La nouvelle variante F du ver Sobig a battu des records de virulence ; ce serait le ver qui s'est le plus rapidement propagé dans toute l'histoire d'Internet. Ce ver peut installer un cheval de Troie et permettre ainsi le contrôle à distance d'un PC infecté.

au sommaire

    Ralentissement d'Internet : une possible action massive de SPAM du ver Sobig.F

    Ralentissement d'Internet : une possible action massive de SPAM du ver Sobig.F

    Message Labs a détecté plus d'un million de copies du ver Sobig.F dans les 24 heures qui ont suivi son apparition. Le précédent record appartenait à Klez avec 250.000 exemplaires décelés au cours de la première journée.

    Les éditeurs d'antivirus estiment qu'une diffusiondiffusion aussi massive s'explique par l'utilisation de techniques de spammingspamming. Le ver est dissimulé dans la pièce jointe d'un e-mail, sous forme de fichiers PIF ou SCR. L'ouverture de ces fichiers provoque l'infection de l'ordinateur. Chaque utilisateur contaminé aurait probablement un serveur mandataireserveur mandataire installé à son insu et les créateurs de virus pourraient à tout moment utiliser tous les ordinateurs infestés pour un envoi massif !

    Ce type de détournement est-il fréquent ?

    Oui ! Selon une étude de la firme antivirus Message Labs, 65% des messages de pourriel seraient envoyés via des serveurs mandataires et les trois quarts d'entre eux semblent être installés sur des PC infectés par des vers tels que Sobig.

    Les lignes d'objet de l'e-mail infecté sont tirées d'une liste incluant les phrases : "Re: That movie", "Re: Wicked screensaver", "Re: Approved","Re: Your applicationapplication", "Re: Approved" et "Your details".

    Sobig-F tente aussi de se propager en se copiant dans les partages réseaux Windows et utilise Network Time ProtocolProtocol sur l'un des différents serveurs pour déterminer la date et l'heure courantes. Si la date est le 10 septembre 2003 ou est postérieure à celle-là, le ver s'arrête de fonctionner.

    Les différentes formes de ce ver permettent de faire des tests sur l'efficacité des virus! Ainsi dans les mois qui viennent un ver sera probablement encore plus virulent et probablement très violent !

    Depuis la fin de l'après midi, nous savons que ce ver va attaquer le réseau ce soir à 19h UTCUTC soit 21h à Paris. Le virus actuellement le plus répandu sur Internet avec 100 millions d'emails infectés circulant sur Internet a créé depuis son apparition il y a 4 jours de nombreuses pannes et d'interruptions d'emails.

    Tous les ordinateurs infectés entrent dans une deuxième phase ; c'est une synchronisation du code au même moment à travers le monde à l'aide des horloges atomiqueshorloges atomiques.
    A l'heure dite le ver se connectera à une vingtaine d'ordinateurs basés aux USA, Canada et Corée du Sud, ces 20 machines sont des ordinateurs de maison classique, explique le directeur de F-secure France.

    Le ver se connectera à l'une de ces 20 machines, les machines infectées téléchargeront un logiciel à partir de cette adresse et l'exécutent. A l'heure actuelle il n'y a aucune information concernant la nature du programme exécuté.

    Personne ne sait encore ce que ce programme peut faire

    Il pourrait créer beaucoup de dommages, supprimer des fichiers ou encore lancer des attaques réseau. Les précédentes versions de Sobig accomplissaient des actions similaires mais moins complexes. Avec Sobig.E le ver téléchargeait un logiciel qui supprimait le virus lui-même (pour effacer ses traces) et dérobait ensuite les mots de passemots de passe réseau et web des utilisateurs.

    Le ver installe ensuite un proxy mail qui lui permet d'envoyer des emails avec l'adresse de l'ordinateur infecté sans que l'utilisateur soit au courant. Il a en particulier été utilisé par les spammeurs pour envoyer leurs emails commerciaux. Sobig.F pourrait faire de même...

    "Dès que nous avons pu craquer le cryptage utilisé par le virus pour cacher la liste des 20 machines, nous avons essayé de les neutraliser", poursuit Mikko Hypponen. F-Secure collabore avec les autorités et les diverses organisations CERTCERT afin de déconnecter ces machines du Web. "Malheureusement, les créateurs du virus ont également anticipé une telle action. (...) Les 20 machines ont été sélectionnées sur les réseaux de différents opérateurs ce qui laisse à penser que nous n'aurons pas assez de temps pour toutes les identifier et les neutraliser (...) Même si une seule machine reste active se sera suffisant pour le virus."

    Compte tenu des techniques très avancées utilisées par le virus il semble évident qu'il n'a pas été écrit par un jeune adolescent créateur de virii. Le fait que les précédentes versions aient été largement utilisées par les spammeurs ajoute l'élément du gain financier.
    Qui se cache derrière tout cela ? "Cela me semble être du crime organisé", termine Mikko Hypponen.

    Mais nous ne le saurons qu'après 21:00, aujourd'hui ! Un ralentissement du réseau est fort probable !