Hors sujet mais important, une attaque virale prevue pour dans 5 heures,( Blast.exe est deja du pass� ! )
 
Voir explications ci-dessous:
 
Date de publication : 22 / 8 / 2003
 
 Ce vendredi, � 21 heures, le virus Sobig va lancer son attaque pirate. Prudence ! Le virus mail Windows Sobig.F, le virus actuellement le plus r�pandu sur Internet avec 100 millions d'emails infect�s circulant sur Internet a cr�� depuis son apparition il y a 4 jours de nombreuses pannes et d'interruptions d'emails.
 

Mais le virus Sobig.F semble vouloir cr�er une surprise suppl�mentaire pour les utilisateurs d'Internet. Tous les ordinateurs infect�s entrent dans une deuxi�me phase aujourd'hui, Vendredi 22 ao�t 2003. Ces ordinateurs vont utiliser les horloges atomiques pour synchroniser l'activation du code au m�me moment � travers le monde : � 19:00 UTC (12:00 � San Fransisco, 20:00 � Londres, 21:00 Paris, 05:00 Samedi � Sydney).
 

A ce moment le ver se connectera � des machines r�pertori�es dans le code crypt� du virus. La liste contient l'adresse de 20 machines situ�es aux USA, au Canada et en Cor�e du Sud.
 

"Ces 20 machines semblent �tre des PC de maison classiques, connect�s � Internet avec une connexion type ADSL", explique Alexandre Durante, Directeur G�n�ral de F-Secure France. "Il semblerait que le groupe qui se trouve derri�re Sobig les utilise pour qu'elles jouent un r�le dans cette attaque."
 

Le ver se connecte � l'une de ces 20 machines en s'authentifiant � l'aide d'un code de 8 bytes. Les serveurs r�pondent avec une adresse Web. Les machines infect�es t�l�chargent un logiciel � partir de cette adresse et l'ex�cutent. A l'heure actuelle il n'y a aucune information concernant la nature du programme ex�cut�.
 

F-Secure a pu p�n�trer dans le syst�me et craquer le cryptage du virus mais l'adresse web envoy�e par les serveurs ne m�ne nulle part. "Les d�veloppeurs du virus savent que nous pouvons casser leur code avant l'heure de l'attaque, l'analyser et trouver une contre attaque", explique Mikko Hypponen, Directeur du centre de recherche Anti-Virus de F-Secure. "Leur plan est donc de changer l'adresse web quelques secondes avant l'attaque par celle vers laquelle ils veulent diriger le virus. Au moment o� nous aurons une copie du fichier, les machines infect�es l'auront d�j� t�l�charg� et ex�cut�."
 

Personne ne sait encore ce que ce programme peu faire. Il pourrait cr�er beaucoup de dommages, supprimer des fichiers ou encore lancer des attaques r�seau. Les pr�c�dentes versions de Sobig accomplissaient des actions similaires mais moins complexes. Avec Sobig.E le ver t�l�chargeait un logiciel qui supprimait le virus lui-m�me (pour effacer ses traces, ndlr) et d�robait ensuite les mots de passe r�seau et web des utilisateurs. Le ver installe ensuite un proxy mail qui lui permet d'envoyer des emails avec l'adresse de l'ordinateur infect� sans que l'utilisateur soit au courant. Il a en particulier �t� utilis� par les spammeurs pour envoyer leurs emails commerciaux. Sobig.F pourrait faire de m�me.. mais nous ne le saurons qu'apr�s 21:00, aujourd'hui.
 

"D�s que nous avons pu craquer le cryptage utilis� par le virus pour cacher la liste des 20 machines, nous avons essay� de les neutraliser", poursuit Mikko Hypponen. F-Secure collabore avec les autorit�s et les diverses organisations CERT afin de d�connecter ces machines du Web. "Malheuresement, les cr�ateurs du virus ont �galement anticip� une telle action. (...) Les 20 machines ont �t� s�lectionn�es sur les r�seaux de diff�rents op�rateurs ce qui laisse � penser que nous n'aurons pas assez de temps pour toutes les identifier et les neutraliser(...) M�me si une seule machine reste active se sera suffisant pour le virus."
 

Compte tenu des techniques tr�s avanc�es utilis�es par le virus il semble �vident qu'il n'a pas �t� �crit par un jeune adolescent cr�ateur de virii. Le fait que les pr�c�dentes versions aient �t� largement utilis�es par les spammeurs ajoute l'�l�ment du gain financier. Qui se cache derri�re tout cela? "Cela me semble �tre du crime organis�", termine Mikko Hypponen.

Répondre à