Ce 22 août, une attaque du virus SoBig.F à 21 heures?

»

Une attaque potentiellement massive a commencé aujourd’hui. Le virus Sobig.F a été programmé pour télécharger et exécuter un mystérieux programme ce vendredi 22 août 2003, à 19:00 UTC (21H00 à Paris)« . Cette information vient de tomber. La source, F-Secure, nous paraît suffisamment fiable et détaillée pour que soit relatée cette alerte appelant à vigilence, mais hélas, sans beaucoup de mesures préventives. Il semble qu’il n’y en a ait pas, puisque personne ne sait encore ce que peut contenir le code de ce virus -« une arme secrète en réserve« . 100 millions d’e-mails infectés Depuis hier, plusieurs spécialistes de la lutte anti-virus s’accordent sur un point: en moins de 5 jours, le ver-virus Sobig.F est devenu le plus répandu qui ait jamais été sur le Net: plus de 100 millions d’e-mails ont déjà véhiculé ce nouveau poison. Le ver se répand lui-même par l’intermédiaire de pièces jointes à un e-mail envoyé par un expéditeur dont l’adresse a été usurpée. L’éditeur d’anti-virus donne l’alerte: une deuxième phase d’attaque de ce virus est déjà lancée. A 21 heures de Paris, Mais que faire? Pas beaucoup d’éléments de réponse… pour l’heure. Tous les ordinateurs infectés vont entrer dans une seconde phase ce 22 août 2003: « Ils utilisent les données d’horloges atomiques pour synchroniser l’activation du code afin qu’elle démarre exactement à la même heure dans le monde entier, à savoir 19:00:00 UTC » (c’est-à-dire 21:00 à Paris, 12:00 à San Francisco, etc.) Liste cachée dans le noyau du virus… Selon F-Secure, à ce moment, le ver commencera à établir une connexion avec des machines référencées dans une liste cryptée, cachée dans le noyau du virus: « Cette liste contient l’adresse de 20 ordinateurs situés aux Etats-Unis, au Canada et en Corée du Sud.« . Il pourrait s’agir en fait de PC ou serveurs qui seraient détournés à l’insu de leur propriétaire: « Le ver se connecte à l’un de ces 20 serveurs et s’identifie avec un code secret sur 8 octets. Les serveurs répondent avec une adresse Web. Les machines infectées téléchargent un programme à partir de cette adresse et l’exécutent. Pour l’instant, nul ne sait ce peut faire ce mystérieux programme. L’adresse Web envoyée par les serveurs ne mène nulle part. L’attaque consisterait alors à changer l’adresse Web actuelle pour qu’elle pointe vers la ou les véritables adresses quelques secondes avant l’heure fatidique. Les versions précédentes de Sobig exécutaient des effacements de fichiers. Sobig.E téléchargeait un programme qui effaçait le virus lui-même (pour effacer ses traces), puis s’emparait des mots de passe des utilisateurs. Après cela, le ver installait un proxy e-mail caché, utilisé par toutes sortes de « spammers » (expéditeurs d’e-mails commerciaux non sollicités) pour expédier d’énormes quantités de messages sans que les propriétaires de ces machines soient au courant. « Il est possible que Sobig.F réalise quelque chose de semblable ­ mais nous ne le saurons pas avant 19:00 UTC« . https://www.f-secure.com/v-descs/sobig_f.shtml