Virus sobig
corto
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
plusieurs machine ont attaqué la bécane d'un ami . Il recoit toute les dix minutesde diverses machine de par le monde (Houu Pinaiz) un massage lui demandant d'aller ouvrir le fichier "sobig". Mis a part d'eliminer les mail un par un existe-t-il un autre moyen de parade?
Merci
plusieurs machine ont attaqué la bécane d'un ami . Il recoit toute les dix minutesde diverses machine de par le monde (Houu Pinaiz) un massage lui demandant d'aller ouvrir le fichier "sobig". Mis a part d'eliminer les mail un par un existe-t-il un autre moyen de parade?
Merci
A voir également:
- Virus sobig
- Virus mcafee - Accueil - Piratage
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
- Ordinateur bloqué virus - Accueil - Arnaque
3 réponses
Je reçoit pour ma part plusieurs messages par minute ... j'aimerais tant que ce soit des massages comme dans le cas de ton ami ;-)
Le virus traffique en plus le champ "From:" du message ce qui fait qu'il est impossible de connaître l'expéditeur réel. La meilleure parade que j'ai trouvé c'est de filtrer tous les messages ayant une pièce jointe dont l'extension est l'une des suivantes :
Le virus traffique en plus le champ "From:" du message ce qui fait qu'il est impossible de connaître l'expéditeur réel. La meilleure parade que j'ai trouvé c'est de filtrer tous les messages ayant une pièce jointe dont l'extension est l'une des suivantes :
.vbs .lnk .scr .wsh .hta .pif .zlo
VIRUS SOBIG ou WORM_SOBIG.F
Comment stopper la réception des centaines de mails non désirés (même désinfectés par l'antivirus)
Webmaster de profession, j'ai créé cette page ressource pour les internautes français ou francophones à la recherche d'informations dans leur langue concernant le virus SOBIG.F
>> Comment reconnaître un email infecté généré par ce virus :
L'objet du mail se présente ainsi, (plusieurs variantes) :
Objet : Re: Thank you!
Objet : Thank you!
Objet : Re: Details
Objet : Re: Re: My details
Objet : Re: Approved
Objet : Re: Your application
Objet : Re: Wicked screensaver
Objet : Re: That movie
Objet : Your details
>> Sans antivirus : attention !
Si vous n'avez pas d'antivirus actif, le mail sera accompagné de pièces jointes dangereuses à ne surtout pas ouvrir :
exemples de pièces jointes :
your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif
Si une de ces pièces jointes est ouverte, elle installe le virus sur votre machine, et il faut la désinfecter :
Désinfectant sur le site de Trend Micro (site en anglais) :
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.F
>> Avec antivirus : des tonnes de mails quand même !
Si votre antivirus est à jour et actif, il devrait détruire les pièces jointes infectées mais rappatrier les emails vérolés sans leur pièce jointe.
L'impact du virus Sobig (même débarrassé de ses dangereuses pièces jointes) se fait sentir : temps de rappatriement des messages important et ralentissement global de la machine, au point que l'on doit désactiver la relève automatique des mails toutes les x minutes et l'alerte pour les nouveaux courriers entrants.
La courbe des mails que j'ai reçus à cause de ce virus était en courbe exponentielle :
...130 mails de 12h à 19h le 27 août 2003
... plus de 500 mails à 10h le 28 août 2003 !
Ce matin, l'attaque était ainsi plus virulente que jamais et finissait par paralyser totalement ma boîte électronique.
Et j'ai appris que le virus SOBIG.F est programmé pour ne cesser sa diffusion que... le 10 septembre 2003 !
Solution : le freeware Sobig Stopper
J'ai trouvé une solution qui marche sur Internet sur le site de Bytegems.com : le logiciel Sobig Stopper (freeware) neutralise sur le serveur les emails générés par le virus Sobig avant leur rappatriement sous outlook par exemple.
Pour le télécharger gratuitement (site en anglais) :
http://www.bytegems.com/sobigstopper.shtml
Pour qu'il soit efficace il doit s'exécuter AVANT la relève courrier par outlook.
Mode d'emploi :
- désactiver la relève automatique des emails par outlook
- installer Sobig Stopper
- lancer le logiciel : la rubrique "Aide" explique assez bien comment paramétrer le logiciel
- entrer le(s) compte(s) mail à surveiller ("add") avec leur paramètres (pop, identifiant, password)
- lancer la vérification une première fois ("check all accounts now")
- ensuite paramétrer la durée en secondes de l'auto-surveillance ("monitor all acounts every")
personnellement j'ai mis 60 secondes.
