11. Sober, une attaque en deux temps

Sober fait partie des vers qui ont la particularité de bénéficier d’une durée de vie exceptionnelle, grâce à la création de plusieurs variantes au fil des ans. Ce ver, qui a été découvert en octobre 2003, est toujours pris comme une menace sérieuse de nos jours, et est régulièrement cité comme faisant partie des plus virulents que le Net ait connus.

Une autre de ses particularités est de s’attaquer directement à la base de registres de Windows, ce qui lui permet d’utiliser le système à sa guise, en toute transparence pour l’utilisateur.

Un ver classique, mais sournois

Sober est lui aussi de la race des programmes malveillants qui se propagent par e-mail. C’est le 24 octobre 2003 que le premier courrier infecté par ce ver est découvert. Il s’agit d’un courrier assez classique, généralement en anglais, et qui contient une pièce jointe avec le fameux cadeau empoisonné. L’utilisateur doit donc lancer ce fichier pour que le ver infecte la machine, après quoi il tentera de s’envoyer à nouveau par mail à d’autres victimes, en utilisant le carnet d’adresses de l’internaute.

Une fois implanté dans Windows, Sober crée plusieurs fichiers dans ce même dossier, d’une part pour brouiller les pistes, mais également pour permettre d’autres infections futures. Enfin, c’est à la base de registre qu’il s’attaque, afin de créer une entrée qui va lui permettre d’être activé en permanence au démarrage de Windows, même si un de ses fichiers a été détruit.

Le retour deux ans plus tard

C’est en 2005 que Sober met le feu aux poudres. Alors que l’attaque semblait terminée, une nouvelle variante du virus refait son apparition, le 3 mars. Les attaques vont alors se répéter, et devenir de plus en plus intenses. Le 14 novembre, Sober.T, une variante du ver, lance une nouvelle attaque avec succès, mais l’attaque la plus destructrice a été lancée le 21 novembre 2005, avec l’arrivée de la variante Sober.X. Celui-ci est capable de se faire passer pour un courrier émanant de la CIA ou du FBI, et indique que l’internaute a été repéré alors qu’il visitait des sites illégaux. La pièce jointe, déguisée en questionnaire, contient bien évidemment le virus. Cette variante est d’ailleurs encore plus facétieuse que le ver d’origine, puisqu’elle est désormais capable de voler des données personnelles à l’utilisateur !

Le créateur du ver Sober n’a jamais été retrouvé. Néanmoins, plusieurs enquêtes mènent à penser que ses motivations seraient politiques, notamment par la diffusion de messages d’un parti d’extrême droite allemand, dans certaines versions du ver.

• Protéger votre ordinateur