<img src="
http://upload.userbase.be/upload/tn_belgacom.jpg" align="left" width="120" height="41">
Dit bericht heb ik ontvangen van Belgacom Security Watch 06/04/2004 - nummer 61
We waarschuwen u bij deze voor het zeer misleidende computervirus W32.Sober.F@mm. Het neemt immers in de boodschap van de e-mail het domein over van het e-mailadres van de bestemmeling (bijvoorbeeld @skynet.be) waardoor u al snel denkt dat het een bericht van Belgacom betreft.
Steekkaart van W32.Sober.F@mm
Type wormvirus
Kenmerken e-mail Afzender - variabel
Titel - variabel
Attachment - de naam is variabel maar het bestand draagt steeds een extensie .pif of .zip
Boodschap - variabel maar steeds in het Duits of Engels
(Voor meer details, klik hier.)
Gevaar Medium (voor meer details, klik hier)
Getroffen besturingsystemen Windows 2000, 95, 98, Me, NT, XP
Oplossing Ja (voor meer details, klik hier)
xHoe herkent u het wormvirus ?
W32.Sober.F@mm verspreidt zich via e-mail. Een geïnfecteerd e-mailbericht kan u herkennen aan :
het onderwerp is variabel maar is steeds in het Engels of het Duits en kan een van de volgende zijn:
Einzelheiten
Hallo Du!
Hallo!
Hey Du
Oh my God
Hey
en andere ...
l
de boodschap is volledig variabel maar kan de website en/of naam van Skynet vermelden aangezien het wormvirus het domein van het e-mailadres van de bestemmeling in de geïnfecteerde e-mail kleeft.
Bijvoorbeeld :
Als u een e-mailadres heeft
<[email protected]> en iemand stuurt u onbewust het virus door, zal u mogelijk in de boodschap van deze e-mail het volgende terugvinden :
+++ A service of "skynet.be"
+++ http:/ /www."skynet.be"
+++ Mail: home
naam van het attachment is variabel maar is steeds in het Engels of het Duits en kan een van de volgende zijn:
Oh-Mann
Dokument
instructions
anitv_text
en andere ...
l
Het attachment heeft een echter steeds een extensie .pif of .zip.
xWat is het gevaar ?
W32.Sober.F@mm is doet het volgende :
Doorzoekt uw harde schijf naar e-mailadressen waarnaar het zich kan doorsturen.
Kan volledig willekeurig bestanden downloaden van het internet op uw computer en deze uitvoeren.
Wijzigt het beheersysteem van Windows (system registry).
xHoe stopt / verwijdert u het ?
U kunt dit wormvirus tegenhouden dankzij Skynet Mail Protection (meer informatie) en/of Belgacom ADSL Multi met daarin het Skynet Security Pack (meer informatie) of het Skynet Security Pack (meer informatie) zelf.
Als u vermoedt of gewoonweg wilt controleren of W32.Sober.F@mm er reeds in geslaagd is uw pc te infecteren, download en voer het "removal tool" van Symantec uit (klik hier).
Dit doet het volgende :
Schakelt alle actieve W32.Sober.F@mm processen uit ;
Verwijdert de W32.Sober.F@mm bestanden ;
Verwijdert de waarden in de registry van Windows die het virus daaraan toegevoegd heeft.
Opgelet ! We willen er op wijzen dat Windows XP en Windows Me gebruikers de pc moeten heropstarten in "Safe mode" (enkel in het Engels) én de "System Restore" optie in hun respectievelijke besturingssoftware tijdelijk moeten uitschakelen (klik hier voor Windows Me (enkel in het Engels) of klik hier voor Windows XP (enkel in het Engels) vooraleer de toepassing uit te voeren.
Windows Me/XP gebruikt deze optie om door middel van het maken van kopiën, bestanden te repareren als ze beschadigd zouden raken. Als een pc geïnfecteerd is met een virus kan het dus zijn dat "System Restore" een kopie maakt van het virus en daarna per toeval het geïnfecteerd bestand teruggezet op de pc.
<img src="
http://upload.userbase.be/upload/symantec-antivirus.gif" align="right" width="120" height="120">
Erratum: van 7 Apr 2004 om ca 6:13 Je kan zelf al eens zoeken bij Symantec...
W32/Sober.f@MM
Greetz,
