Apparu le 24 octobre dernier, Sober présente quelques nouveautés dans son mode de fonctionnement et de diffusion. Mais son seul but reste de spammer, sans volonté réelle de détruire. (Jeudi
30 octobre 2003)
Encore une fois, les technologies
hybrides sont utilisées par ce nouveau ver, appelé
Sober.A. Se propageant par voie de courriel, il incite
le destinataire à ouvrir une pièce jointe,
prétextant qu'il s'agit d'une mise à jour
anti-virus ou d'un patch de sécurité.
Une fois au coeur du système, il se met à
s'auto-répliquer grâce à un moteur
SMTP embarqué, utilisant toutes les adresses mail
qu'il trouve dans les carnets d'adresses ou les fichiers
disponibles sur le poste touché.
Faible
activité en comparaison de Swen Détecté
pour la première fois le 24 octobre dernier aux
Etats-Unis, puis dans 29 autres pays, le virus a été
comptabilisé, pour l'heure, un peu moins de 8 000
fois, selon les chiffres communiqués par MessageLabs,
atteignant un pic le 28 octobre, à presque 3 500
interceptions quotidiennes (sans aucune mesure avec les
pointes à 250 000 interceptions quotidiennes
du virus Swen.A à la fin du mois de septembre dernier).
L'éditeur d'anti-virus Panda Software a été
le premier à nous contacter (le 27 octobre) pour
nous signaler l'épidémie naissante. Selon
Robert Daré, directeur des services de Panda Software
et expert technologique : "le ver présente
quelques nouveautés, notamment le fait d'être
comprimé en format UPX, un protocole de compression
pour exécutables qui ne nécessite pas de
phase de décompression pour s'activer. Cela le
rend difficile à détecter car il est envoyé
en format MIME, certes corrompu, mais qui lui permet de
se faire passer pour un fichier texte ou HTML, et non
comme un exécutable".
Autres points de nouveauté soulevés par
Robert Daré, le fichier media.dll créé par
le ver, dans lequel il stocke toutes les adresses collectées
sur le poste inoculé et qui lui permet de générer
des courriels dont les expéditeurs et destinataires
sont choisis aléatoirement.
Moyennement
dangereux Facile à
détecter quand il a réussi à s'installer,
Sober affiche une fenêtre disant "Error : File
not complete!", simulant une erreur dans l'exécution
d'un fichier. Les titres des courriels qui le véhiculent
sont quant à eux très variés et les
messages, écrits en langue anglaise ou allemande,
peuvent ressembler à cela : "New Sobig
variation in the net. You must change any settings before
the worm control your computer! But, read the official
statement from Norton Anti Virus!".
Les pièces attachées
ont des formats multiples : .exe, .com, .bat, .pif ou
.scr. Selon les explications fournies par Kaspersky Labs,
Sober crée dans le dossier système de Windows trois copies
portant des noms différents, puis il les inscrit dans
la base de registre. Il lance ensuite sa procédure de
diffusion. Pour cela, il recherche, sur l'ordinateur infecté,
des fichiers HTML, WAB, EML, PST, etc. pouvant contenir
des adresses de courrier électronique et s'auto-transmet
à ces adresses.