Non content d’être devenu en moins d’une semaine le ver à la prolifération la plus rapide d’Internet, Sobig.F promettait de belles sueurs froides aux experts anti-virus pour ce vendredi 22 août. A 19 heures UTC, soit 21 heures en France, tous les PC infectés à travers la planète (150.000 selon les estimations) devaient en effet se connecter à un serveur dont l’adresse était gardée secrète par l’auteur du virus. Ils y auraient alors téléchargés un programme mystérieux pour l’exécuter simultanément, en se synchronisant à l’aide d’horloges atomiques.

Cette précision méticuleuse dans le scénario avait chauffé les esprits toute la journée, tandis que le FBI, les éditeurs d’anti-virus et les équipes des différents CERT (Computer Emergency Response Team) de la planète partaient en chasse. Tous traquaient une liste de 20 serveurs relais chargés de communiquer à Sobig, le moment venu, l’adresse du mystérieux programme à télécharger.

Car l’auteur du virus savait parfaitement que s’il laissait cette adresse dans le code de son parasite, elle serait déchiffrée rapidement par les éditeurs d’antivirus et le serveur en question mis hors d’état de nuire avant le « Grand Soir ». Il avait donc simplement laissé dans les entrailles de Sobig une liste de 20 ordinateurs répartis à travers le monde. C’était eux qui, une fois contactés par n’importe quelle instance du ver, devait répondre par l’adresse du fameux site web où télécharger la charge offensive. Tous ces ordinateurs relais étaient situés sur les réseaux de fournisseurs d’accès bien distincts afin de rendre leur neutralisation difficile. Il appartenaient en outre à des particuliers totalement inconscients du rôle qu’ils jouaient dans cette affaire. Ces PC avaient d’ailleurs probablement étés piratés « à la main » avant le début de l’épidémie.

Bien sûr, les éditeurs d’antivirus avaient depuis longtemps déchiffré la clé d’authentification de Sobig, et s’étaient ainsi connectés à ces serveurs afin d’en savoir plus. Hélas, l’auteur du virus avait alors été plus malin qu’eux : l’adresse renvoyée à ce moment là était fictive. Les experts ont alors vite compris que l’auteur du virus ne donnerait la bonne adresse à ces relais de fortune qu’à la dernière seconde. S’est alors engagé une course contre la montre afin de contacter les fournisseurs d’accès des PC concernés (au Canada, aux Etats-Unis et en Corée du Sud) et les convaincre de bloquer momentanément l’accès à ces ordinateurs.

Avec l’aide du FBI, les experts semblent y être parvenus puisque l’attaque n’a pas eu lieu. A 21 heure ce vendredi soir, un seul des PC sur cette liste de 20 n’avait pu être neutralisé, mais il semblait éteint. Selon F-Secure, à l’origine de cette alerte, cela pourrait être qu’il n’ait pas tenu la charge lorsqu’une centaine de milliers de vers sont venus frapper à sa porte en quête d’instructions.

Mais selon d’autres rapports, ce Dernier des Mohicans aurait bien été en vie au moment de l’attaque, et il aurait donné l’adresse… d’un site pornographique !

Si tel est le cas, on peut y voir un beau pied de nez à la communauté antivirale.