachement d'email aux adresses recueillies à partir de l'ordinateur infecté.Le sujet de l'email change et sera dans l'anglais ou l'Allemand. L'adresse d'expéditeur d'email est charriée. Le nom de l'attachement d'email change et a un bat, un com, un pif, un scr, ou une prolongation de zip. L'attachement peut également avoir une double prolongation de dossier.
Cette menace est écrite dans le langage de programmation de base visuel de Microsoft et est comprimée avec UPX.
Notes :
Version de phase 61119c (tour prolongé de définitions de mise à jour de version 11/19/2004. 3) ou plus grande volonté détectent cette menace.
Dans certaines circonstances le ver peut se corrompre. Si ceci se produit le ver ne s'exécutera pas sur l'ordinateur et le logiciel d'antivirus peut ne pas pouvoir le détecter. Un ordinateur est atteint d'une version corrompue de W32.Sober.I@mm peut des fenêtres de message de sollicitation de commande d'affichage quand Windows commence.
L'outil de déplacement de W32.Sober@mm ne pourra pas en mesure aux versions corrompues d'uninstall de W32.Sober.I@mm. Employez les instructions manuelles de déplacement énumérées ci-dessous dans ces caisses.
En outre Connu En tant que: Win32.Sober.I [ Associés D'Ordinateur ], Sober.I [ F-Bloqué ], I-Worm.Sober.i [ Kaspersky ], W32/Sober.j@MM [ McAfee ], W32/Sober.I@mm [ Normand ], W32/Sober.I.worm [ Panda ], W32/Sober-I [ Sophos ], WORM_SOBER.I [ Tendance ]
Quand W32.Sober.I@mm est exécuté, il effectue les actions suivantes :
Montre le message suivant :
"WinZip_Data_Module est ~Error absent : {[ nombre aléatoire ]} "
Crée deux dossiers dans la chemise de %System% en utilisant un nom de fichier composé de cordes suivantes :
système
centre serveur
dir
expoler
victoire
course
notation
32
disque
crypte
données
diag
bobine
service
smss32
Note : %System% est une variable qui se rapporte à la chemise de système. Par défaut c'est C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), ou C:\Windows\System32 (Windows.xp).
Crée les dossiers suivants :
%System%\nonzipsr.noz
%System%\clonzips.ssc
%System%\clsobern.isc
%System%\sb2run.dii
%System%\winsend32.dal
%System%\winroot64.dal
%System%\zippedsr.piz
%System%\winexerun.dal
%System%\winmprot.dal
%System%\dgssxy.yoi
%System%\cvqaikxt.apk
%System%\sysmms32.lla
%System%\Odin-Anon.Ger
Ajoute les valeurs :
"[ nom aléatoire de valeur ]" = "dossier name].exe de ver de %System%\[random"
"[ nom aléatoire de valeur ]" = "dossier name].exe %srun% de ver de %System%\[random"
à la clef d'enregistrement :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
de sorte que le ver soit exécuté chaque fois Windows commence.
Note : [ nom aléatoire de valeur ] se compose d'un ou plusieurs des cordes suivantes :
système
centre serveur
dir
expoler
victoire
course
notation
32
disque
crypte
données
diag
bobine
service
smss32
Si la date du jour a passé janvier 5, 2005, alors le ver peut essayer de télécharger et exécuter un dossier des endroits multiples sur les domaines suivants :
home.arcor.de
scifi.pages.at
home.pages.at
free.pages.at
people.freenet.de
À l'heure de l'écriture, aucun des dossiers n'est accessible.
Adresses d'email de rassemblements à partir des dossiers sur l'ordinateur infecté.
Il évite les adresses d'email qui contiennent les cordes suivantes :
bureau
@www
@from.
appui
redaktion
smtp
@smtp.
or-certs
ftp.
dial.
ppp.
n'importe qui
souscrivez
annoncez
@gmetref
SQL.
quelqu'un
rien
vous @
utilisateur @
reciver @
quelqu'un
bloqué
msdn.
je @
quoi que @
celui qui @
n'importe où
yourname
mustermann @
kundenserver.
annonce-démon
variabel
mot de passe
- dav
law2
sul.t-
qmail @
t-ipconnect
t-dialin
ipt.aol
temps
postmas
service
freeav
@ca.
abus
winrar
domaine.
centre serveur.
viren
bitdefender
spybot
détection
ewido.
emsisoft
linux
@foo.
winzip
@example.
bellcore.
@arin
mozilla
@iana
@avp
@msn
icrosoft.
@spiegel.
@sophos
@panda
@kaspers
libre-poids du commerce
antivir
virus
verizon.
@ikarus.
@nai.
@messagelab
nlpmail01.
horloge
voie.
