Bonjour,

La firme de sécurité F-secure a déclaré avoir cracké le code du ver Sober, tête de liste dans les différents classements des malwares les plus actifs. La première racine de Sober a été découverte en octobre 2003. Depuis, retrace F-Secure, près de 20 variantes ont pollué plus ou moins le réseau et la vie des internautes.

Des traits sont communs parmi toutes ces variantes : une routine pour programmer l’activation du malware à une date future, mentionnons encore des tentatives de téléchargement et d’exécution depuis plusieurs sites. En dernière date, les derniers Sober tentent de télécharger une des variantes les plus récentes, afin de menacer d’infection la masse des machines déjà concernées. Sober.Y est à ce jour celui qui remporte le plus de « succès » puisqu’il décroche près de 50% des activités infectieuses.

L’éditeur est parvenu à lister l’ensemble des URL ciblées par les virus en question. « Les auteurs de virus savent bien que s’ils utilisent une simple adresse constante dans le code du virus, elle sera bloquée rapidement » indique le blog de F-secure avant d’ajouter que « au lieu de cela, Sober utilse un algorithme pour créer des adresses pseudo aléatoires qui changeront en fonction de la date en cours. » Toutes les URL pointent cependant vers des site d’hébergement gratuits basés en Allemagne ou Autriche et, fait rassurant en apparence, « 99% des URL générées par ce virus n’existent simplement pas. » Toutefois, cela n’atténue en rien la dangerosité du système selon F-Secure, puisque l’auteur peut précalculer l’URL cible pour n’importe quelle date. Du coup, lorsqu’il souhaite faire exécuter sur toutes les machines infectées, il lui suffit d’enregistrer la bonne URL, de déposer le programme désiré et il se contente d’attendre sagement.

F-Secure dit avoir déjà cassé l’algorithme de Sober il y a bien longtemps (mai 2005) et affirme avoir informé la police allemande ainsi que les hébergeurs concernés.
F-Secure invite les administrateurs à bloquer les URL actuelles, ainsi que celles programmées pour le 5 janvier, lors de la prochaine date d’activation de Sober.Y. F-Secure explique enfin avoir publié cette liste seulement maintenant, afin de piéger les viles intentions du créateur de Sober. Cacher la découverte n’aurait cependant plus de sens aujourd’hui, l’auteur de Sober s’étant sans doute rendu compte du pot aux roses. Dans le cas contraire, il pourra maintenant toujours adapter ses prochaines variantes...

Source: PC Inpact

D’après les calculs de F-Secure, le 5 janvier 2006, toutes les machines infectées—et non réparées…--par la dernière variante de Sober tenteront de récupérer un fichier de mise à jour auprès des sites suivants (les liens ont été désactivés, pour des raisons évidentes…) :

Attention: Ne cliquer pas sur ces liens, vous risquerez d'être infectés.

* http://people.freenet.de/gixcihnm/


* http://scifi.pages.at/agzytvfbybn/


* http://home.pages.at/bdalczxpctcb/


* http://free.pages.at/ftvuefbumebug/


* http://home.arcor.de/ijdsqkkxuwp/


F-Secure recommande aux internautes d’interdire l’accès à ces sites (par exemple en les entrant dans la Liste Noire de leur navigateur Internet) afin d’empêcher le ver de muter après sa mise à jour.

Un responsable de Trend Micro estime de son côté que bloquer ces sites est une bonne chose, mais que le meilleur moyen de se prémunir contre les ravages de Sober est avant tout de s’assurer qu’il n’est pas présent sur votre machine.

Source: Génération NT