Sobig

Sobig est un ver informatique qui a infecté en août 2003 des millions d'ordinateurs. Il utilisait alors une faille présente dans tous les systèmes d'exploitation Windows ultérieurs à windows 95 de Microsoft.

Bien que quelques essais eurent lieu sur le ver dès août 2002, c'est en janvier 2003 que l'on situe sa première apparition sous le nom de Sobig.A. Il fut alors suivi par Sobig.B en mai 2003. Cette version fut tout d'abord nommée Palyh, mais peu de temps après, les experts en sécurité découvrirent qu'il s'agissait d'une évolution de Sobig et le renommèrent. Apparu à la fin du même mois, la troisième version Sobig.C fut neutralisé par la même mise à jour anti-virale que Sobig.B. Sobig.D arriva quelques semaines plus tard, suivi immédiatement par Sobig.E. Arriva enfin le plus connu d'entre toutes les versions, Sobig.F qui fut la véritable cause de l'épidémie.

Sobig est un ver informatique dans le sens où il se réplique lui-même par le biais des courriels. Il possède son propre serveur de messagerie et ne nécessite qu'une connexion à internet pour se répliquer. Il exploite une technique dite d’email spoofing, c’est-à-dire qu'il recherche aléatoirement une adresse électronique sur l'ordinateur infecté pour envoyer une copie de lui-même avec l'un de ces sujets :

Re: Approved
Re: Details
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Thank you!
Your details

Le courriel infecté contient également un texte demandant l'ouverture des pièces jointes tel que : "See the attached file for details" ou "Please see the attached file for details".

Enfin, il contient l'une de ces pièces jointes où l'on retrouve le code malveillant :

application.pif
details.pif
document_9446.pif
document_all.pif
movie0045.pif
thank_you.pif
your_details.pif
your_document.pif
wicked_scr.scr

Mode opératoire[modifier | modifier le code]

Le virus va rechercher au sein de l'ordinateur infecté une adresse qu'il puisse utiliser pour se répliquer. Le ver les recherche dans les documents portant les extensions suivantes :

.dbx
.eml
.hlp
.htm
.html
.mht
.wab
.txt

Le ver Sobig.F peut se propager d'une autre façon. Après chaque infection, il cherche à contacter 20 adresses IP aléatoires sur le port 8998. Il profite ainsi de la porte dérobée Wingate que l'on retrouve sur nombre d'ordinateurs, vestige d'une ancienne contamination. Cette porte est d'ailleurs souvent utilisée par les polluposteurs afin de distribuer des pourriels.

Sobig fut programmé grâce au logiciel Microsoft Visual C++, compilé, puis compressé par le programme tElock.

Pour l'histoire, Sobig se désactiva de lui-même le 10 septembre 2003. Le 5 novembre de la même année, Microsoft annonçait qu'il paierait 250 000 $ à quiconque permettrait d'arrêter l'auteur de ce virus. Pour l'instant, aucune arrestation n'a encore eu lieu.

Liens externes[modifier | modifier le code]

Informations sur Sobig par Symantec
SoBig Worm removal Informations sur le Sobig et quelques outils de réparation
http://www.lurhq.com/sobig.html
So, who wrote SoBig? Article au sujet de l'auteur du virus

Portail de la sécurité informatique

v · m Attaques, menaces et programmes informatiques malveillants
Vers	Attaque par déni de service (Denial of service) Code Rouge (Code Red) Débordement tampon (Buffer overflow) De réseau Bugbear ExploreZip (I-Worm.ZippedFiles) Flame (Worm.Win32.Flame) Here you have (via courriel) I love you (Love Letter) Sapphire (Slammer) Spambot (Spam robotisé) Stuxnet (via clé USB) Ver de script (Script Worm)
Chevaux de Troie	Bombe (Bomb) Cliqueur (Modificateur du fichier Hosts) Code automodifiable (Self-modifying code) Espiogiciel (Spyware) Injecteur (Dropper) Notificateur (Trojan) Porte dérobée (Backdoor) Rançongiciel (Ransomware) Scanneur de vulnérabilité (Vulnerability scanner) Trojan Rustock (Botnet Rustock) Trojan Srizbi (Botnet Exchanger) Trojan Storm (Botnet Storm) Zombificateur (Zombie)
Virus	Autorépliquant (Wabbit) De fichier Du secteur d’amorçage (boot) De script Macrovirus Ping-Pong virus Virus polymorphe
Autres	KeyRaider XcodeGhost