La firme de sécurité F-secure a déclaré avoir cracké le code du ver Sober, tête de liste dans les différents classements des malwares les plus actifs. La première racine de Sober a été découverte en octobre 2003. Depuis, retrace F-Secure, près de 20 variantes ont pollué plus ou moins le réseau et la vie des internautes.

Des traits sont communs parmi toutes ces variantes : une routine pour programmer l’activation du malware à une date future, mentionnons encore des tentatives de téléchargement et d’exécution depuis plusieurs sites. En dernière date, les derniers Sober tentent de télécharger une des variantes les plus récentes, afin de menacer d’infection la masse des machines déjà concernées. Sober.Y est à ce jour celui qui remporte le plus de « succès » puisqu’il décroche près de 50% des activités infectieuses, selon les statistiques maison.

L’éditeur est parvenu à lister l’ensemble des URL ciblées par les virus en question. « Les auteurs de virus savent bien que s’ils utilisent une simple adresse constante dans le code du virus, elle sera bloquée rapidement » indique le blog de F-secure avant d’ajouter que « au lieu de cela, Sober utilse un algorithme pour créer des adresses pseudo aléatoires qui changeront en fonction de la date en cours. » Toutes les URL pointent cependant vers des site d’hébergement gratuits basés en Allemagne ou Autriche et, fait rassurant en apparence, « 99% des URL générées par ce virus n’existent simplement pas. » Toutefois, cela n’atténue en rien la dangerosité du système selon F-Secure, puisque l’auteur peut précalculer l’URL cible pour n’importe quelle date. Du coup, lorsqu’il souhaite faire exécuter sur toutes les machines infectées, il lui suffit d’enregistrer la bonne URL, de déposer le programme désiré et il se contente d’attendre sagement.

F-Secure dit avoir déjà cassé l’algorithme de Sober il y a bien longtemps (mai 2005) et affirme avoir informé la police allemande ainsi que les hébergeurs concernés. Avec cette tardive publication, F-Secure invite les administrateurs à bloquer les URL actuelles, ainsi que celles programmées pour le 5 janvier, lors de la prochaine date d’activation de Sober.Y. F-Secure explique enfin avoir publié cette liste seulement maintenant, afin de piéger les viles intentions du créateur de Sober. Cacher la découverte n’aurait cependant plus de sens aujourd’hui, l’auteur de Sober s’étant sans doute rendu compte du pot aux roses. Dans le cas contraire, il pourra maintenant toujours adapter ses prochaines variantes...