Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr    
     
     
Les Analyses les plus Populaires



Cybermenaces financières en 2013. 2e partie : programmes malveillants



BitGuard : un système de recherche forcée



Evolution des menaces informatiques : 3e trimestre 2013



Cyber-menaces financières en 2013. 1ère partie : phishing



Bulletin Kaspersky Lab – prévisions 2014
 
 

  Page d'accueil / Analyses

Evolution du malware : Juillet-Septembre 2005

20.10.2005   |   comment

Alexander Gostev
Expert Antivirus Senior, Kaspersky Lab

Désormais, il est de mise que la fin de l'été soit synonyme de forte activité virale. 2005 ne fait pas exception à la règle. Le troisième trimestre fut riche en évènements et ces derniers vont certainement avoir des répercussions sur l'industrie de la sécurité informatique au cours des prochains mois.

  1. Vulnérabilité critique dans le service Plug'n'Play Microsoft Windows
  2. L'actualité des antivirus intégrés au routeur et les vulnérabilités dans Cisco IOS
  3. Social Engineering
  4. Situation du point de vue des vers IM
  5. Situation des virus pour appareils mobiles

Vulnérabilité critique dans le service Plug'n'Play Microsoft Windows

Nos analyses précédentes n'ont eu de cesse de souligner le changement de comportement des cybercriminels qui exploitent massivement les vulnérabilités des applications Web, et tout particulièrement Internet Explorer, au détriment des attaques de réseau et des vers de messagerie – en résulte, une nette augmentation de sites web dont la consultation déclenche l'installation de chevaux de Troie sur les machines des internautes.

De telles attaques ont eu lieu en grand nombre sur des portails de jeux en ligne sud coréens. Des programmes de Troie espions, dérobant les données des joueurs de « Legend of Mir » et « LineAge », ont été installés sur ces sites. Le trojan le plus installé à ce jour est LdPinch, l'un des plus connus.

Ces attaques sont très fréquentes, dès lors qu'aucunes vulnérabilités critiques dans le système d'exploitation Windows n'a été répertoriée. Plus d'un an s'est passé depuis la découverte de failles dans le service LSASS, depuis, la quasi-totalité des machines vulnérables a eu le temps d'installer les patchs nécessaires, fermant ainsi la vulnérabilité en question.

Néanmoins, il est clair qu'un tel état de « calme » ne pouvait durer. Le 09 août, la société Microsoft a publié une énième liste de patchs pour son système d'exploitation. Parmi eux se trouvait le patch colmatant la brèche dans le service Plug'n'Play, (MS05-039) dont le statut était critique. Les cybercriminels ont réagi sans attendre en tentant de trouver par eux-mêmes la vulnérabilité en question pour créer de nouveaux codes malicieux. La tâche était laborieuse car, dans la liste des vulnérabilités des systèmes d'exploitation, tous les OS actuels de Microsoft était présents:

  • Microsoft Windows 2000 (SP4);
  • Microsoft Windows XP (SP1 or SP2);
  • Microsoft Windows XP Professional x64 Edition;
  • Microsoft Windows Server 2003;
  • Microsoft Windows Server 2003 (for Itanium-based systems);
  • Microsoft Windows Server 2003 x64 Edition.

Aussi, le nombre d'ordinateurs susceptibles d'être touchés par cette vulnérabilité s'élevait à quelques centaines de millions de par le monde.

Dès le lendemain, le hacker russe houseofdabus avait crée un Proof of Concept (programme démontrant la faisabilité d'une attaque exploitant une faille informatique) pour cette vulnérabilité. Ce PoC n'a pu fonctionner que sur les ordinateurs sous Windows 2000. Le 12 août, cet exploit était publié sur les plus importants sites de sécurité entraînant ainsi l'apparition de programmes malicieux se propageant via cette faille.

Notons que houseofdabus s'avère être une fois de plus le « provocateur » involontaire d'épidémies virales. Le ver Sasser, qui a causé une épidémie mondiale en mai 2004, ainsi que des centaines de vers similaires, se basaient sur les virus conceptuels crées par houseofdabus pour la brèche dans le service LSASS.

