Sobig
Un article de Wikipédia, l'encyclopédie libre.
 |
| Cet article fait partie de la série Programmes malveillants |
| Virus |
| Cabir - MyDoom.A Tchernobyl - Yamanner |
| Ver |
| Bagle - Blaster Code Red - I love you Melissa - Morris NetSky - Nimda SQL Slammer - Santy Sasser - Sobig |
| Cheval de Troie |
| Back Orifice - SubSeven ByteVerify - XXXDial |
| Logiciel espion |
| CoolWebSearch - Cydoor Gator - New.net SaveNow |
| Composeur d’attaque |
| ToneLoc |
| Voir aussi |
| Logiciel malveillant Sécurité informatique Programmation |
Sobig est un ver informatique qui a infecté en Août 2003 des millions d'ordinateurs. Il utilisait alors une faille présente dans tous les système d'exploitation Windows ultérieurs à windows 95 de Microsoft.
Bien que quelques essais eurent lieu sur le ver dès Août 2002, c'est en janvier 2003 que l'on situe sa première apparition sous le nom de Sobig.A.Il fut alors suivi par Sobig.B en mai 2003. Cette version tout d'abord nommé Palyh, mais peu de temps après, les experts en sécurité découvrirent qu'il s'agissait d'une évolution de Sobig et le renommèrent donc. Apparu à la fin du même mois la troisième version Sobig.C qui fut neutralisé par la même mise à jour anti-virale que Sobig.B. Sobig.D arriva quelques semaines plus tard, suivi immédiatement par Sobig.E. Arriva enfin, le plus connu d'entre toutes les versions, Sobig.F qui fut la véritable cause de l'épidémie.
Sobig est un ver informatique dans le sens où il se réplique par lui-même par le biais des courriels. Il possède son propre serveur de messagerie et ne nécessite qu'une connexion à Internet pour se répliquer. Il exploite une technique dite d’email spoofing, c’est-à-dire qu'il recherche aléatoirement une adresse électronique sur l'ordinateur infecté pour envoyer une copie de lui-même avec l'un de ces sujets :
- Re: Approved
- Re: Details
- Re: Re: My details
- Re: Thank you!
- Re: That movie
- Re: Wicked screensaver
- Re: Your application
- Thank you!
- Your details
Le courriel infecté contient également un texte demandant l'ouverture des pièces jointes tel que : "See the attached file for details" ou "Please see the attached file for details."
Enfin, il contient l'une de ces pièces jointes où l'on retrouve le code malveillant :
- application.pif
- details.pif
- document_9446.pif
- document_all.pif
- movie0045.pif
- thank_you.pif
- your_details.pif
- your_document.pif
- wicked_scr.scr
[modifier] Mode opératoire
Le virus va rechercher au sein de l'ordinateur infecté une adresse qu'il puisse utiliser pour se répliquer. Le ver les recherche dans les documents portant les extensions suivantes :
- .dbx
- .eml
- .hlp
- .htm
- .html
- .mht
- .wab
- .txt
Le vers Sobig.F peut se propager d'une autre façon. Après chaque infection, le ver va chercher à contacter 20 adresses IP aléatoires sur le port 8998. Il profite ainsi de la porte dérobée Wingate que l'on retrouve sur nombre d'ordinateurs, vestige d'une ancienne contamination. Cette porte est d'ailleurs souvent utilisé par les polluposteurs afin de distribuer des pourriels.
Sobig fut programmé grâce au logiciel Microsoft Visual C++, compilé, puis compressé par le programme tElock.
Pour l'histoire, Sobig se désactiva de lui-même le 10 septembre 2003. Le 5 novembre de la même année, Microsoft annoncait qu'il paierait 250 000 $ à quiconque permettrait d'arrêter l'auteur de ce virus. Pour l'instant, aucune arrestation n'a encore eu lieu.
[modifier] Liens
- Informations sur Sobig par Symantec
- SoBig Worm removal Informations sur le Sobig et quelques outils de réparation
- http://www.lurhq.com/sobig.html
- So, who wrote SoBig? Article au sujet de l'auteur du virus
