Ver Sobig

Ver Sobig

Sobig

Crystal Clear app virus detected.png
Cet article fait partie de la série
Programmes malveillants
Virus
Cabir - MyDoom.A
Tchernobyl - Yamanner
Ver
Bagle - Blaster
Code Red - I love you
Melissa - Morris
NetSky - Nimda
SQL Slammer - Santy
Sasser - Sobig
Cheval de Troie
Back Orifice - SubSeven
ByteVerify - XXXDial
Logiciel espion
CoolWebSearch - Cydoor
Gator - New.net
SaveNow
Composeur d’attaque
ToneLoc
Voir aussi
Logiciel malveillant
Sécurité informatique
Programmation

Sobig est un ver informatique qui a infecté en Août 2003 des millions d'ordinateurs. Il utilisait alors une faille présente dans tous les systèmes d'exploitation Windows ultérieurs à windows 95 de Microsoft.

Bien que quelques essais eurent lieu sur le ver dès Août 2002, c'est en janvier 2003 que l'on situe sa première apparition sous le nom de Sobig.A.Il fut alors suivi par Sobig.B en mai 2003. Cette version tout d'abord nommé Palyh, mais peu de temps après, les experts en sécurité découvrirent qu'il s'agissait d'une évolution de Sobig et le renommèrent donc. Apparu à la fin du même mois la troisième version Sobig.C qui fut neutralisé par la même mise à jour anti-virale que Sobig.B. Sobig.D arriva quelques semaines plus tard, suivi immédiatement par Sobig.E. Arriva enfin, le plus connu d'entre toutes les versions, Sobig.F qui fut la véritable cause de l'épidémie.

Sobig est un ver informatique dans le sens où il se réplique par lui-même par le biais des courriels. Il possède son propre serveur de messagerie et ne nécessite qu'une connexion à Internet pour se répliquer. Il exploite une technique dite d’email spoofing, c’est-à-dire qu'il recherche aléatoirement une adresse électronique sur l'ordinateur infecté pour envoyer une copie de lui-même avec l'un de ces sujets :

  • Re: Approved
  • Re: Details
  • Re: Re: My details
  • Re: Thank you!
  • Re: That movie
  • Re: Wicked screensaver
  • Re: Your application
  • Thank you!
  • Your details

Le courriel infecté contient également un texte demandant l'ouverture des pièces jointes tel que : "See the attached file for details" ou "Please see the attached file for details."

Enfin, il contient l'une de ces pièces jointes où l'on retrouve le code malveillant :

  • application.pif
  • details.pif
  • document_9446.pif
  • document_all.pif
  • movie0045.pif
  • thank_you.pif
  • your_details.pif
  • your_document.pif
  • wicked_scr.scr

Mode opératoire

Le virus va rechercher au sein de l'ordinateur infecté une adresse qu'il puisse utiliser pour se répliquer. Le ver les recherche dans les documents portant les extensions suivantes :

  • .dbx
  • .eml
  • .hlp
  • .htm
  • .html
  • .mht
  • .wab
  • .txt

Le vers Sobig.F peut se propager d'une autre façon. Après chaque infection, le ver va chercher à contacter 20 adresses IP aléatoires sur le port 8998. Il profite ainsi de la porte dérobée Wingate que l'on retrouve sur nombre d'ordinateurs, vestige d'une ancienne contamination. Cette porte est d'ailleurs souvent utilisé par les polluposteurs afin de distribuer des pourriels.

Sobig fut programmé grâce au logiciel Microsoft Visual C++, compilé, puis compressé par le programme tElock.

Pour l'histoire, Sobig se désactiva de lui-même le 10 septembre 2003. Le 5 novembre de la même année, Microsoft annoncait qu'il paierait 250 000 $ à quiconque permettrait d'arrêter l'auteur de ce virus. Pour l'instant, aucune arrestation n'a encore eu lieu.

Liens

  • Portail de la sécurité informatique Portail de la sécurité informatique
Ce document provient de « Sobig ».

Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article Ver Sobig de Wikipédia en français (auteurs)

Игры ⚽ Поможем сделать НИР

Regardez d'autres dictionnaires:

  • Sobig — est un ver informatique qui a infecté en août 2003 des millions d ordinateurs. Il utilisait alors une faille présente dans tous les systèmes d exploitation Windows ultérieurs à windows 95 de Microsoft. Bien que quelques essais eurent lieu sur le… …   Wikipédia en Français

  • Ver Morris — Morris (ver informatique) Pour les articles homonymes, voir Morris (homonymie). Cet article fait partie de la série Programmes malveillants …   Wikipédia en Français

  • Ver Nimda — Nimda Cet article fait partie de la série Programmes malveillants Virus Cabir MyDoom.A Tchernobyl Yaman …   Wikipédia en Français

  • Ver Blaster — Blaster Cet article fait partie de la série Programmes malveillants Virus Cabir MyDoom.A Tchernobyl Yam …   Wikipédia en Français

  • Ver I love you — I love you (ver informatique) Pour les articles homonymes, voir I love you. Cet article fait partie de la série Programmes malveillants …   Wikipédia en Français

  • Ver Sasser — Sasser Cet article fait partie de la série Programmes malveillants Virus Cabir MyDoom.A Tchernobyl Yama …   Wikipédia en Français

  • Ver Code Red — Code Red Cet article fait partie de la série Programmes malveillants Virus Cabir MyDoom.A Tchernobyl Y …   Wikipédia en Français

  • Ver SQL Slammer — SQL Slammer Cet article fait partie de la série Programmes malveillants Virus Cabir MyDoom.A Tchernobyl …   Wikipédia en Français

  • Enregistreur de frappe — En informatique, un enregistreur de frappe (en anglais, keylogger) est un équipement ou un logiciel qui espionne électroniquement l utilisateur d un ordinateur. Les enregistreurs de frappes peuvent êtres légitimes ou malveillants, la séparation… …   Wikipédia en Français

  • Vers informatiques — Ver informatique Pour les articles homonymes, voir Ver (homonymie). Cet article fait partie de la série Programmes malveillants …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”