WWW.
membres.
clics.
référez-vous.
Vérifie le raccordement de réseau en entrant en contact avec un serveur de NTP sur le port 37 de TCP, ou par le résolution des domaines suivants :
microsoft.com
bigfoot.com
yahoo.com
t-online.de
google.com
hotmail.com
ns1.interplanet.com.mx
Envoie une copie de lui-même comme attachement d'email aux adresses qu'il trouve sur l'ordinateur infecté, à l'aide de son propre moteur de smtp. Les messages d'email seront dans l'anglais ou l'Allemand et auront les caractéristiques suivantes :
De :
De la ligne peut être un email address trouvé sur l'ordinateur infecté ou consisté en ce qui suit :
[ le domaine des name]@[recipient faux d'expéditeur ]
là où [ nom faux d'expéditeur ] est un de ce qui suit :
Information
FehlerMail
Webmaster
ReMailer
Lisa
Peter
Michael
Thomas
Elke
Susi
Nadine
Benutzer-Daten
L'information
Service
Hilfe
Webmaster
Hostmaster
Maître de poste
Utilisateur-Information
et [ le domaine du destinataire ] est le domaine du récepteur prévu de l'email.
Objet : Un de ce qui suit :
FWD : salut là
FWD : hé type !
FWD : wazzup ! ! !
FWD : ouais type :P
FWD : Détails
FWD : Dieu d'Oh il est
FWD : rien !
FWD : #
FWD : Confirmation d'enregistrement
FWD : Confirmation
FWD : Votre Mot de passe
FWD : Votre compte de courrier
FWD : Notification d'échec de la livraison
FWD : Distribution du courrier défectueuse
FWD : La distribution du courrier échoue
FWD : Erreur D'Expédition
FWD : Signes illégaux dans l'email
FWD : Longueur inadmissible de courrier
FWD : Échec de distribution du courrier
FWD : statut de distribution du courrier
FWD : Avertissement !
FWD : erreur dans le dbase
FWD : Erreur De DBase
FWD : se lève, j'ont votre courrier
FWD : Désolé, c'est votre courrier
FWD : pourquoi faites-vous cela ?
FWD : Une chienne de la vie
FWD : Sourire comme un tueur
FWD : lol, wat'nlosey ?
FWD : Informationvon
FWD : FalscheMailzustellung
FWD : FehlerinIhrerE-Courrier
FWD : IhreE-Mailwarfehlerhaft
FWD : ESMTPError
FWD : UngültigeVariableninihrerE-Courrier
FWD : Verbindungwurdegetrennt
FWD : Mail_Fehler
FWD : IhrneuerAccount
FWD : NeueAccountDaten
FWD : Siehabennichtgezahlt
FWD : Rechnung
FWD : Bonjour, seivorsichtig !
FWD : Achtung!gefährlicherVirus !
FWD : Schongehört ?
FWD : DieTools !
FWD : DeinZeug !
FWD : Hierfürdich^^
FWD : BestellungsBestätigung
FWD : Lieferungs-Bestätigung
FWD : Ok, hieristmein
FWD : Ichhabemichindichv
Corps : Peut se composer d'une partie du texte suivant :
Utilisateur-Service de ++++ : domaine de http:/ /www.
++++ MailTo : le domaine des postmaster@
Votre mot de passe a été changé avec succès.
Le message protégé est joint.
Ceci account_hast_been_disabled.
_ failed_after_I_sent_the_message.
Ein Passwort de duch de geschützt d'ist de l'information de Diese !
Le zugesandt d'Ihre Persönlichen Daten d'uns de Da Sie haben, des Geburts-Informations de Passwort Ihr de das d'ist.
Unserem Angebot de MIT de vergnügen de Viel !
Im unter de Je-Filet : [domainde http:www ]
Aus Datenschutzrechtlichen Gründen, incl d'E'Mail de vollständige de matrice de darf. L'angehängt de nur de Daten werden.
Sie mordu par Wir, berücksichtigen de zu de dieses.
Gmbh Et Co. Kilogramme
Le durch de leider de Datenbanken d'unsere de Da einen le zerstört de Programm Fehler wurden, mussten le bezüglich Ihrer Nutzungs- Daten de änderung d'eine de leider de wir vornehmen.
Ihre geänderten le compte Daten, befinden le sich im beigefügten le Document.
Ce courrier a été produit automatiquement.
Plus d'information environ -- gaynet -- dessous : http:/ /www.gaynet.ch
Occured_Errors :
[ IP]_does_not_like_recipient.
# 440 : BOÎTE AUX LETTRES NON TROUVÉE
Extrémité
Le plein courrier est joint.