D'ailleurs, la vulnérabilité Plug'n'Play et LSASS présentent de très fortes ressemblances (visibles sur les screenshots suivants):


Code de la vulnérabilité dans le service LSASS (MS04-011).


Code de la vulnérabilité dans le service Plug'n'Play (MS05-039).
En rouge est indiqué la différence d'avec le code de la faille LSASS.

Le 13 août, les premières variantes de l'ancien ver Mytob étaient authentifiées. Au cours des jours suivants, divers vers et bots, parés du code en question, sont apparus. Certains d'entre eux, causant l'une des plus bruyantes histoires virales de l'année, ont réussi à défrayer la chronique en touchant les grosses pointures de la presse américaine – ABC, CNN et d'autres. Cette histoire a été fortement diffusée et relatée dans les media, bien qu'il ne s'agissait pas ici d'une véritable épidémie mondiale par ver comme ont pu provoquer Sasser ou LoveSan.

Cette fois ci, seule une chaîne de petites épidémies locales de différents vers et bots est apparue. Comment cela s'est il produit ?

Tout d'abord, l'attaque ne possédait pas un caractère universel et ne concernait que Windows 2000 SP4. Les hackers se sont simplement contentés de détourner le PoC, mais n'ont pas déployé d'efforts supplémentaires pour étudier en profondeur la vulnérabilité. Si le PoC avait fonctionné depuis le début sur XP et sur Windows 2003, alors l'épidémie aurait été beaucoup plus importante.

De plus, la ressemblance des vulnérabilités PnP et LSASS a permis aux victimes de résoudre rapidement le problème car elles savaient exactement comment réagir face à cette situation. Lors de l'attaque, l'ordinateur s'est conduit de manière identique et a affiché les mêmes messages d'erreur.

Qui plus est, l'expérience des épidémies précédentes a aussi permis aux utilisateurs d'avoir des connaissances techniques plus approfondies. Aujourd'hui, il est difficile de trouver un internaute qui n'utilise pas d'antivirus et/ou de pare-feu. Il y a encore deux ans, cette pratique n'était pas considérée comme nécessaire.

En conclusion, les internautes et les entreprises ont démontré qu'ils étaient en mesure de faire face à l'apparition de nouvelles vulnérabilités dans Windows en installant rapidement les correctifs nécessaires. Il s'agit là d'une tendance relativement favorable et positive qui confirme la disparition des épidémies géantes entrainées par les vulnérabilités de Windows.

L'arrestation le 26 août au Maroc et en Turquie de Farid Essebar (Diabl0) et Atilla Ekici (Coder), deux suspects ayant créés plusieurs variantes du vers Mytob, est également un évènement digne d'intérêt. Le premier est soupçonné d'avoir conçu les vers et le deuxième serait responsable de leur diffusion et de la maintenance des canaux IRC pour la gestion des ordinateurs infectés. Leur arrestation prouve la prise de conscience et les investissements consentis par les forces de l'ordre pour punir les auteurs de virus dont les attaques portent atteintes aux multinationales.

Cette infection est toujours active mais notons que depuis septembre, le nombre de nouveaux Mytob a brusquement diminué.

Il s'agit là d'une autre temps fort qui montre que tous les auteurs de virus « brillants » dont les virus ont causé des problèmes majeurs au sein de grosses corporations, sont découverts par la police et poursuivis en justice.

L'actualité des antivirus intégrés aux routeurs et les vulnérabilités dans Cisco IOS

Les évènements décrits plus haut liés à la faille de Windows PnP ont confirmé les conclusions des experts. Selon eux, il s'avère que la méthode la plus efficace pour enrayer les épidémies virales mondiales est l'intégration de solutions antivirus dans les équipements réseau. Etant directement intégrés aux routeurs/commutateurs, elles sont capables de détecter le corps des virus ou les paquets de données envoyés par l'attaque, directement dans le trafic réseau. En détectant ce type de paquets, elles empêchent d'atteindre l'utilisateur final.

