L’auteur de Zotob serait à l’origine de plus de 20 virus

Yves Grandontagne,

Les experts de l’éditeur Sophos confirment la présence d’une signature identique dans plus d’une vingtaine de virus, dont Zotob

Les auteurs de vers et virus signent souvent leur progéniture, une ‘marque’ de paternité, fruit d’un ego tourmenté qu’ils placent au c?ur du code des programmes malicieux, et qui permet parfois de remonter jusqu’à eux. Farid Essebar, résident marocain d’origine russe âgé de 18 ans et auteur présumé du virus Zotob arrêté le 25 août dernier (cf. notre article), n’a pas manqué à l’appel. Il aurait signé son ?uvre du pseudo « Diabl0 ». Cette signature, les chercheurs de Sophos, éditeur de solutions de sécurité professionnelles, l’ont déjà rencontrée dans plus de 20 autres virus, dont Mydoom-BG et de nombreuses versions du ver Mytob, qui marquent actuellement les signalements viraux dans le monde. A elles seules au mois d’août, les variantes de Mytob auraient occupé six des dix premières places du Top Ten, avec 54% du total des virus signalés à Sophos. « Les vers Mytob et Zotob peuvent à première vue paraître très différents : la première famille se diffuse par courriel, alors que l’autre se répand essentiellement en exploitant une faille de sécurité de Microsoft », a indiqué Annie Gay, d-g de Sophos France et Europe du Sud. « Mais sous le regard d’un analyste viral expérimenté, les similitudes deviennent évidentes. Il apparaît que l’auteur de Zotob a eu accès au code source de Mytob: il aurait supprimé la partie liée à la diffusion par courriels pour la remplacer par celle qui utilise la faille Microsoft. Les vers Mytob ont été très présents dans les classements des virus les plus répandus tout au long de 2005. Et tout ce qui peut empêcher la réalisation et la circulation de nouvelles variantes est bienvenu ». Le lien de Farid Essebar avec plusieurs des plus virulentes attaques virales de ces derniers mois serait donc avéré. Son arrestation va-t-elle mettre fin à cette vague d’attaques sur nos messageries ? Rien n’est moins sûr, à écouter Annie Gay: « Il est possible que plusieurs personnes aient accès au code source de Mytob, et que nous n’ayons pas encore vu la fin de ce fléau. »