- Ver Sobig
-
Sobig
Cet article fait partie de la série
Programmes malveillantsVirus Cabir - MyDoom.A
Tchernobyl - YamannerVer Bagle - Blaster
Code Red - I love you
Melissa - Morris
NetSky - Nimda
SQL Slammer - Santy
Sasser - SobigCheval de Troie Back Orifice - SubSeven
ByteVerify - XXXDialLogiciel espion CoolWebSearch - Cydoor
Gator - New.net
SaveNowComposeur d’attaque ToneLoc Voir aussi Logiciel malveillant
Sécurité informatique
ProgrammationSobig est un ver informatique qui a infecté en Août 2003 des millions d'ordinateurs. Il utilisait alors une faille présente dans tous les systèmes d'exploitation Windows ultérieurs à windows 95 de Microsoft.
Bien que quelques essais eurent lieu sur le ver dès Août 2002, c'est en janvier 2003 que l'on situe sa première apparition sous le nom de Sobig.A.Il fut alors suivi par Sobig.B en mai 2003. Cette version tout d'abord nommé Palyh, mais peu de temps après, les experts en sécurité découvrirent qu'il s'agissait d'une évolution de Sobig et le renommèrent donc. Apparu à la fin du même mois la troisième version Sobig.C qui fut neutralisé par la même mise à jour anti-virale que Sobig.B. Sobig.D arriva quelques semaines plus tard, suivi immédiatement par Sobig.E. Arriva enfin, le plus connu d'entre toutes les versions, Sobig.F qui fut la véritable cause de l'épidémie.
Sobig est un ver informatique dans le sens où il se réplique par lui-même par le biais des courriels. Il possède son propre serveur de messagerie et ne nécessite qu'une connexion à Internet pour se répliquer. Il exploite une technique dite d’email spoofing, c’est-à-dire qu'il recherche aléatoirement une adresse électronique sur l'ordinateur infecté pour envoyer une copie de lui-même avec l'un de ces sujets :
- Re: Approved
- Re: Details
- Re: Re: My details
- Re: Thank you!
- Re: That movie
- Re: Wicked screensaver
- Re: Your application
- Thank you!
- Your details
Le courriel infecté contient également un texte demandant l'ouverture des pièces jointes tel que : "See the attached file for details" ou "Please see the attached file for details."
Enfin, il contient l'une de ces pièces jointes où l'on retrouve le code malveillant :
- application.pif
- details.pif
- document_9446.pif
- document_all.pif
- movie0045.pif
- thank_you.pif
- your_details.pif
- your_document.pif
- wicked_scr.scr
Mode opératoire
Le virus va rechercher au sein de l'ordinateur infecté une adresse qu'il puisse utiliser pour se répliquer. Le ver les recherche dans les documents portant les extensions suivantes :
- .dbx
- .eml
- .hlp
- .htm
- .html
- .mht
- .wab
- .txt
Le vers Sobig.F peut se propager d'une autre façon. Après chaque infection, le ver va chercher à contacter 20 adresses IP aléatoires sur le port 8998. Il profite ainsi de la porte dérobée Wingate que l'on retrouve sur nombre d'ordinateurs, vestige d'une ancienne contamination. Cette porte est d'ailleurs souvent utilisé par les polluposteurs afin de distribuer des pourriels.
Sobig fut programmé grâce au logiciel Microsoft Visual C++, compilé, puis compressé par le programme tElock.
Pour l'histoire, Sobig se désactiva de lui-même le 10 septembre 2003. Le 5 novembre de la même année, Microsoft annoncait qu'il paierait 250 000 $ à quiconque permettrait d'arrêter l'auteur de ce virus. Pour l'instant, aucune arrestation n'a encore eu lieu.
Liens
- Informations sur Sobig par Symantec
- SoBig Worm removal Informations sur le Sobig et quelques outils de réparation
- http://www.lurhq.com/sobig.html
- So, who wrote SoBig? Article au sujet de l'auteur du virus
- Portail de la sécurité informatique
Catégorie : Ver informatique
Wikimedia Foundation. 2010.