Plusieurs firmes de sécurité informatique ont uni leurs efforts pour “cracker” un algorithme utilisé par le ver Sober pour “téléphoner maison”.

Le dernier avatar du ver Sober a causé bien des soucis, en novembre dernier, notamment en accompagnant des e-mails soit disant en provenance de la CIA ou du FBI. Les principaux éditeurs de solutions de sécurité informatique savaient que Sober incluait un outil lui permettant de communiquer via le Web ; son ou ses auteurs s’en servaient pour prendre le contrôle des machines que Sober avait infecté.

Jeudi dernier, la firme finlandaise F-Secure a réussi à ''cracker’’ l’algorithme en question, et à identifier avec précision avec quel URL (adresse Internet) le ver tenterait de prendre contact à un moment donné.

Mikko Hypponen, responsable de la recherche chez F-Secure, explique que le ou les auteurs de Sober ont pris pour habitude de changer fréquemment d’URL afin de déjouer les tentatives de localisation entreprises par les autorités.

‘’Sober utilise un algorithme qui modifie de façon semi-aléatoire les URL de contact avec son ou ses auteurs, et ce chaque jour. 99% des URL en question n’existent tout simplement pas, mais l’algorithme peut calculer à l’avance quel URL sera le plus approprié en cas de besoin, notamment quand le ou les auteurs du ver veulent prendre le contrôle d’une machine distante ; dans un tel cas, il suffit d’entrer le bon URL, de charger le programme, et voilà ! Ce système fonctionne simultanément avec des centaines de millions d’ordinateurs.’’

D’après les calculs de F-Secure, le 5 janvier 2006, toutes les machines infectées—et non réparées…--par la dernière variante de Sober tenteront de récupérer un fichier de mise à jour auprès des sites suivants (les liens ont été désactivés, pour des raisons évidentes…) :

  • http://people.freenet.de/gixcihnm/

  • http://scifi.pages.at/agzytvfbybn/

  • http://home.pages.at/bdalczxpctcb/

  • http://free.pages.at/ftvuefbumebug/

  • http://home.arcor.de/ijdsqkkxuwp/

F-Secure recommande aux internautes d’interdire l’accès à ces sites (par exemple en les entrant dans la Liste Noire de leur navigateur Internet) afin d’empêcher le ver de muter après sa mise à jour.

Un responsable de Trend Micro estime de son côté que bloquer ces sites est une bonne chose, mais que le meilleur moyen de se prémunir contre les ravages de Sober est avant tout de s’assurer qu’il n’est pas présent sur votre machine.

Mais deux précautions valent mieux qu’une, pas vrai '



Source : CNET News