Auto_Mail.System : [ gaynet ]
*-*-* Mail_Scanner : Aucun Virus
Service Du *-*-* SYMANTEC- Anti_Virus
*-*-* http://www.symantec.com
J'ai été étonné, aussi !
Who_could_suspect_something_like_that ? sh*tyiiiii
Ce courrier a été produit automatiquement.
Plus d'information environ -- hotmail -- dessous : http:/ /www.hotmail.com
Occured_Errors :
[ IP]_does_not_like_sender.
# 153 : Giving_up_on_[IP ]
Extrémité
Le plein courrier est joint.
Auto_Mail.System : [ hotmail ]
*-*-* Mail_Scanner : Aucun Virus
Service Du *-*-* SYMANTEC- Anti_Virus
Attachement :
L'attachement peut être basé sur un email address trouvé sur l'ordinateur infecté ou peut être l'un du suivant, avec une prolongation de pif, de zip, de scr, de bat ou de com :
im_shocked
oh_nono
thats_hard
courrier
auto_mail
re-mail_system
Error_mail
L'attachement peut également être appelé [ le domain].[first extension].zip du destinataire où [ première prolongation ] est un de ce qui suit :
txt
doc
word
xls
eml
TXT
DOC
EML
La réponse de sécurité de Symantec encourage tous les utilisateurs et administrateurs à adhérer à la sécurité de base suivante les "meilleures pratiques" :
Arrêtez et enlevez les services inutiles. Par défaut, beaucoup de logiciels d'exploitation installent des services auxiliaires qui ne sont pas critiques, comme un ftp server, telnet, et un serveur de Web. Ces services sont des avenues d'attaque. S'ils sont enlevés, les menaces mélangées ont moins d'avenues d'attaque et vous avez peu de services à maintenir par des mises à jour de pièce rapportée.
Si une menace mélangée exploite un ou plusieurs services de réseau, neutralisez, ou bloquez l'accès à, services jusqu'à ce qu'une pièce rapportée soit appliquée.
Maintenez toujours vos niveaux de pièce rapportée à jour, particulièrement sur les ordinateurs qui accueillent des services publics et sont accessibles par le mur à l'épreuve du feu, tel que le HTTP, le ftp, le courrier, et les services de DNS (par exemple, tous les ordinateurs windows-based devraient avoir le paquet courant de service installé). En plus, appliquez svp toutes les mises à jour de sécurité qui sont mentionnées dans cette description, dans les bulletins de confiance de sécurité, ou sur des emplacements de Web de fournisseur.
Imposez une politique de mot de passe. Les mots de passe complexes le rendent difficile de fendre des dossiers de mot de passe sur les ordinateurs compromis. Ceci aide à empêcher ou limiter des dommages quand un ordinateur est compromis.
Configurez votre serveur d'email pour bloquer ou enlever l'email qui contient les attachements de dossier qui sont généralement utilisés pour écarter des virus, tels que des dossiers de vbs, de bat, d'exe, de pif et de scr.
Isolez les ordinateurs infectés rapidement pour empêcher compromettre plus loin votre organisation. Exécutez une analyse légale et reconstituez les ordinateurs en utilisant des médias de confiance.
Formez les employés pour ne pas ouvrir des attachements à moins qu'ils les attendent. En outre, n'exécutez pas le logiciel qui est téléchargé de l'Internet à moins qu'il ait été balayé pour des virus. Visiter simplement un emplacement compromis de Web peut causer l'infection si certaines vulnérabilités de navigateur ne sont pas raccordées.
Déplacement à l'aide de l'outil de déplacement de W32.Sober
La réponse de sécurité de Symantec a développé un outil de déplacement pour nettoyer les infections de W32.Sober.I@mm. Essayez cet outil de déplacement d'abord, car c'est la manière la plus facile d'enlever cette menace.
Instructions Manuelles De Déplacement
Les instructions suivantes concernent tous les produits courants et récents d'antivirus de Symantec, des produits y compris de Symantec AntiVirus et de Norton AntiVirus.
Neutralisez La Restauration De Système (Windows Me/XP).
Mettez à jour les définitions de virus.
Courez un plein balayage de système et supprimez tous les dossiers détectés comme W32.Sober.I@mm.
Supprimez la valeur qui a été ajoutée à l'enregistrement.
Pour les détails spécifiques sur chacune de ces étapes, lisez les instructions suivantes.
1. Pour neutraliser la restauration de système (Windows Me/XP)
Si vous courez Windows moi ou Windows.xp, nous recommandons que vous arrêtez temporairement la restauration de système. Windows Me/XP emploie ce dispositif, qui est permis par défaut, pour reconstituer les dossiers sur votre ordinateur au cas où ils deviendraient endommagés. Si un virus, un ver, ou un Trojan infecte un ordinateur, la restauration de système peut soutenir le virus, le ver, ou le Trojan sur l'ordinateur.
