Net catastorphe éviter !!!

Sobig.F a présenté un moteur Smtp très sophistiqué jamais vu dans les
virii jusqu'à lors. Sa vitesse de diffusion était incroyablement rapide.

"contrairement à ce qui à été dit un peu partout, avec à peine plus de
300 000 machines infectées, il est loin d’être le virus le plus rapide
jamais rencontré"
http://www.lexpansion.com/art/32.348.69391.0.html

Le format de compression choisi a empêché le désassemblage.

Il est compressé avec TeLock et ne présente donc rien de particulier.

Cela a pris plusieurs heures avant que l'on trouve la parade.

C'est un ver très simple à détecter qui a simplement demandé (ensuite)
une analyse plus complète.


Roland Garcia

"Faelan" <no@no.be> wrote in message news:<bifoiv$hhf$1@naxos.belnet.be>...

Oui, mais je ne parlais pas, en ce qui concerne le "bruit", de la capacité
de diffusion de Sobig. Je parlais exclusivement de l'histoire des 20 PCs....
Grrr j'ai crashé mon reader de news donc je te réponds via google.

Ton propos je ne l'ai pas compris ainsi. ;)
Que voulais-tu dire alors ?

Oui, mais quelle est son objectif ?
Je commencerai par un bref rappel sur la notion de Trojan.

Un Trojan (cheval de Troie en français) est une application,
d'apparence inoffensive qui installe discrètement une porte dérobée
sur une machine. Une porte dérobée est en gros un logiciel de contrôle
à distance. Ok ?

Donc maintenant notre(nos) auteur(s) de SoBig peut contrôler à
distance les machines infectées. Tu me suis tourjours ?

Etant donné qu'il (SoBig) installe sur la machine qu'il infecte un
serveur SMTP leur(s) auteur(s) peut (pouvait ? on ne sait pas encore
précisement) à sa guise envoyé autant de mails qu'il le souhaite.

Donc dans un scénario digne d'un bon film ou livre de SF l'auteur
pourrait très bien contrôler plusieurs milliers de machines (voire
plus) et inonder le réseau de mails jusqu'à saturation. SoBig est en
fait un super spammeur.

Avec des "si", on met Paris en bouteille ;-)
lol

Pourquoi dites-vous cela ?
Simplement parce que vous disiez cela : "Alors, comme catastrophe, on

a vu plus grave...."
Maintenant j'ai peut-être mal compris ce que tu voulais dire. ;)

Certainement pas.
Tu me rassures. ;)

Mais je n'aime pas trop les éditeurs antivirus qui
transforment la réalité en mauvais film de série B....
Quel éditeur ? Un ou des noms avec liens stp ?

Dans cette affaire ce sont plutôt les médias dans un premier temps qui
ont mal interprété les propos des éditeurs ! Et là il y a des exemples
à la pelle depuis qq jours. Un vrai festival de hype virus paranoia.

Chez mon employeur (20.000 pcs), il n'y a pas eu de problème : le mail
serveur et le firewall ont leur antivirus. Des Sobig.f sont rentrés
(disquettes, portables, modems ?) mais sans bénéficier de la moindre
propagation interne. Personellement, j'ai plus de méfiance vis-à-vis des
virus IP exploitant des failles d'OS comme Nimda, Code Red ou
Lovsan-Nachi....
Je ne comprends cette réponse suite à mon propos. Pas grave mais bon

un peu HS. lol
Pour ton entreprise cela signifie que ta DI et ton(tes) administrateur
réseaux et de messagerie a mis en oeuvre les contre mesures
nécessaires. Heureusement. ;)
IMHO pour ton appréciation du risque de tel ou tel virus je ne suis
pas d'accord. C'est ss doute ma déformation professionnelle mais un
virus quelqu'en soit sa nature est dangereux. Il n'y pas à discuter
là-dessus.

Un bon exemple est d'aller voir le site de Secuser.com et de regarder la
place très modeste que le Webmaster a consacrée à la 3ème phase de Sobig.f
(quelques liens vers des revues spécialisées). Bien entendu, il n'a pas
d'antivirus à vendre ni de poudre à lancer aux yeux. Il a évité le cinéma,
ce qui est très bien ;-)
Il fait du bon boulot donc rien à dire sur le contenu de son site.

