Le ver Sobig fait un come-back réussi avec sa variante E. Son moteur d'envoi d'email est plus efficace et permet l'envoi de plusieurs courriers simultanément. Il brouille aussi les pistes en utilisant de fausses adresses d'expéditeurs, et il s'envoie compressé dans une archive. Et les antivirus se sont laissé piéger.

au sommaire


    Le virus Sobig.E a du punch

    Le virus Sobig.E a du punch

    Sobig.E se propage rapidement, principalement aux Etats-Unis (jusqu'à 57% des messages infectés au plus fort de l'épidémieépidémie, contre 20% en Europe selon la société Message Labs).
    La variante se présente sous la forme d'une archive ZIP qui contient elle-même le fichier infecté. Sobig.E utilise pour cela une vingtaine d'extensions connues, dont l'habituel .pif.
    Pour être infecté, il faut donc ouvrir l'archive ZIP et exécuter la pièce jointe qu'elle contient. Autant dire qu'il faut vraiment le vouloir ! Et pourtant, l'éditeur Symantec a du passer son niveau d'alerte du niveau 2 au niveau 3 (sérieux), preuve que les internautes (très) naïfs ne sont pas en voie de disparition.

    Une fois dans la place, Sobig.E recherche des adresses email à infecter en puisant aussi bien dans le carnet d'adresses d'Outlook que dans d'autres sources. Il pioche ainsi allègrement dans d'autres carnets d'adresses (fichiers .dbx ou .wab), des emails ou même des pages web conservées sur le PC, le plus souvent dans le cache du navigateur.

    Outre l'envoi d'un email infecté à toutes ces adresses (plusieurs courriers en même temps et de manière totalement autonome), le ver infecte aussi d'éventuels disques Windows partagés. Sobig.E est cependant programmé pour arrêter d'infecter le 14 juillet.

    Curieusement, les antivirusantivirus étaient dans leur majorité incapables de repérer Sobig.E au début de l'épidémie, alors qu'ils connaissent parfaitement toute la famille. Ils sont toutefois désormais capables de l'identifier, et plusieurs éditeurs ont également publié un utilitaireutilitaire dédié à son éradication.

    Pour en savoir plus : L'outil d'éradication gratuit de Symantec