|
|
|
Sommaire Sécurité |
|
Sober.S tire profit de la coupe du monde 2006 de football |
Prétendant offrir des tickets gratuitement, cette variante de la famille Sober imite les adresses des instances officielles, se cache de l'utilisateur et bénéficie de son caractère multilingue.
(04/05/2005) |
|
|
En
savoir plus |
|
Dossier
Virus |
La famille de virus Sober refait surface au mois de mai avec
le lancement d'une nouvelle variante : Sober.S. Les éditeurs
McAfee, Panda et Trend Micro ont émis une alerte de niveau moyen
pour ce virus dont la principale nouveauté consiste à tromper
l'utilisateur en imitant les courriels du comité d'organisation
de la prochaine coupe du monde de football.
Si la cible est nouvelle, le principe de fonctionnement du
virus s'appuie sur des recettes bien connues mais toujours
efficaces. Avec Sober.S, aucune faille système n'est exploitée,
en revanche, la propagation du ver s'appuie sur l'ingénierie
sociale, c'est à dire l'interaction avec l'utilisateur. Pour
réussir à tromper la vigilance de l'internaute, deux moyens
ont été mis en uvre.
"Premier
élément, les courriers semblent provenir de l'organisation
officielle de la prochaine coupe du monde d'Allemagne. Les
adresses utilisées existent réellement et portent la marque
d'un organisme valide de la coupe du monde. Deuxième élément
caractéristique de Sober, les messages envoyés sont multilingues,
allemand et anglais dans le cas de Sober.S", affirme David
Kopp, directeur de la recherche et développement chez Trend
Micro.
En effet, Sober.S se présente sous la forme d'un nouveau
message en provenance d'adresses comme : Admin, Hostmaster,
Info, Postmaster, Register, Service ou Webmaster. L'objet
du message dispose également d'un traitement aléatoire sous
des titres comme : Re:, Your Password, mailing error ou Registration
Confirmation.
Un
message d'erreur s'affiche lors de l'exécution
de la pièce jointe. |
Le contenu du message laisse supposer à l'internaute qu'il
pourra gagner des tickets gratuits pour aller voir des matchs
lors de la coupe du monde 2006 de football qui se tiendra
en Allemagne. Une pièce jointe au nom aléatoire (ex : Passwort-info.zip,
account_info-text.zip, autoemail-text.zip) accompagne le courrier.
Le fichier se présente aussi en format Upx et pèse environ
53 Ko.
"Dernier point d'ingénierie sociale, un message d'erreur
va s'afficher lors de l'exécution de la pièce jointe, faisant
croire à l'utilisateur que le fichier n'a pas pu s'ouvrir
alors que le virus a bien été chargé", souligne David Kopp.
Le virus affecte tout système Windows depuis la version 98.
Disposant de son propre moteur SMTP, Sober.S entre dans la
catégorie des virus à diffusion de masse par email (mass-mailers).
En effet, une fois la machine infectée, il scanne l'ensemble
des fichiers susceptibles de contenir des adresses Internet
puis y envoie une copie de lui-même. Aucun client de messagerie
n'est nécessaire sur la machine du client pour fonctionner.
Il modifie la base de registre et supprime quelques fichiers
sur les machines infectées pour démarrer à chaque lancement
de l'ordinateur.
|
En
savoir plus |
|
Dossier
Virus |
Cependant, Sober.S reste simple à détecter et à éradiquer. Les éditeurs d'antivirus
proposent déjà des antidotes et après une mise à jour de l'antivirus,
l'utilisateur sera capable de détecter et d'éradiquer cette
nouvelle menace. Apparu en Allemagne, aux Etats-Unis et en Grande
Bretagne dans la soirée de lundi, Sober.S n'est toutefois pas
destructif mais peut causer un ralentissement du trafic réseau
en tant que mass-mailer.
Précisons enfin que selon les éditeurs d'antivirus), cette version
de Sober peut s'appeller Sober.P (McAfee) ou Sober.V (Panda). |
|
|
|
|