Sobre (ver) - Sober (worm)

Le ver Sober est une famille de vers informatiques découverts le 24 octobre 2003. Comme de nombreux vers, Sober s'envoie sous forme de pièce jointe à un e-mail , de fausses pages Web, de fausses annonces pop-up et de fausses publicités.

Les vers Sober doivent être décompressés et exécutés par l'utilisateur. Lors de l'exécution, Sober se copie dans l'un des nombreux fichiers du répertoire Windows, selon la variante. Il ajoute ensuite les clés appropriées au registre Windows , ainsi que quelques fichiers vides dans le répertoire Windows. Ces fichiers vides sont utilisés pour désactiver les variantes précédentes de Sober.

Sober est écrit en Visual Basic et ne fonctionne que sur la plate-forme Microsoft Windows .

Variantes connues

• Sobre.L
• Sobre.T
• Sobre.X
• Sobre.Y
• Sobre.Z

Alias

• CME-681
• WORM_SOBER.AG
• W32/Sobre-{XZ}
• Win32.Sober.W
• Win32.Sober.O
• Sober.Y (pas une variante, mais un autre nom pour Sober.X, souvent utilisé par F-Secure )
• S32/Sobre@MMIM681
• W32/Sobre.AA@mm

Plateformes concernées

• Famille Microsoft Windows
  • Windows 95
  • Windows 98
  • Windows NT
  • Windows Moi
  • Windows 2000
  • Windows XP
  • Serveur Windows 2003

Actions

Infection

Les vers Sober doivent être décompressés et exécutés par l'utilisateur. Lors de l'exécution, Sober se copie dans l'un des fichiers suivants du répertoire Windows : -

• antiv.exe
• csrss.exe
• driver.exe
• driverini.exe
• drv.exe
• explorer.exe
• fileexe.exe
• hlp16.exe
• lssas.exe
• qname.exe
• services.exe
• smss.exe
• spoole.exe
• swchost.exe
• syshost.exe
• systemchk.exe
• systemini.exe
• winchk.exe
• winlog32.exe
• winreg.exe

Il ajoute ensuite les clés appropriées au registre Windows pour assurer l'activation au démarrage de Windows, ainsi que quelques fichiers vides dans le répertoire Windows. Ces fichiers vides sont utilisés pour désactiver les variantes précédentes de Sober.

Diffuser

Sober peut s'envoyer des e-mails à toutes les adresses du carnet d'adresses e-mail d'un utilisateur. Il se propage par e-mail en utilisant son propre moteur SMTP .

Désactivation du logiciel de sécurité

Sober peut désactiver plusieurs logiciels antivirus populaires , ainsi que Microsoft AntiSpyware et HijackThis .

Éclosions

1. 24 octobre 2003 – Première découverte
2. 3 mars 2005 – Sober.L
3. 14 novembre 2005 – Sober.T
4. 15 novembre 2005 – Sober.X

Épidémie du 21 novembre 2005

Des e-mails contenant le ver Sober X ont été envoyés sur Internet déguisés en e-mail du Federal Bureau of Investigation ou de la Central Intelligence Agency , deux organisations du gouvernement des États-Unis . L'e-mail affirmait que le destinataire avait été surpris en train de visiter des sites Web illégaux et demandait à l'utilisateur d'ouvrir une pièce jointe pour répondre à certaines questions. Une fois la pièce jointe infectée ouverte, divers événements endommageant le système se sont produits : l'antivirus et d'autres mesures de sécurité ont été désactivés, ainsi que la possibilité d'accéder aux sites Web pour obtenir de l'aide ; de plus, les contacts du carnet d'adresses de l'utilisateur ont reçu un e-mail identique. On soupçonne également que Sober.X fonctionne comme un logiciel espion en volant des informations personnelles sur l'utilisateur infecté.

MessageLabs, une société de sécurité informatique, a détecté au moins trois millions de copies dans les 24 heures suivant l'évasion, et McAfee , une autre société de recherche sur la sécurité des systèmes, a signalé plus de 70 000 cas de virus sur des ordinateurs grand public.

Un e-mail similaire a circulé en Allemagne. Prétendant avoir été envoyé par le Bundeskriminalamt , l'e-mail indiquait à ses lecteurs qu'ils avaient été surpris en train de télécharger des logiciels « piratés ». Sober.X a été inclus dans une pièce jointe.

Motivations politiques

En mai 2005, la variante Sober.Q est apparue. Alors que les variantes précédentes semblaient être motivées par un gain commercial ou par une intention malveillante, celle-ci était la première à sembler politiquement motivée.

D'autres variantes (telles que Sober.B) ont envoyé des e-mails avec des en-têtes de sujet indiquaient également une intention politique, mais ceux-ci semblaient être conçus pour éveiller l'intérêt de la victime, afin qu'elle ouvre la pièce jointe de l'e-mail. Sober.Q n'envoie pas de courriels avec pièces jointes, préférant plutôt des liens vers des sites Web sans virus.

Sober.Q s'est répandu sur les ordinateurs pour envoyer des messages de soutien aux groupes d' extrême droite en Allemagne en attendant les élections locales dans l'état de Rhénanie du Nord-Westphalie . La plupart semblaient soutenir ou directement le parti politique allemand NPD (Parti nationaliste d'Allemagne) avec des liens vers leur site Web, ainsi que d'autres entrées sur le forum. On ne sait cependant pas si ce virus provient du NPD lui-même, de partisans du parti, d'un groupe de pirates informatiques essayant de rejeter la faute sur le parti ou d'un groupe tentant de discréditer le parti.

Semblable à l'incident ci-dessus, le virus Sober a été utilisé à nouveau en 2005 par un groupe allemand non identifié pour envoyer une large diffusion de liens vers divers articles et commentaires politiques. L'effort semblait être lié aux élections allemandes à peu près à la même période.

Les références

Liens externes

• " Le virus Internet circule déguisé en e-mail du gouvernement américain ." Wikinews, 26 novembre 2005.
• Article de presse de la BBC