Windows empêche des programmes extérieurs, y compris des programmes d'antivirus, de la restauration de modification de système. Par conséquent, les programmes d'antivirus ou les outils ne peuvent pas enlever des menaces dans la chemise de restauration de système. En conséquence, la restauration de système a le potentiel de reconstituer un dossier infecté sur votre ordinateur, même après que vous avez essuyé les dossiers infectés tous les autres endroits.
En outre, un balayage de virus peut détecter une menace dans la chemise de restauration de système quoique vous ayez enlevé la menace.
Pour des instructions sur la façon dont arrêter la restauration de système, lisez votre documentation de Windows, ou un des articles suivants :
"comment neutraliser ou permettre Windows je restauration de système"
"comment arrêter ou allumer la restauration de système de Windows.xp"
Note : Quand vous êtes complètement fini avec la méthode de dépose et êtes satisfait que la menace a été enlevée, permettez à nouveau à la restauration de système par après les instructions dans les documents mentionnés ci-dessus.
Pour l'information additionnelle, et une alternative à neutraliser Windows je restauration de système, voit l'article de base de connaissance de Microsoft, des "outils d'Antivirus ne peut pas nettoyer les dossiers infectés dans _ la chemise de restauration," identification d'article : Q263455.
2. Pour mettre à jour les définitions de virus
La réponse de sécurité de Symantec examine entièrement toutes les définitions de virus pour la garantie de la qualité avant qu'elles soient signalées à nos serveurs. Il y a deux manières d'obtenir les définitions de virus les plus récentes :
LiveUpdate fonctionnant, qui est la manière la plus facile d'obtenir des définitions de virus : Ces définitions de virus sont signalées aux serveurs de LiveUpdate une fois que chaque semaine (habituellement le mercredi), à moins qu'il y ait une manifestation importante de virus. Pour déterminer si les définitions pour cette menace sont disponibles par LiveUpdate, référez-vous aux définitions de virus (LiveUpdate).
Téléchargement des définitions en utilisant l'Updater intelligent : Les définitions intelligentes de virus d'Updater sont signalées quotidiennement. Vous devriez télécharger les définitions de l'emplacement de Web de réponse de sécurité de Symantec et manuellement les installer. Pour déterminer si les définitions pour cette menace sont disponibles par l'Updater intelligent, référez-vous aux définitions de virus (Updater intelligent).
Les définitions intelligentes de virus d'Updater sont disponibles : Lu "comment mettre à jour la définition de virus classe en utilisant l'Updater intelligent" pour des instructions détaillées.
3. Pour balayer pour et supprimer les dossiers infectés
Commencez votre programme d'antivirus de Symantec et assurez-vous qu'il est configuré pour balayer tous les dossiers.
Pour des produits de consommation de Norton AntiVirus : Lisez le document, "comment configurer Norton AntiVirus pour balayer tous les dossiers."
Pour des produits d'entreprise de Symantec AntiVirus : Lisez le document, "comment vérifier qu'un produit de corporation d'antivirus de Symantec est placé pour balayer tous les dossiers."
Courez un plein balayage de système.
Si des dossiers sont détectés comme atteints de W32.Sober.I@mm, effacement de clic.
Note : Si votre produit d'antivirus de Symantec signale qu'il ne peut pas supprimer un dossier infecté, Windows peut employer le dossier. Pour fixer ceci, courez le balayage en mode sûr. Pour des instructions, lisez le document, "comment mettre en marche l'ordinateur en mode sûr." Une fois que vous vous êtes remis en marche en mode sûr, courez le balayage encore.
(après que les dossiers soient supprimés, vous pouvez laisser l'ordinateur dans le mode sûr et poursuivre la section 4. Quand cela est fait, remettez en marche l'ordinateur en "copie normale".)
4. Pour supprimer la valeur de l'enregistrement
Important : Symantec recommande vivement que vous soutenez l'enregistrement avant de faire tous les changements à lui. Les changements incorrects à l'enregistrement peuvent avoir comme conséquence la perte permanente de données ou les dossiers corrompus. Modifiez les clefs indiquées seulement. Lisez le document, "comment faire une protection de l'enregistrement de Windows," pour des instructions.
Cliquez Le Début > Couru.
Dactylographiez le regedit
Cliquez Alors BIEN.
Dirigez à la clef :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Dans le carreau droit, supprimez la valeur :
"[ nom aléatoire de valeur ]" = "dossier name].exe de ver de %System%\[random"
"[ nom aléatoire de valeur ]" = "dossier name].exe %srun% de ver de %System%\[random"
Sortez le rédacteur d'enregistrement.