Cette fois-ci, il s?agit d?une sorte de revenant, une variante de W32.Sobig.B@mm (ou W32/Palyh@MM, ou W32.HLLW.Mankx@mm), contre lequel nous vous mettions en garde dans le n° de TechAlerte du 20 mai 2003.
 
Comme son prédécesseur, W32.Sobig.F@mm est un ver de type "mass-mailing", qui se dissémine via l?envoi d?Emails ou via les partages réseau.
L?Email porteur du virus possède les caractéristiques suivantes :
 
- Expéditeur : admin@internet.com
 
- Sujet :
Re: Details
Re: Approved
Re: Re: My details
Re: Thank you!  
Re: That movie
Re: Wicked screensaver
Re: Your application
Thank you!  
Your details
 
- Texte :  
See the attached file for details
Please see the attached file for details.
 
- Pièce jointe : (environ 72 Ko)
application.zip (qui contient application.pif)
details.zip (qui contient details.pif)
document_9446.zip (qui contient document_9446.pif)
document_all.zip (qui contient document_all.pif)
movie0045.zip (qui contient movie0045.pif)
thank_you.zip (qui contient thank_you.pif)
your_details.zip (qui contient your_details.pif)
your_document.zip (qui contient your_document.pif)
wicked_scr.zip (qui contient wicked_scr.scr)
 
W32.Sobig.F@mm recherche les adresses Emails contenues dans les fichiers de type *.dbx, *.eml, *.hlp, *.htm, *.html, *.mht, *.wab, et *.txt, et se désactivera le 10 septembre prochain.
 
Entre temps, Sobig.F peut télécharger des fichiers sur les systèmes qu?il infecte, et les exécuter, permettant à ses auteurs la captation d?informations confidentielles, la mise en place de relais de "spamming", ou la mise à jour du ver lui-même.