Le ver Sober décortiqué

Infos-du-Net.comNous vous parlons à nouveau de l’une des petites bébêtes virtuelles les plus connues par les internautes et autres experts en sécurité, notamment en ce moment, dans la mesure où il devient de plus en plus médiatisé et de plus en plus gênant.
Cependant, des experts en sécurité comme F-Secure ou encore iDefense, qui a récemment annoncé que la prochaine attaque du ver pourrait avoir lieu le 5 janvier prochain, se donnent depuis quelque temps la peine d’effectuer de nombreuses recherches sur ce ver qui n’existe que depuis trop longtemps.
Ainsi, F-Secure affirme avoir craqué le ver et posséder aujourd’hui un peu plus d’informations sur lui...

C'est Sober compliqué un virus !

Voilà maintenant plus de deux ans que le ver Sober empoisonne la vie d’internautes de plus en plus nombreux, et cela en utilisant des ruses de mieux en mieux cachées.
Après s’être longtemps attardée sur le sujet, la société F-Secure affirme maintenant avoir craqué l’algorithme du ver, en apprenant alors plus sur lui.
Si les auteurs de toutes ces versions de Sober restent encore parfaitement anonymes, la sécurité fait un nouveau pas en avant en comprenant aujourd’hui le fonctionnement du virus encore effectif le plus répandu à l’heure actuelle.
S’il était jusqu’à maintenant connu et admit que le virus se connectait régulièrement à un site pour récupérer les instructions qu’il doit suivre, nous savons donc maintenant que cette adresse est régulièrement soumise à changement.
’Sober utilise un algorithme qui modifie de façon semi-aléatoire les URL de contact avec son ou ses auteurs, et ce chaque jour. 99% des URL en question n’existent tout simplement pas, mais l’algorithme peut calculer à l’avance quelle URL sera la plus appropriée en cas de besoin, notamment quand le ou les auteurs du ver veulent prendre le contrôle d’une machine distante ; dans un tel cas, il suffit d’entrer la bonne URL, de charger le programme, et voilà ! Ce système fonctionne simultanément avec des centaines de millions d’ordinateurs.’’
C’est donc ce qui devrait arriver le 5 janvier prochain pour les machines qui seront à ce moment-là toujours infectées par le virus.
Par mesure de sécurité, F-Secure a publié une liste de liens à interdire (que ce soit sur votre navigateur ou votre pare-feu) afin d’éviter une possible attaque :

- http://people.freenet.de/gixcihnm/

- http://scifi.pages.at/agzytvfbybn/

- http://home.pages.at/bdalczxpctcb/

- http://free.pages.at/ftvuefbumebug/

- http://home.arcor.de/ijdsqkkxuwp/

Il est bien sûr fortement conseillé de ne pas se connecter sur ces pages, et d'en bloquer immédiatement l'accès sur son ordinateur.
Bien entendu, et comme un responsable de Trend Micro le précise, bloquer ces adresses est déjà un pas en avant pour la sécurité, mais le meilleur moyen d’éviter d’être victime de ce ver est encore de s’assurer qu’il n’est pas sur votre système.

Source : Generation NT
Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
7 commentaires
    Votre commentaire
  • nxtreme
    Citation:
    S'il était jusqu'à maintenant connu et admit que le virus se connectait régulièrement à un site pour récupérer les instructions qu'il doit suivre,

    C'est amusant, un virus régulièrement mis à jour :p
    0
  • FodZy
    Clap,clap,clap...
    Point de vue conception y'a pas à dire, bravo l'auteur comme même ^^
    0
  • noldarn
    Dommage qu'il ne se serve pas de ses talents pour faire quelque-chose d'utile ...
    0