- activer l'auto-surveillance ("start auto-monitoring")
- sous outlook (par exemple), de temps à autre, rappatrier manuellement les emails en lançant au préalable une dernière verification ("check all accounts now").
Je reçois encore quelques mails infectés (qui se glissent entre 2 nettoyages de Sobig Stopper) mais beaucoup moins..
mise à jour : 28 août 2003
Comment stopper la réception des centaines de mails non désirés (même désinfectés par l'antivirus)
Webmaster de profession, j'ai créé cette page ressource pour les internautes français ou francophones à la recherche d'informations dans leur langue concernant le virus SOBIG.F
>> Comment reconnaître un email infecté généré par ce virus :
L'objet du mail se présente ainsi, (plusieurs variantes) :
Objet : Re: Thank you!
Objet : Thank you!
Objet : Re: Details
Objet : Re: Re: My details
Objet : Re: Approved
Objet : Re: Your application
Objet : Re: Wicked screensaver
Objet : Re: That movie
Objet : Your details
>> Sans antivirus : attention !
Si vous n'avez pas d'antivirus actif, le mail sera accompagné de pièces jointes dangereuses à ne surtout pas ouvrir :
exemples de pièces jointes :
your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif
Si une de ces pièces jointes est ouverte, elle installe le virus sur votre machine, et il faut la désinfecter :
Désinfectant sur le site de Trend Micro (site en anglais) :
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.F
>> Avec antivirus : des tonnes de mails quand même !
Si votre antivirus est à jour et actif, il devrait détruire les pièces jointes infectées mais rappatrier les emails vérolés sans leur pièce jointe.
L'impact du virus Sobig (même débarrassé de ses dangereuses pièces jointes) se fait sentir : temps de rappatriement des messages important et ralentissement global de la machine, au point que l'on doit désactiver la relève automatique des mails toutes les x minutes et l'alerte pour les nouveaux courriers entrants.
La courbe des mails que j'ai reçus à cause de ce virus était en courbe exponentielle :
...130 mails de 12h à 19h le 27 août 2003
... plus de 500 mails à 10h le 28 août 2003 !
Ce matin, l'attaque était ainsi plus virulente que jamais et finissait par paralyser totalement ma boîte électronique.
Et j'ai appris que le virus SOBIG.F est programmé pour ne cesser sa diffusion que... le 10 septembre 2003 !
Solution : le freeware Sobig Stopper
J'ai trouvé une solution qui marche sur Internet sur le site de Bytegems.com : le logiciel Sobig Stopper (freeware) neutralise sur le serveur les emails générés par le virus Sobig avant leur rappatriement sous outlook par exemple.
Pour le télécharger gratuitement (site en anglais) :
http://www.bytegems.com/sobigstopper.shtml
Pour qu'il soit efficace il doit s'exécuter AVANT la relève courrier par outlook.
Mode d'emploi :
- désactiver la relève automatique des emails par outlook
- installer Sobig Stopper
- lancer le logiciel : la rubrique "Aide" explique assez bien comment paramétrer le logiciel
- entrer le(s) compte(s) mail à surveiller ("add") avec leur paramètres (pop, identifiant, password)
- lancer la vérification une première fois ("check all accounts now")
- ensuite paramétrer la durée en secondes de l'auto-surveillance ("monitor all acounts every")
personnellement j'ai mis 60 secondes.
- activer l'auto-surveillance ("start auto-monitoring")
- sous outlook (par exemple), de temps à autre, rappatrier manuellement les emails en lançant au préalable une dernière verification ("check all accounts now").
Je reçois encore quelques mails infectés (qui se glissent entre 2 nettoyages de Sobig Stopper) mais beaucoup moins..
mise à jour : 28 août 2003
>Bonjour,
>Nos services centraux nous communiquent ceci:
MESSAGE DU CENTRE OPERATIONNEL DE COORDINATION DE LA DCSSI (COCSSI)
Selon les analyses des éditeurs d'anti-virus, un ver dont l'appellation est
"Sobig.F", se propage depuis le 18 août 2003 sur l'Internet. Il se présente sous
la forme d'une pièce jointe de messagerie dont l'ouverture provoque l'infection
des systèmes d'exploitation Microsoft.
