Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Aperçu de l’activité virale du mois de Novembre 2008 présenté par Doctor Web, Ltd.

décembre 2008 par DrWeb

Le service de veille antivirale de Doctor Web présente l’analyse de l’activité virale du mois de novembre 2008. La fermeture de l’hébergeur web McColo Corporation, associé à un taux de 75% de spam par rapport au trafic mondial, scinde le mois de Novembre en deux périodes. Outre le spam, les malfaiteurs ont utilisé d’autres techniques de propagation des codes malicieux et notamment les supports amovibles.

Le langage de programmation orienté administration de Windows dit AutoIt attire les malfaiteurs par les larges possibilités qu’il offre. Ce mois de novembre en fait la démonstration. AutoIt est caractérisé par sa facilité de programmation. Bien que les programmes AutoIt soient écrits sous forme de scripts, un fichier exécutable peut être créé. De plus, il est possible de compresser sa partie exécutable. Ainsi, les auteurs des virus empêchent leur détection en utilisant des moyens différents tels que le « shrouded code », tout en gardant la fonctionnalité de ces codes.

Les virus propagés avec les médias amovibles sont particulièrement dangereux pour les entreprises et institutions gouvernementales. Les mesures destinées à contrer ce type de menaces consistent à utiliser des logiciels spécialisés permettant de restreindre les possibilités de connexion des supports amovibles aux machines, voir de bloquer l’utilisation de tels dispositifs.

Dr.Web Antivirus version 5.0, qui est disponible actuellement en béta version, est doté d’un module permettant de décompresser les fichiers contenus dans les vers AutoIt et d’analyser les scripts AutoIt. Ce type de virus est classé dans la base virale Dr.Web comme Win32.HLLW.Autoruner.

Virus de mail

Avant la fermeture de l’hébergeur web McColo, une source importante de spam, les envois de spam utilisés comme transport pour des programmes malicieux ce sont montrés nombreux et variés. Ces envois ont utilisé une large gamme de techniques afin d’inciter les internautes à lancer les fichiers malicieux. L’analyse de ces techniques vous est présentée ci-dessous.

Trojan.PWS.GoldSpy.2454 (1,49% - taux de ce programme malicieux parmi le total de messages avec fichiers malicieux en pièces jointes au mois de novembre 2008) a été propagé sous forme de carte de vœux électronique. Etant utilisé depuis longtemps, cette méthode reste toujours efficace. Le nom du fichier exécutable était card.exe. De tels messages, contenant un lien direct vers l’exécutable, ont été également utilisés afin de diffuser une autre modification du virus - Trojan.PWS.GoldSpy.2466.

Pour les envois du trojan Trojan.DownLoad.3735 (1,36%) la technique de double extension a été appliquée – l’archive active_key.zip attachée dans la pièce jointe contenait le fichier active_keys.zip.exe. Le message informait l’internaute que son compte utilisateur avait été bloqué suite à sa requête et lui a proposé de l’activer. Le nom du service associé au compte en question n’été jamais mentionné. Afin d’en savoir plus sur la procédure d’activation, l’utilisateur était invité à ouvrir le document en pièce jointe. Ce document ressemblait à un texte Microsoft Word, alors qu’en réalité il s’agissait d’un exécutable contenant un code malicieux. Une autre modification de ce message contenant un virus informait l’internaute de changements apportés aux termes du contrat conclu avec l’utilisateur.

Dans le but de la propagation de Trojan.PWS.GoldSpy.2456 (4,65%) les malfaiteurs ont utilisé la technique d’intimidation. Le message reçu par l’internaute l’avertissait du blocage à venir de son accès à Internet sous prétexte qu’il n’avait pas respecté la loi relative aux droits d’auteurs. Le même message invitait l’internaute à consulter un aperçu de ces activités, se trouvant dans la pièce jointe, sur des 6 derniers mois. En réalité, le fichier contenait un objet malicieux (user-EA49945X-activities.exe). Ce trojan a été également diffusé avec des messages portant sur les élections présidentielles aux Etats-Unis.

Un autre envoi massif comprenait des messages informant de la non livraison d’un colis suite à une erreur dans l’adresse de destinataire. L’internaute était invité à imprimer « une facture » contenu en pièce jointe - un programme malicieux, détecté par Dr.Web comme Trojan.PWS.Panda.31 (2,50%)), et à récupérer son colis du bureau. En guise d’intimidation, le message annonçait que l’internaute serait obligé de payer les frais de consigne soit $6 par jour, en cas de non récupération du colis dans 10 jours dès réception du message.

Les spécialistes du service de veille antivirale de Doctor Web ont constaté plusieurs envois de spam russophones. Les messages de tels envois contenaient "un rapport renouvelé" détecté par Dr.Web comme Trojan.DownLoad.12539. Le nom de fichier porte une double extension - DocNew.Doc.exe.

Un autre envoi russophone proposait de consulter gratuitement un site pornographique dont tous les liens redirigeaient vers un fichier malicieux contenant Trojan.Clb.23. De nouvelles modifications de Trojan.DownLoad.4419 ont été diffusées sous forme d’invitations à la consultation de vidéos pornographique.

Le mois de novembre 2008 a vu plusieurs envois proposant aux internautes d’apprendre à « gagner facilement de l’argent sur les enchères de eBay ». Le fichier html dans la pièce jointe a été détecté par Dr.Web comme Trojan.Click.21795. Ce fichier contient un script chiffré dont l’action consiste à rediriger vers un site de publicités relatives à une formation. D’autres envois de ce genre ont fait la publicité d’envois via les flux RSS ainsi que de publicité gratuite proposée par les services Google, Yahoo etc.