En outre, cette définition du niveau du risque d'un virus fausse IMHO
la réalité.
Certes, cela donne un niveau d'information sur le danger de tel ou tel
virus mais c'est totalement insuffisant pour apprécier correctement
les risques.

Pour conclure qq soit les phases de développement & propagation de
SoBig il est dangereux.

"LaDDL" <alamaison@noos.fr> a écrit dans le message de
news:73eaf5e8.0308261018.3bb32454@posting.google.com...

"Faelan" <no@no.be> wrote in message
news:<bifoiv$hhf$1@naxos.belnet.be>...

Oui, mais je ne parlais pas, en ce qui concerne le "bruit", de la
capacité

de diffusion de Sobig. Je parlais exclusivement de l'histoire des 20
PCs....

Grrr j'ai crashé mon reader de news donc je te réponds via google.

Ton propos je ne l'ai pas compris ainsi. ;)
Que voulais-tu dire alors ?

Qu'on a transformé cette histoire en scénario de James Bond :-/ Et qu'au
bout du compte, ça a fait flop :-))

Oui, mais quelle est son objectif ?
Je commencerai par un bref rappel sur la notion de Trojan.

Je connais les trojans. Je parlais de son action précise.
D'autant que d'après Symantec, à part des liens vers des sites pornos....

Etant donné qu'il (SoBig) installe sur la machine qu'il infecte un
serveur SMTP leur(s) auteur(s) peut (pouvait ? on ne sait pas encore
précisement) à sa guise envoyé autant de mails qu'il le souhaite.

Oui, c'est un des scénarios.

Donc dans un scénario digne d'un bon film ou livre de SF l'auteur
pourrait très bien contrôler plusieurs milliers de machines (voire
plus) et inonder le réseau de mails jusqu'à saturation. SoBig est en
fait un super spammeur.

Oui, mais c'est en grande partie raté.

Pourquoi dites-vous cela ?
Simplement parce que vous disiez cela : "Alors, comme catastrophe, on

a vu plus grave...."
Maintenant j'ai peut-être mal compris ce que tu voulais dire. ;)

Ben la catastrophe n'a pas eu lieu. Tant mieux d'ailleurs ;-)

Mais je n'aime pas trop les éditeurs antivirus qui
transforment la réalité en mauvais film de série B....
Quel éditeur ? Un ou des noms avec liens stp ?

Non, je ne mets pas en cause un éditeur précis sur un forum, sans qu'il
fasse partie de la discussion. Va voir les communiqués de Zataz ou certains
articles de TF1, tu en verras au moins un qui sort du lot. Tu y ajoutes la
fougue des journalistes et tu as un scénario catastrophe ... qui ne s'est
heureusement pas produit.
Mais de la part d'un éditeur antivirus, c'est de bonne guerre : la
médiatisation a du bon. Je ne fais pas de reproche, j'essaye seulement de
mettre les choses à niveau.

Chez mon employeur (20.000 pcs), il n'y a pas eu de problème : le mail
serveur et le firewall ont leur antivirus. Des Sobig.f sont rentrés
(disquettes, portables, modems ?) mais sans bénéficier de la moindre
propagation interne. Personellement, j'ai plus de méfiance vis-à-vis des
virus IP exploitant des failles d'OS comme Nimda, Code Red ou
Lovsan-Nachi....
Je ne comprends cette réponse suite à mon propos. Pas grave mais bon

un peu HS. lol

Tu parles de la virulence de Sobig. Je t'explique qu'en prenant les mesures
adéquates, un virus de mail peut être controlé assez rapidement, en tout cas
dès qu'il est dans la définition de virus.....

Pour ton entreprise cela signifie que ta DI et ton(tes) administrateur
réseaux et de messagerie a mis en oeuvre les contre mesures
nécessaires. Heureusement. ;)
IMHO pour ton appréciation du risque de tel ou tel virus je ne suis
pas d'accord. C'est ss doute ma déformation professionnelle mais un
virus quelqu'en soit sa nature est dangereux. Il n'y pas à discuter
là-dessus.

