Sober : ver protéiforme
et spammeur Par JDNet Solutions (Benchmark Group) URL : http://www.journaldunet.com/solutions/0310/031030_sober.shtml Lancer l'impression Jeudi 30 octobre 2003
Une fois au coeur du système, il se met à s'auto-répliquer grâce à un moteur SMTP embarqué, utilisant toutes les adresses mail qu'il trouve dans les carnets d'adresses ou les fichiers disponibles sur le poste touché. Détecté pour la première fois le 24 octobre dernier aux Etats-Unis, puis dans 29 autres pays, le virus a été comptabilisé, pour l'heure, un peu moins de 8 000 fois, selon les chiffres communiqués par MessageLabs, atteignant un pic le 28 octobre, à presque 3 500 interceptions quotidiennes (sans aucune mesure avec les pointes à 250 000 interceptions quotidiennes du virus Swen.A à la fin du mois de septembre dernier). L'éditeur d'anti-virus Panda Software a été le premier à nous contacter (le 27 octobre) pour nous signaler l'épidémie naissante. Selon Robert Daré, directeur des services de Panda Software et expert technologique : "le ver présente quelques nouveautés, notamment le fait d'être comprimé en format UPX, un protocole de compression pour exécutables qui ne nécessite pas de phase de décompression pour s'activer. Cela le rend difficile à détecter car il est envoyé en format MIME, certes corrompu, mais qui lui permet de se faire passer pour un fichier texte ou HTML, et non comme un exécutable". Autres points de nouveauté soulevés par Robert Daré, le fichier media.dll créé par le ver, dans lequel il stocke toutes les adresses collectées sur le poste inoculé et qui lui permet de générer des courriels dont les expéditeurs et destinataires sont choisis aléatoirement. Moyennement dangereux Facile à détecter quand il a réussi à s'installer, Sober affiche une fenêtre disant "Error : File not complete!", simulant une erreur dans l'exécution d'un fichier. Les titres des courriels qui le véhiculent sont quant à eux très variés et les messages, écrits en langue anglaise ou allemande, peuvent ressembler à cela : "New Sobig variation in the net. You must change any settings before the worm control your computer! But, read the official statement from Norton Anti Virus!".
[Fabrice Deblock, JDNet] Pour tout problème de consultation, écrivez au Webmaster Copyrights et reproductions . Données personnelles Copyright 2006 Benchmark Group - 69-71 avenue Pierre Grenier 92517 Boulogne Billancourt Cedex, FRANCE |
|