Depuis quelques semaines, ceux qui croyaient en être débarrassés ont vu rejaillir la menace Sober avec plus de vivacité que jamais. La tendance ne semble pas vraiment à l'inflexion. Pire : le ver pourrait causer une surprise de bien mauvais goût début 2006…
Apparu sous sa première forme en octobre 2003, et décliné depuis en près d'une trentaine de variantes, le ver de messagerie Sober a entamé, dans le courant du mois de novembre dernier, un come-back d'une ampleur inattendue. Sous la nouvelle dénomination W32/Sober-Z, il se déguise désormais en courriers électroniques accusateurs provenant du FBI ou de la CIA, ou en e-mails aguicheurs promettant des vidéos de Paris Hilton ou Nicole Richie. Le message est rédigé en allemand pour les destinataires d'outre-Rhin, en anglais pour les autres. De manière classique, le virus se propage à tous les contacts du carnet d'adresses d'un utilisateur lorsque celui-ci clique sur la pièce jointe, et ouvre des portes dérobées afin de pouvoir télécharger ultérieurement du code.
L'ampleur de cette nouvelle vague d'infections a tout de même de quoi inquiéter. Le 2 décembre dernier, la société de sécurisation des messageries électroniques Postini annonçait avoir intercepté quelque 218 millions de mails en seulement 7 jours, soit une augmentation d'environ 1 500 % du volume de messages infectés enregistré d'ordinaire sur une telle période. L'éditeur de logiciels de sécurité Sophos estimait pour sa part début décembre que Sober-Z avait représenté, à son pic de propagation, 1 message sur 13 transitant sur le Web, et près de 80 % des signalements d'infections virales parvenant à son support technique. Bien qu'apparu seulement fin novembre, Sober-Z pointe déjà en troisième position au classement des propagations virales en 2005 (6 % des infections détectées dans le monde), et trusterait quelque 50 % des infections actuelles…
Un virus nazi ?
Ces chiffres impressionnants cachent peut-être en outre une propagande bien peu reluisante. Les experts de plusieurs sociétés de sécurité informatique (notamment iDefense et Sophos) affirment en effet, après avoir disséqué la bête avec application, que Sober-Z risque d'être à l'origine d'une opération massive de spam dans quelques jours.
Le 5 janvier 2006, jour du 87e anniversaire de la fondation du Deutsche Arbeiter Partei (Parti des travailleurs allemands, qui deviendra Parti national-socialiste des travailleurs allemands sous l'influence d'Hitler en février 1920), le virus devrait ainsi télécharger du code depuis plusieurs serveurs, notamment allemands. Les experts redoutent alors un envoi massif de messages indésirables de propagande nazie depuis les machines infectées.
Rien n'est toutefois certain quant à la véritable action de Sober-Z ce jour précis, mais l'hypothèse a de quoi inquiéter. En plus de conséquences morales sur les destinataires, un tel envoi risque d'ébranler le Web. Après avoir contaminé plusieurs millions de machines dans le monde, Sober-Z pourrait en effet déverser un flot de plusieurs centaines de millions de messages sur le Réseau, et en paralyser une partie…
Le ver disséqué livre ses secrets
Ardue, l'analyse du code source de Sober-Z s'est toutefois révélée riche en enseignements pour les chercheurs anti-virus de l'éditeur F-Secure. Elle leur aurait ainsi permis d'identifier une faille dans le ver, de s'y introduire, et de comprendre ses mécanismes de mise à jour. Le virus passerait ainsi au crible une centaine de liens URL générés aléatoirement pour trouver, au bout de l'un d'entre eux, le fichier nécessaire à sa mise à jour. Une fois Sober " transformé " par cette opération, il peut tout à fait contaminer à nouveau un ordinateur déjà infecté par l'une de ses précédentes variantes, et dont le propriétaire se croyait à l'abri…
Recourir à de nombreux relais permet à l'auteur du ver d'éviter que son " vecteur de mise à jour " ne soit démantelé par ses adversaires. Si toutes les URL créées par le virus pointent vers des serveurs allemands ou autrichiens (encore une coïncidence…), près de 99 % d'entre elles sont fictives, ce qui rend d'autant plus complexe le travail des enquêteurs. Gageons en outre que l'annonce du décryptage du fonctionnement de Sober a déjà amené son auteur à revoir sinon ses intentions, du moins ses plans pour parvenir à ses fins.
En attendant de voir ce qu'il se passera le 5 janvier prochain, la prudence reste donc de mise, et on ne le répètera sans doute jamais assez : pour éviter la plupart des infections, n'ouvrez jamais de pièce jointe à un message douteux sans l'avoir préalablement vérifiée à l'aide d'un logiciel antivirus à jour !