C'est mon expérience professionnelle qui parle : un virus IP nous donne
beaucoup plus de fil à retordre qu'un virus de mailing. C'est comme ça.
Je n'ai pas dit pour autant que celui de mailing est insignifiant....

__

F.

Faelan wrote:

Qu'on a transformé cette histoire en scénario de James Bond :-/ Et qu'au
bout du compte, ça a fait flop :-))
lol

Complètement d'accord.
Plouf. ;)

Oui, mais c'est en grande partie raté.
J'espère !

Mais on est pas au bout de nos surprises.

Ben la catastrophe n'a pas eu lieu. Tant mieux d'ailleurs ;-)
Idem ;)

Non, je ne mets pas en cause un éditeur précis sur un forum, sans qu'il
fasse partie de la discussion. Va voir les communiqués de Zataz ou certains
articles de TF1, tu en verras au moins un qui sort du lot.
Oui on est phase sur l'éditeur en question. ;)

Je mettrai ça sur le dos d'une mauvaise gestion de leur communication
durant cette période agitée.

Tu parles de la virulence de Sobig. Je t'explique qu'en prenant les mesures
adéquates, un virus de mail peut être controlé assez rapidement, en tout cas
dès qu'il est dans la définition de virus.....
Qui a dit le contraire ?!

C'est mon expérience professionnelle qui parle : un virus IP nous donne
beaucoup plus de fil à retordre qu'un virus de mailing. C'est comme ça.
Je n'ai pas dit pour autant que celui de mailing est insignifiant....
Ok on est en phase. ;)

On va pas commencer à jouer sur les mots sinon c'est le début d'un
troll.

dans (in) fr.comp.securite.virus, "Faelan" <no@no.be> ecrivait (wrote)

http://www.midilibre.com/actuv2/article.php?num61492581&lozere
Faut-il en rire ou en pleurer ?

Moi j'ai pris le parti de me marrer. J'aime beaucoup cette phrase en
particulier :

« Apparu d'abor d en Amérique où il a satiné tout le réseau, il est
arrivé en France le 11 août, alors que son inventeur avait prévu de
le programmer pour le 19, »

J'aimerais bien apprendre à satiner tout un réseau :)

L'article est affligeant. Cela dit, d'innombrables articles sont
affligeants, et ce dans tous les domaines. C'est valable pour tous les
médias grand public d'ailleurs, qu'il s'agisse de presse écrite, de
radio ou de télévision.

Le problème est qu'on ne s'en aperçoit que si on connait un tant soit
peu le domaine dont ils traitent.

Pendons les journalistes avec les trippes des patrons de presse !

--
« We've all heard that a million monkeys banging on a million
typewriters will eventually reproduce the works of Shakespeare.
Now, thanks to the Internet, we know this is not true. »
(Arthur C. Clarke)

dans (in) fr.comp.securite.virus, Chambord <azertyl@azertyl.fr>
ecrivait (wrote) :

Coucou,

http://www.midilibre.com/actuv2/article.php?num61492581&lozere

Ca mériterait un droit de réponse.

Comme j'avais du temps ce soir, je viens de me fendre d'un courrier
adressé à info@midilibre.com (adresse trouvée sur le site pour causer à
la rédaction) :

....................................................................
Bonjour,

Informaticien depuis 1983, attentif aux problèmes de sécurité concernant
les ordinateurs, abonné de longue date à un forum de discussions Usenet
consacré à la lutte contre les virus :

news:fr.comp.securite.virus

j'ai lu par hasard l'article concernant le visus LOVSAN publié sur votre
site Internet le 22 août 2003 :

http://www.midilibre.com/actuv2/article.php?num61492581&lozere

En un mot comme en cent, c'est globalement un affligeant ramassis
d'âneries et de fausses assertions.

Au delà du fait qu'il m'a fait (et je suis loin d'être le seul) beaucoup
rire, je trouve inadmissible de propager de telles inepties auprès de
vos lecteurs, qui, a priori, vous font confiance et méritent d'être bien
informés.

C'est pourquoi je sollicite un droit de réponse pour rectifier le tir.

