La sixième modification est la bonne : Sobig.F se propage très rapidement sur Internet. Il n’exploite aucune faille vraiment nouvelle, et se contente de profiter de la naïveté des internautes, toujours prompts à cliquer sur n’importe quoi. Il a déjà fait oublier Blaster, le ver star de la semaine dernière, et serait déjà le parasite le plus répandu derrière Klez, le virus ténor de ces deux dernières années.
On oublie Blaster et sa propagation futée à travers les réseaux. Sobig.F arrive dans les boîtes à lettres via une bonne vieille pièce jointe au format .PIF, sur laquelle il est nécessaire de cliquer pour être infecté.On aurait pu penser qu’avec une telle technique vieillotte, Sobig.F n’irait pas loin, et bien non. Le virus semble se propager très rapidement sur Internet. Et s’il faut toujours se méfier de l’agitation des éditeurs d’antivirus, tous semblent en tout cas unanimes pour faire de Sobig.F une menace très répandue. L’éditeur Kaspersky Labs va même jusqu’à lui attribuer le titre de second virus le plus répandu après Klez, indétrônable et toujours bien actif depuis 2001. Pas très différent de ses prédécesseurs, Sobig.F infecte les disques partagés et, bien sûr, s’envoie par email aux adresses qu’il trouve sur le PC de sa victime. Il maquille pour cela les adresses (l’expéditeur apparent n’est pas forcément l’auteur du message), et peut même se faire passer pour le support technique de Microsoft.Sobig.F est aussi évolutif : il peut se mettre à jour depuis plusieurs sites web, et la liste de ces derniers peut elle-même être mise à jour ! Le ver permet enfin de télécharger et d’exécuter à distance n’importe quel logiciel sur le système infecté.Sobig.F ne restera cependant actif que jusqu’au 10 septembre 2003. Après cette date, il n’infectera plus aucune machine, et s’il est lancé volontairement, il s’arrêtera immédiatement. Personne ne sait vraiment pourquoi cette limitation, mais il est possible que ce soit une astuce de son auteur, pensant ainsi se couvrir s’il devait être arrêté un jour.Les principaux antivirus sont désormais capables de détecter cette nouvelle version, pour ceux qui ne reconnaissent pas déjà la famille Sobig. En outre, des outils de désinfection spécifiques gratuits sont disponibles, comme à chaque grande épidémie. McAfee a également mis à jour son outil gratuit Stinger afin qu’il soit capable de traiter cette dernière version de Sobig.[Mise à jour :Le ver est programmé pour forcer tous les PC infectés à travers le monde (plus d’un million en quatre jours seulement) à télécharger et exécuter un programme inconnu le 22 aôut à 21 heures (heure Française, 19 heures UTC). Ultime raffinement : cette attaque se fera simultanément à travers la planète car le ver utilise les services d’horloges atomiques disponibles sur Internet afin de synchroniser le lancement de cette seconde vague. Si les éditeurs d’antivirus ont bien réussi a casser le chiffrement qui protège l’addresse des sites web auxquels chaque ver se connectera pour télécharger sa charge offensive, ils ne sont parvenus à rien de plus : l’adresse est fictive pour l’instant. Elle sera probablement mise à jour au dernier moment afin d’éviter que les serveurs web ne soient désactivés par les autorités. Un tel mode opératoire amène les éditeurs d’antivirus à penser que le programme téléchargé pourrait être l’outil d’un attaque par déni de service massive, ou un cheval de Troie chargés de voler en une nuit un maximum de documents. En tout cas, la méthode est inédite et plutôt bien pensée.