Codes malveillants

Retour en force pour le ver Sobig

Par Jerome Saiz, le 19 août 2003 à 15:01:00.

La sixième modification est la bonne : Sobig.F se propage très rapidement sur Internet. Il n'exploite aucune faille vraiment nouvelle, et se contente de profiter de la naïveté des internautes, toujours prompts à cliquer sur n'importe quoi. Il a déjà fait oublier Blaster, le ver star de la semaine dernière, et serait déjà le parasite le plus répandu derrière Klez, le virus ténor de ces deux dernières années. [Mis à jour le 22/08/03]

On oublie Blaster et sa propagation futée à travers les réseaux. Sobig.F arrive dans les boîtes à lettres via une bonne vieille pièce jointe au format .PIF, sur laquelle il est nécessaire de cliquer pour être infecté.
On aurait pu penser qu'avec une telle technique vieillotte, Sobig.F n'irait pas loin, et bien non. Le virus semble se propager très rapidement sur Internet. Et s'il faut toujours se méfier de l'agitation des éditeurs d'antivirus, tous semblent en tout cas unanimes pour faire de Sobig.F une menace très répandue. L'éditeur Kaspersky Labs va même jusqu'à lui attribuer le titre de second virus le plus répandu après Klez, indétrônable et toujours bien actif depuis 2001.
Pas très différent de ses prédécesseurs, Sobig.F infecte les disques partagés et, bien sûr, s'envoie par email aux adresses qu'il trouve sur le PC de sa victime. Il maquille pour cela les adresses (l'expéditeur apparent n'est pas forcément l'auteur du message), et peut même se faire passer pour le support technique de Microsoft.
Sobig.F est aussi évolutif : il peut se mettre à jour depuis plusieurs sites web, et la liste de ces derniers peut elle-même être mise à jour ! Le ver permet enfin de télécharger et d'exécuter à distance n'importe quel logiciel sur le système infecté.
Sobig.F ne restera cependant actif que jusqu'au 10 septembre 2003. Après cette date, il n'infectera plus aucune machine, et s'il est lancé volontairement, il s'arrêtera immédiatement. Personne ne sait vraiment pourquoi cette limitation, mais il est possible que ce soit une astuce de son auteur, pensant ainsi se couvrir s'il devait être arrêté un jour.
Les principaux antivirus sont désormais capables de détecter cette nouvelle version, pour ceux qui ne reconnaissent pas déjà la famille Sobig. En outre, des outils de désinfection spécifiques gratuits sont disponibles, comme à chaque grande épidémie. McAfee a également mis à jour son outil gratuit Stinger afin qu'il soit capable de traiter cette dernière version de Sobig.

[Mise à jour :
Le ver est programmé pour forcer tous les PC infectés à travers le monde (plus d'un million en quatre jours seulement) à télécharger et exécuter un programme inconnu le 22 aôut à 21 heures (heure Française, 19 heures UTC). Ultime raffinement : cette attaque se fera simultanément à travers la planète car le ver utilise les services d'horloges atomiques disponibles sur Internet afin de synchroniser le lancement de cette seconde vague. Si les éditeurs d'antivirus ont bien réussi a casser le chiffrement qui protège l'addresse des sites web auxquels chaque ver se connectera pour télécharger sa charge offensive, ils ne sont parvenus à rien de plus : l'adresse est fictive pour l'instant. Elle sera probablement mise à jour au dernier moment afin d'éviter que les serveurs web ne soient désactivés par les autorités. Un tel mode opératoire amène les éditeurs d'antivirus à penser que le programme téléchargé pourrait être l'outil d'un attaque par déni de service massive, ou un cheval de Troie chargés de voler en une nuit un maximum de documents. En tout cas, la méthode est inédite et plutôt bien pensée.

Plus d'information

La description du virus chez Trendmicro et McAfee.
Un outil de désinfection gratuit chez F-Secure et chez Symantec.

Le retour du ver Sober. (04 mai 2005)
Retour en ligne pour Les Nouvelles.net ! (13 août 2003)
Pas de seconde vague pour Sobig. (22 août 2003)
Le retour des PC zombies. (21 sept 2004)
Sale week-end pour le noyau Linux (17 juil 2006)

Cartes blanches

IAM : dépenser moins pour gagner plus Bruno Vincent Une phrase d'Eric Domage, d'IDC, interpelait récemment décideurs et acteurs du marché sur l'importance des coûts et le peu de ROI découlant des projets d'IAM. Bruno Vincent nuance voire réfute en partie, ces propos.	Organisation et sécurité: en finir avec le cloisonnement ! Bruno Vincent DSI,RSSI et Métiers ont encore du mal à collaborer efficacement. Pourtant, l'organisation s'avère être, une fois de plus, la pierre angulaire d'un Système d'Information sûr et aux coûts maîtrisés.
Les RSSI du monde bancaire à l'aube d'une vague de démissions ? Monsieur RSSI Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.	Rififi en vue chez les identités Bruno Vincent Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
>> Plus de Cartes Blanches

Les dossiers Les thématiques

Quel socle de connaissances pour le RSSI ?Les services managés de sécurité à l’age adulte Les botnets se mettent au Web 2.0 Antivirus : la révolution in the cloud

Gestion des Identités et des Accès Les Assises de la Sécurité 2008 Les Interviews Vidéo Prévention des fuites de données (DLP)Virtualisation

espace partenaires

Livres Blancs

Guides

Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.

Espace membres