Le ver "Sobig.F" se diffuse ensuite par la messagerie sous la forme d'une pièce
jointe adressée à toutes les adresses pouvant être recueillies sur la machine
infectée. L'adresse de l'expéditeur est usurpée à partir des adresses présentes
dans les fichiers de l'ordinateur.
Le ver pourrait également se propager en utilisant les partages réseau des
systèmes Windows. Cette possibilité est toutefois contestée par l'éditeur
SYMANTEC.
Par ailleurs, "Sobig.F" serait programmé pour se connecter le vendredi, le samedi ou le dimanche, entre 19h00 et 22h00, à une liste de serveurs "maîtres"
contrôlés par l'auteur du ver. Les serveurs "maîtres" communiqueraient
l'adresse de téléchargement d'un cheval de Troie qui serait installé sur la
machine infectée. Dans cette hypothèse, l'auteur du ver disposerait d'un réseau
de machines compromises permettant par exemple, de réaliser un déni de service
massif sur l'Internet.
Le ver "Sobig.F" tenterait également de vérifier la date en se connectant via
l'Internet à un serveur de temps (NTP), car il serait programmé pour se
neutraliser automatiquement à partir du 10 septembre 2003.
Nous vous recommandons de filtrer les ports 995/udp, 996/udp, 997/udp, 998/udp,
999/udp et 8998/udp, ainsi que de surveiller le trafic 123/udp (ntp), et de
mettre à jour les bases de signatures de vos antivirus.
FIN DU MESSAGE COCSSI
----------------------------------------------------------------------------
Les informations publiées par le COCSSI sur cette liste de diffusion restent sous le contrôle du COCSSI.
----------------------------------------------------------------------------
Le site Web du Certa : http://www.certa.ssi.gouv.fr
--------------- Comment joindre le CERTA ? ---------------
Par téléphone :
pendant les heures ouvrables : 01 71 75 84 50
en dehors des heures ouvrables : 01 71 75 83 00
Par télécopie : 01 71 75 84 00
Par mél : CERTA-svp@certa.ssi.gouv.fr
>Nos services centraux nous communiquent ceci:
MESSAGE DU CENTRE OPERATIONNEL DE COORDINATION DE LA DCSSI (COCSSI)
Selon les analyses des éditeurs d'anti-virus, un ver dont l'appellation est
"Sobig.F", se propage depuis le 18 août 2003 sur l'Internet. Il se présente sous
la forme d'une pièce jointe de messagerie dont l'ouverture provoque l'infection
des systèmes d'exploitation Microsoft.
Le ver "Sobig.F" se diffuse ensuite par la messagerie sous la forme d'une pièce
jointe adressée à toutes les adresses pouvant être recueillies sur la machine
infectée. L'adresse de l'expéditeur est usurpée à partir des adresses présentes
dans les fichiers de l'ordinateur.
Le ver pourrait également se propager en utilisant les partages réseau des
systèmes Windows. Cette possibilité est toutefois contestée par l'éditeur
SYMANTEC.
Par ailleurs, "Sobig.F" serait programmé pour se connecter le vendredi, le samedi ou le dimanche, entre 19h00 et 22h00, à une liste de serveurs "maîtres"
contrôlés par l'auteur du ver. Les serveurs "maîtres" communiqueraient
l'adresse de téléchargement d'un cheval de Troie qui serait installé sur la
machine infectée. Dans cette hypothèse, l'auteur du ver disposerait d'un réseau
de machines compromises permettant par exemple, de réaliser un déni de service
massif sur l'Internet.
Le ver "Sobig.F" tenterait également de vérifier la date en se connectant via
l'Internet à un serveur de temps (NTP), car il serait programmé pour se
neutraliser automatiquement à partir du 10 septembre 2003.
Nous vous recommandons de filtrer les ports 995/udp, 996/udp, 997/udp, 998/udp,
999/udp et 8998/udp, ainsi que de surveiller le trafic 123/udp (ntp), et de
mettre à jour les bases de signatures de vos antivirus.
FIN DU MESSAGE COCSSI
----------------------------------------------------------------------------
Les informations publiées par le COCSSI sur cette liste de diffusion restent sous le contrôle du COCSSI.
----------------------------------------------------------------------------
Le site Web du Certa : http://www.certa.ssi.gouv.fr
--------------- Comment joindre le CERTA ? ---------------
Par téléphone :
pendant les heures ouvrables : 01 71 75 84 50
en dehors des heures ouvrables : 01 71 75 83 00
Par télécopie : 01 71 75 84 00
Par mél : CERTA-svp@certa.ssi.gouv.fr