Dès la fermeture de l’hébergeur web McColo Corporation, le taux de spam a été considérablement réduit. Mais peu de temps après, l’envoi des programmes malicieux contenant des messages spams a repris. Actuellement ces envois ne sont que d’une durée très courte mais le nombre de messages est important. Ainsi, l’envoi massif de Trojan.PWS.Panda.31 a recommencé ainsi que celui des messages contenant un script chiffré détecté par Dr.Web comme Trojan.Click.21795.

Les auteurs de Trojan.DownLoad.4419, qui ont changé d’emploi, ont envoyé un message avec le lien vers un faux site web sous prétexte de télécharger une version beta du navigateur Microsoft Internet Explorer 8.

Les envois en allemand qui figuraient dans notre aperçu du mois d’octobre ont également recommencé. Les messages en question informent sur des frais à payer dont « les détails » figurent en pièce jointe. Auparavant, le raccourci et le fichier malicieux (à l’extension anodine) étaient contenus dans le même dossier. Cette fois le fichier malicieux est placé dans le dossier tandis que le raccourci est à l’extérieur. Ce trojan est détecté par Dr.Web comme Trojan.DownLoad.16843 (2,46%).

Phishing

Dans beaucoup de pays, le mois de novembre 2008 a été marqué par des vagues de phishing visant les utilisateurs des systèmes bancaires en ligne et les services associés. Les clients de telles banques comme la JPMorgan Chase Bank ou la RBC Royal Bank ont été concernés ainsi que les utilisateurs des systèmes Google, AdWards et PayPal.

En outre, les escrocs sms se sont fait remarquer. Ces malfaiteurs cherchent toujours de nouvelles techniques de livraison des messages sms de telle façon que les utilisateurs soient intéressés.

Depuis le mois de novembre 2008 la base virale de Doctor Web s’est étoffée de 25 461 entrées virales. Cela fait d’environ 850 nouvelles entrées par jour. Il est à noter qu’avec une seule entrée dans sa base virale, l’antivirus Dr.Web permet de détecter un grand de modifications de virus. Ceci est possible grâce à la technologie de détection Origins.Tracing™. Les statistiques ci-dessous prouvent la nécessité de mettre à jour l’antivirus toutes les heures au minimum. Une telle fréquence est assurée par le module de mises à jour automatique implanté dans des solutions Dr.Web. Le module antispam devient tout aussi indispensable afin d’assurer une protection contre le trafic mail parasite pouvant perturber le fonctionnement des messageries.

Top 20 les plus fréquemment détectés sur les serveurs de messagerie au mois de novembre 2008 - 01.11.2008 00:00 - 01.12.2008 00:00

1 Win32.HLLM.MyDoom.based
13741 (15.33%)
2 Win32.Virut
13036 (14.55%)
3 Win32.HLLM.Alaxala
5705 (6.37%)
4 Trojan.MulDrop.13408
4534 (5.06%)
5 Win32.HLLM.Beagle
4426 (4.94%)
6 Trojan.MulDrop.16727
4206 (4.69%)
7 Trojan.PWS.GoldSpy.2456
4145 (4.63%)
8 Win32.HLLW.Autoruner.2640
3032 (3.38%)
9 Trojan.MulDrop.18280
2580 (2.88%)
10 Trojan.PWS.Panda.31
2228 (2.49%)
11 Trojan.DownLoad.16843
2192 (2.45%)
12 Win32.HLLM.Netsky.35328
1888 (2.11%)
13 Win32.Virut.5
1497 (1.67%)
14 Win32.HLLM.MyDoom.33
1442 (1.61%)
15 Win32.HLLM.Netsky
1361 (1.52%)
16 Trojan.PWS.GoldSpy.2454
1328 (1.48%)
17 Trojan.MulDrop.19648
1310 (1.46%)
18 Win32.HLLW.MyDoom.43010
1306 (1.46%)
19 Win32.HLLM.Mailbot
1305 (1.46%)
20 Trojan.DownLoad.3735
1212 (1.35%)

Top 20 les plus fréquemment détectés sur les PC au mois de novembre 2008 - 01.11.2008 00:00 - 01.12.2008 00:00
1 Win32.HLLW.Gavir.ini
2039696 (21.98%)
2 Win32.HLLM.Lovgate.2
414507 (4.47%)
3 VBS.Autoruner.7
310657 (3.35%)
4 Win32.HLLM.Generic.440
288404 (3.11%)
5 VBS.Autoruner.8
277825 (2.99%)
6 Win32.Alman
275230 (2.97%)
7 DDoS.Kardraw
252853 (2.72%)
8 Win32.HLLP.Whboy
198018 (2.13%)
9 Trojan.Recycle
192769 (2.08%)
10 Win32.HLLP.Neshta
177445 (1.91%)
11 Win32.HLLP.Jeefo.36352
168291 (1.81%)
12 Win32.Virut.5
154206 (1.66%)
13 Win32.HLLW.Autoruner.274
147315 (1.59%)
14 Trojan.DownLoader.42350
132782 (1.43%)
15 Win32.HLLW.Autoruner.3631
120982 (1.30%)
16 VBS.Generic.548
110152 (1.19%)
17 Win32.HLLO.Black.2
97456 (1.05%)
18 Win32.HLLW.Autoruner.2805
89892 (0.97%)
19 Win32.HLLW.Cent
88296 (0.95%)
20 Trojan.MulDrop.18538
86521 (0.93%)


Voir les articles précédents

    

Voir les articles suivants