Le ver Mobler s’attaque à Windows sous le pseudo Symbian

Un ver classique nécessitant d’être activé par un utilisateur avant d’infecter d’autres supports médias est en cours de propagation, d’après l’éditeur F-Secure spécialisée dans les solutions antivirus.

Dénommé Mobler, ce ver tente de se répliquer sur tous les médias comme des disquettes, des clés USB et autres dossiers sur un disque dur. L’un des signes de l’infection par Mobler est que le lecteur de disquettes fait un bruit comme si il essayait de lire quelque chose, alors qu’il n’y a pas de disquette à l’intérieur de l’unité centrale.

Mobler s’attaque également au répertoire Windows et peut générer une attaque par déni de service, le site Bina Sarana Informatika semble être la cible du virus actuellement. Tandis que le vers se réplique, il utilise différents noms pour éviter d’être détecté, en prenant des noms de fichiers et de dossiers déjà existants.

Mobler affecte différents fichiers dans la base de registre Windows (Windows System folder), parmi lesquels autorun.inf, black.app, black.html, black.ico, black.jpg, black.txt, makesis.exe et system.exe. Toujours dans le registre, le ver crée une archive dénommé Black_Symbian.SIS et un fichier baptisé Black_Symbian.PKG qui abrite la liste des contenus du fichier archive.

Dans le cadre de l’attaque, Mobler met hors service le gestionnaire de tâches Windows (Windows Task Manager), Registry Tools (définition du registre), l’aperçu des options du dossier et la fonction de recherche. Il bloque également certaines applications ou fichiers fonctionnant à partir du menu « Démarrer » et du sous-menu « Exécuter ».

Il est vivement recommandé aux utilisateurs de ne pas ouvrir de pièces jointes à des e-mails non identifiés et de ne pas lancer des programmes inconnus qui apparaissent sur des médias amovibles comme les lecteurs USB.

Traduction d’un de Vnunet.com en date du 6 septembre 2006