Je propose de vous soumettre un article argumenté et accessible aux non
spécialistes. Cet article sera rédigé en collaboration avec des
spécialistes de la lutte contre les virus informatiques. Je souhaiterais
qu'il soit signé « les participants de fr.comp.securite.virus »
puisqu'il sera le résultat d'un travail collectif, mais si vous le
souhaitez, je le signerai en mon nom.

Je vous remercie par avance de prendre ma demande en compte.

Cordialement,

....................................................................

Voila.

C'est une initiative personnelle et tous les contributeurs de fcsv sont
mouillés :) Je ne sais pas s'ils prendront même la peine de répondre,
mais c'est fait.

S'ils acceptent, il faudra pondre vite fait un article ayant les
caractéristiques que j'indique (essentiellement accessible aux non
spécialistes).

J'aurais pu le faire tout seul, mais je trouve plus sympa de faire
participer les autres, d'autant plus que ce n'est pas moi qui ai
découvert l'article en question.

Voila.

Faut pas me chercher :)

--
Eric

dans (in) fr.comp.securite.virus, Eric Demeester
<eric.REMOVETHIS@mailody.org> ecrivait (wrote) :

C'est une initiative personnelle et tous les contributeurs de fcsv sont
mouillés :) Je ne sais pas s'ils prendront même la peine de répondre,
mais c'est fait.

Par « ils », comprendre les gens du Midi Libre. Je m'aperçois en me
relisant que ça pourrait porter à confusion avec les contributeurs de
fcsv.

--
Eric

dans (in) fr.comp.securite.virus, LaDDL <alamaison@noos.fr> ecrivait
(wrote) :

Bonsoir,

Juste pour info en qq heures après sa diffusion on a culminé a plus de 1
million de copie du vers.

J'ai réagi très vite aussi, quand j'ai vu arriver des centaines de
messages de 100 ko chacun. Pour préciser, aucune machine de mon réseau
n'a été infectée, mais c'est le volume qui a provoqué des dégats en
encombrant la BP, pas le virus lui-même.

Bien évidemment comme tt le monde s'est
mobilisé la propagation a été endiguée.

La propagation, ça a du prendre un peu de temps quand même. Chez nous,
il a fallu à peu près 48h pour mettre les filtres en place au niveau des
serveurs.

Enfin vous le savez bien on a toujours besoin de temps pour analyser et
comprendre. Donc on va qd mm pas chipoter sur le nb d'heures passées qd
mm ? lol

Tu soulignes à mon avis le problème de fond : on a beau utiliser (comme
dans mon entreprise) des logiciels de courrier incapables d'exécuter le
virus, ça prend quand même beaucoup de temps, une fois qu'on a pris
conscience du bombardement, de le rediriger vers /dev/null.

--
Eric

Chez mon employeur (20.000 pcs), il n'y a pas eu de problème : le mail
serveur et le firewall ont leur antivirus. Des Sobig.f sont rentrés
(disquettes, portables, modems ?) mais sans bénéficier de la moindre
propagation interne.

Si tu arrives a protéger 20 000 pcs ,avec le mail serveur et le
firewall antivirus, pourquoi tant d'autre entreprise n'y arrivent pas .
Si il y a une solution elle est valable
pour les autres , non ?

Faelan met simplement les .pif à la poubelle et maintient son anti-virus
à jour:
http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-084/index.html.2.html

Roland Garcia

"LaDDL" <alamaison@noos.fr> a écrit dans le message de

Et on ne sait
toujours pas "ce" qu'on a évité de justesse :-)))

La deuxième phase du virus : à savoir le téléchargement du trojan sur
ces machines.

Oui, mais quelle est son objectif ?

Rien de nouveau.

Opaserv faisait pareil et on n'a jamais su ce qu'il devait télécharger,
bien avant Hybris téléchargeait des plugin.

Tu aurais sans doute apprécié des conséquences plus graves, non ?

Pourquoi dites-vous cela ?
Certainement pas. Mais je n'aime pas trop les éditeurs antivirus qui
transforment la réalité en mauvais film de série B....

Il n'a jamais été question de catastrophe (en tout cas pas ici) avec ce
"trojan", la description de F-Secure était très bonne mais a été mal
interprétée.

Quant aux chiffres du nombre d'infections ils sont en général assez
fantaisistes.

Roland Garcia