Par Grégory Le Bras le Mercredi 31 Août 2005 à 21:00:36
Les experts de SophosLabs, le centre d'analyse des virus et spam de Sophos, ont découvert que l'un des hommes arrêtés la semaine dernière à la suite de la diffusion du ver Zotob, serait également impliqué dans la création d'une vingtaine de virus.
Farib Essbar, un jeune marocain d'origine russe âgé de 18 ans, a été arrêté le jeudi 25 août à Rabat par un groupe mixte de la Police Judiciaire et des Renseignements Généraux. Son arrestation, survenue seulement deux semaines après que ses vers aient infectés de nombreuses sociétés dans le monde entier, a pu être menée à bien à la suite d'une demande d'assistance formulée par le FBI, qui depuis l'apparition du ver tentait de retracer son origine.
Selon Sophos, Farid Essebar utiliserait la signature
"Diabl0" dans la plupart de ses codes, et celle-ci aurait été retrouvé dans le code du ver Zotob.
"Il n'est pas rare que les auteurs de programmes malicieux laissent ainsi leur "marque" au coeur de leur code, l'accompagnant parfois d'autres messages.", précisent les chercheurs de Sophos dans un communiqué.
Ils auraient identifié la signature de Farid dans plus de 20 autres virus, dont Mydoom-BG et de nombreuses versions du ver Mytob, qui font actuellement parti des virus les plus actifs dans le monde :
"Ils occupent en effet six des dix premières places du Top Ten, avec 54% du total des virus signalés à Sophos au cours du mois d'août."
"Les vers Mytob et Zotob peuvent à première vue paraître très différents : la première famille se diffuse par courriel, alors que l'autre se répand essentiellement en exploitant une faille de sécurité de Microsoft", commente Annie Gay, Directeur Général de Sophos France et Europe du Sud.
"Mais sous le regard d'un analyste viral expérimenté, les similitudes deviennent évidentes. Il apparaît que l'auteur de Zotob a eu accès au code source de Mytob, supprimant la partie liée à la diffusion par courriels et la remplaçant par celle qui utilise la faille Microsoft. Les vers Mytob ont été très présents dans les classements des virus les plus répandus tout au long de 2005, et tout ce qui peut empêcher la réalisation et la circulation de nouvelles variantes est le bienvenu. Il est cependant possible que plusieurs personnes aient accès au code source de Mytob, et que nous n'ayons pas encore vu la fin de ce fléau."
La section "commentaire" est un espace de discussion portant sur le thème de l'article, la rédaction de VirusTraQ se réserve donc le droit de supprimer tout message hors-sujet ou ne respectant pas nos règles d'utilisation, en particulier en cas de propos diffamatoires ou injurieux.