Sobig est un ver informatique qui a infecté en août 2003 des millions d'ordinateurs. Il utilisait alors une faille présente dans tous les systèmes d'exploitation Windows ultérieurs à windows 95 de Microsoft.

Bien que quelques essais eurent lieu sur le ver dès août 2002, c'est en janvier 2003 que l'on situe sa première apparition sous le nom de Sobig.A. Il fut alors suivi par Sobig.B en . Cette version fut tout d'abord nommée Palyh, mais peu de temps après, les experts en sécurité découvrirent qu'il s'agissait d'une évolution de Sobig et le renommèrent. Apparu à la fin du même mois, la troisième version Sobig.C fut neutralisé par la même mise à jour anti-virale que Sobig.B. Sobig.D arriva quelques semaines plus tard, suivi immédiatement par Sobig.E. Arriva enfin le plus connu d'entre toutes les versions, Sobig.F qui fut la véritable cause de l'épidémie.

Sobig est un ver informatique dans le sens où il se réplique lui-même par le biais des courriels. Il possède son propre serveur de messagerie et ne nécessite qu'une connexion à internet pour se répliquer. Il exploite une technique dite d’email spoofing, c’est-à-dire qu'il recherche aléatoirement une adresse électronique sur l'ordinateur infecté pour envoyer une copie de lui-même avec l'un de ces sujets :

  • Re: Approved
  • Re: Details
  • Re: Re: My details
  • Re: Thank you!
  • Re: That movie
  • Re: Wicked screensaver
  • Re: Your application
  • Thank you!
  • Your details

Le courriel infecté contient également un texte demandant l'ouverture des pièces jointes tel que : "See the attached file for details" ou "Please see the attached file for details".

Enfin, il contient l'une de ces pièces jointes où l'on retrouve le code malveillant :

  • application.pif
  • details.pif
  • document_9446.pif
  • document_all.pif
  • movie0045.pif
  • thank_you.pif
  • your_details.pif
  • your_document.pif
  • wicked_scr.scr

Mode opératoire

modifier

Le virus va rechercher au sein de l'ordinateur infecté une adresse qu'il puisse utiliser pour se répliquer. Le ver les recherche dans les documents portant les extensions suivantes :

  • .dbx
  • .eml
  • .hlp
  • .htm
  • .html
  • .mht
  • .wab
  • .txt

Le ver Sobig.F peut se propager d'une autre façon. Après chaque infection, il cherche à contacter 20 adresses IP aléatoires sur le port 8998. Il profite ainsi de la porte dérobée Wingate que l'on retrouve sur nombre d'ordinateurs, vestige d'une ancienne contamination. Cette porte est d'ailleurs souvent utilisée par les polluposteurs afin de distribuer des pourriels.

Sobig fut programmé grâce au logiciel Microsoft Visual C++, compilé, puis compressé par le programme tElock.

Pour l'histoire, Sobig se désactiva de lui-même le . Le 5 novembre de la même année, Microsoft annonçait qu'il paierait 250 000 $ à quiconque permettrait d'arrêter l'auteur de ce virus. Pour l'instant, aucune arrestation n'a encore eu lieu.

Liens externes

modifier