Publié le 22-08-2003 à 00:00:00 dans le thème A RANGER !

Pays : France - Auteur : Damien Bancal

Pub : Participez à des batailles navales sanglantes et gagnez 10000 € sur Bigpoint.fr

Ce vendredi, à 21 heures, le virus Sobig va lancer son attaque pirate. Prudence ! Le virus mail Windows Sobig.F, le virus actuellement le plus répandu sur Internet avec 100 millions d'emails infectés circulant sur Internet a créé depuis son apparition il y a 4 jours de nombreuses pannes et d'interruptions d'emails.

Mais le virus Sobig.F semble vouloir créer une surprise supplémentaire pour les utilisateurs d'Internet. Tous les ordinateurs infectés entrent dans une deuxième phase aujourd'hui, Vendredi 22 août 2003. Ces ordinateurs vont utiliser les horloges atomiques pour synchroniser l'activation du code au même moment à travers le monde : à 19:00 UTC (12:00 à San Fransisco, 20:00 à Londres, 21:00 Paris, 05:00 Samedi à Sydney).

A ce moment le ver se connectera à des machines répertoriées dans le code crypté du virus. La liste contient l'adresse de 20 machines situées aux USA, au Canada et en Corée du Sud.

"Ces 20 machines semblent être des PC de maison classiques, connectés à Internet avec une connexion type ADSL", explique Alexandre Durante, Directeur Général de F-Secure France. "Il semblerait que le groupe qui se trouve derrière Sobig les utilise pour qu'elles jouent un rôle dans cette attaque."

Le ver se connecte à l'une de ces 20 machines en s'authentifiant à l'aide d'un code de 8 bytes. Les serveurs répondent avec une adresse Web. Les machines infectées téléchargent un logiciel à partir de cette adresse et l'exécutent. A l'heure actuelle il n'y a aucune information concernant la nature du programme exécuté.

F-Secure a pu pénétrer dans le système et craquer le cryptage du virus mais l'adresse web envoyée par les serveurs ne mène nulle part. "Les développeurs du virus savent que nous pouvons casser leur code avant l'heure de l'attaque, l'analyser et trouver une contre attaque", explique Mikko Hypponen, Directeur du centre de recherche Anti-Virus de F-Secure. "Leur plan est donc de changer l'adresse web quelques secondes avant l'attaque par celle vers laquelle ils veulent diriger le virus. Au moment où nous aurons une copie du fichier, les machines infectées l'auront déjà téléchargé et exécuté."

Personne ne sait encore ce que ce programme peu faire. Il pourrait créer beaucoup de dommages, supprimer des fichiers ou encore lancer des attaques réseau. Les précédentes versions de Sobig accomplissaient des actions similaires mais moins complexes. Avec Sobig.E le ver téléchargeait un logiciel qui supprimait le virus lui-même (pour effacer ses traces, ndlr) et dérobait ensuite les mots de passe réseau et web des utilisateurs. Le ver installe ensuite un proxy mail qui lui permet d'envoyer des emails avec l'adresse de l'ordinateur infecté sans que l'utilisateur soit au courant. Il a en particulier été utilisé par les spammeurs pour envoyer leurs emails commerciaux. Sobig.F pourrait faire de même.. mais nous ne le saurons qu'après 21:00, aujourd'hui.

"Dès que nous avons pu craquer le cryptage utilisé par le virus pour cacher la liste des 20 machines, nous avons essayé de les neutraliser", poursuit Mikko Hypponen. F-Secure collabore avec les autorités et les diverses organisations CERT afin de déconnecter ces machines du Web. "Malheuresement, les créateurs du virus ont également anticipé une telle action. (...) Les 20 machines ont été sélectionnées sur les réseaux de différents opérateurs ce qui laisse à penser que nous n'aurons pas assez de temps pour toutes les identifier et les neutraliser(...) Même si une seule machine reste active se sera suffisant pour le virus."

Compte tenu des techniques très avancées utilisées par le virus il semble évident qu'il n'a pas été écrit par un jeune adolescent créateur de virii. Le fait que les précédentes versions aient été largement utilisées par les spammeurs ajoute l'élément du gain financier. Qui se cache derrière tout cela? "Cela me semble être du crime organisé", termine Mikko Hypponen.