Découvert au milieu de l'année 2003, Sobig.F a contaminé un très grand nombre d'ordinateurs sous Windows, causant des dégâts toutefois relativement mineurs.
Descendant de Sobig.A découvert le 19/08/2003, Sobig.F est un virus-ver, capable de se dupliquer et de se répandre de manière parfaitement autonome sur un réseau, local ou étendu. De fait, il se présente sous la forme d'un message électronique, dont l'objet, le corps et le nom de la pièce jointe sont aléatoires.
Le courriel infecté peut ainsi être intitulé Re: That movie, Re: Wicked screensaver, Re: Your application, Re: Approved, Re: Re: My details, Re: Details, Your details, Thank you! ou encore Re: Thank you!. Le corps du message peut pour sa part contenir les textes Please see the attached file for details ou bien See the attached file for details. Enfin, la pièce jointe peut être nommée movie0045.pif, wicked_scr.scr, application.pif, document_9446.pif, details.pif, your_details.pif, thank_you.pif, document_all.pif, ou enfin your_document.pif. Pour rappel, les fichiers .scr correspondent normalement à des économiseurs d'écran, tandis que les fichiers .pif contiennent des instructions relatives au fonctionnement d'un programme DOS, utilisées pour l'exécuter sous Windows.
Une transmission rapide et discrète
Si le destinataire du message ouvre la pièce jointe, le virus se copie dans le répertoire Windows du disque dur sous le nom winppr32.exe, et modifie certaines clés de la base de registre pour s'exécuter à chaque démarrage du système d'exploitation (Windows XP/2000/NT/Me/98/95) de manière invisible. Il tente également de se propager en se copiant dans les partages réseau.
Ensuite, il parcourt le disque dur à en quête de fichiers .dbx (fichiers banques de messages Outlook), .eml (messages Outlook Express), .hlp (fichiers d'aide Windows), .mth (fichier ClarisWorks), .htm/.html (pages Web) ou encore .txt (fichiers texte), à la recherche d'adresses de messagerie électronique. Le ver s'envoie ensuite à tous ces correspondants, ainsi qu'à ceux du carnet d'adresses. Pour augmenter les chances que ce message infecté soit ouvert par son destinataire, il falsifie l'adresse de l'expéditeur en usurpant l'une de celles trouvées sur le poste infecté. Bien entendu, l'utilisateur infecté par Sobig.F reste quant à lui dans l'ignorance parfaite des agissements du ver…
Un virus à l'écoute du calendrier
Une dernière action n'est entreprise par le virus que les vendredi et dimanche, entre 19 et 22 heures GMT. Dans ces créneaux, Sobig.F envoie une requête vers le port 8998 d'un serveur distant. Ceci en vue de son éventuelle mise à jour, voire pour permettre à un pirate de dérober des données ou d'installer un proxy sur l'ordinateur infecté, le transformant en relais pour l'envoi de spams. Pour empêcher cette opération, il suffit de configurer son pare-feu pour bloquer les tentatives de connexion sortantes vers le port 8998. Enfin, Sobig.F est programmé pour arrêter de se propager le 10 septembre 2003.
Pour éviter d'être infecté par un virus de ce type, rappelons qu'il ne faut jamais ouvrir un fichier joint à un message suspect, tout attirant que puisse être son intitulé, sans le passer au crible d'un logiciel antivirus à jour.
NB : Compte tenu des différentes nomenclatures employées par les éditeurs d'antivirus, le ver W32/Sobig-F est également parfois appelé Win32.Sobig.F, I-Worm.Sobig.f, Win32.HLLM.Reteras, W32.Sobig.F@mm, W32/Sobig.f@MM ou encore WORM_SOBIG.F.
