Sécurité
Sober : ver protéiforme et spammeur
Apparu le 24 octobre dernier, Sober présente quelques nouveautés dans son mode de fonctionnement et de diffusion. Mais son seul but reste de spammer, sans volonté réelle de détruire. (Jeudi 30 octobre 2003)
     
En savoir plus
Encore une fois, les technologies hybrides sont utilisées par ce nouveau ver, appelé Sober.A. Se propageant par voie de courriel, il incite le destinataire à ouvrir une pièce jointe, prétextant qu'il s'agit d'une mise à jour anti-virus ou d'un patch de sécurité.

Une fois au coeur du système, il se met à s'auto-répliquer grâce à un moteur SMTP embarqué, utilisant toutes les adresses mail qu'il trouve dans les carnets d'adresses ou les fichiers disponibles sur le poste touché.

Faible activité en comparaison de Swen
Détecté pour la première fois le 24 octobre dernier aux Etats-Unis, puis dans 29 autres pays, le virus a été comptabilisé, pour l'heure, un peu moins de 8 000 fois, selon les chiffres communiqués par MessageLabs, atteignant un pic le 28 octobre, à presque 3 500 interceptions quotidiennes (sans aucune mesure avec les pointes à 250 000 interceptions quotidiennes du virus Swen.A à la fin du mois de septembre dernier).

L'éditeur d'anti-virus Panda Software a été le premier à nous contacter (le 27 octobre) pour nous signaler l'épidémie naissante. Selon Robert Daré, directeur des services de Panda Software et expert technologique : "le ver présente quelques nouveautés, notamment le fait d'être comprimé en format UPX, un protocole de compression pour exécutables qui ne nécessite pas de phase de décompression pour s'activer. Cela le rend difficile à détecter car il est envoyé en format MIME, certes corrompu, mais qui lui permet de se faire passer pour un fichier texte ou HTML, et non comme un exécutable".

Autres points de nouveauté soulevés par Robert Daré, le fichier media.dll créé par le ver, dans lequel il stocke toutes les adresses collectées sur le poste inoculé et qui lui permet de générer des courriels dont les expéditeurs et destinataires sont choisis aléatoirement.

Moyennement dangereux
Facile à détecter quand il a réussi à s'installer, Sober affiche une fenêtre disant "Error : File not complete!", simulant une erreur dans l'exécution d'un fichier. Les titres des courriels qui le véhiculent sont quant à eux très variés et les messages, écrits en langue anglaise ou allemande, peuvent ressembler à cela : "New Sobig variation in the net. You must change any settings before the worm control your computer! But, read the official statement from Norton Anti Virus!".

En savoir plus
Les pièces attachées ont des formats multiples : .exe, .com, .bat, .pif ou .scr. Selon les explications fournies par Kaspersky Labs, Sober crée dans le dossier système de Windows trois copies portant des noms différents, puis il les inscrit dans la base de registre. Il lance ensuite sa procédure de diffusion. Pour cela, il recherche, sur l'ordinateur infecté, des fichiers HTML, WAB, EML, PST, etc. pouvant contenir des adresses de courrier électronique et s'auto-transmet à ces adresses.

[Fabrice DEBLOCK, JDN Solutions]
 
Accueil | Haut de page
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Toutes nos newsletters