A l'heure actuelle, les plus influents constructeurs d'équipement réseau, tels que Cisco, Juniper, SonicWall, ZyXEL etc., collaborent avec les éditeurs d'antivirus afin de proposer à leurs clients des appliances de sécurité.

Cependant, plusieurs chercheurs en sécurité informatique se sont penchés sur les menaces potentielles qui pèsent sur les appliances en question. En effet, les attaques sur les équipements réseau pourraient avoir des répercussions plus importantes qu'une épidémie de ver fonctionnant uniquement sous Windows. En cas d'attaque de ce genre, tous les utilisateurs du réseau peuvent se retrouver sans Internet, peu importe le système d'exploitation utilisé.

Ce type de menace doit absolument être prise en considération, d'autant que l'an dernier une brèche dans le code source (complète ou partielle) du système d'exploitation Cisco IOS version 12.3 et 12.3t a été détectée, et que, la fuite du fichier d'archive de taille 800 Mo a eu lieu le 13 mai 2004.

Notons que le système d'exploitation Internetwork (IOS) équipe la plupart des commutateurs et des routeurs Cisco qui détient 60% du marché dans le monde.

Par ailleurs, les résultats de l'enquête menée par Mickael Linn, collaborateur de la très célèbre société ISS spécialisée dans le domaine de la protection de l'information, ont été suivis d'un scandale. En avril 2005, il a révélé publiquement la vulnérabilité dans l'OS Cisco. Cette dernière permet d'effectuer des attaques de DoS et d'exécuter le code arbitraire dans le système. De facto, cette vulnérabilité menace toute l'infrastructure Internet.

La société ISS a aussi alerté l'industrie de la sécurité informatique en affirmant que les codes sources IOS se trouvaient certainement aux mains de hackers et que l'on pouvait s'attendre à ce que cette vulnérabilité soit divulguée. En même temps, on se souvient que la société ISS était récemment responsable d'une petite épidémie virale. En mars 2005, dans le logiciel édité par cette société, une vulnérabilité était détectée et en dépit du fait qu'elle ait été rapidement corrigée – un grand nombre de clients ISS ont été victimes du ver Witty, apparu seulement deux jours après la détection de la faille.

Lors des conférences sur la sécurité Black Hat et Defcon en juillet, Michael Linn a montré qu'il pouvait prendre le contrôle d'un routeur Cisco en exploitant une faille de sécurité connue d'IOS. Jusqu'alors, ce système d'exploitation était considéré comme imperméable à de telles attaques. Malgré les menaces de poursuite judiciaire et le renvoi de Michael Linn de l'ISS, le rapport "The Holy Grail: Cisco IOS Shellcode and Exploitation Techniques," a été publié et l'information est devenu publique malgré les efforts de Cisco pour cacher les détails sur cette vulnérabilité. A l'heure actuelle, une action en justice a été engagée contre Michael Linn par Cisco.

Le rapport de Linn n'est pas passé inaperçu, et ses travaux sur la vulnérabilité dans IOS ont été poursuivis par d'autres chercheurs. De temps à autre, une information apparaît concernant le fait que des experts indépendants ont déjà crée un échantillon conceptuel du ver IOS ou ont authentifié une méthode de lancement du code arbitraire, etc. Pour le moment, cette information n'a pas été confirmée officiellement mais nous considérons ces informations comme très sérieuses, et estimons que de possibles attaques d'Internet via l'exploitation de cette vulnérabilité existent bel et bien.

Le seul obstacle à une attaque de ce genre est le cercle réduit de personnes possèdant les connaissances et l'expérience nécessaire. L'autre facteur dérangeant est l'absence d'avantages financiers directs pour l'attaquant. Les cybercriminels ne sont pas intéressés par la mise hors service de segments isolés d'Internet. En revanche, la probabilité que le ver conceptuel IOS prenne son envol existe toutefois, comme en 1988 avec le ver Morris, ou en 2003 avec le ver Slammer.

Sans aucun doute, très prochainement, l'attention des auteurs de virus ne se canalisera plus uniquement sur les vulnérabilités dans les systèmes traditionnels – Windows\Unix et leurs applications – mais sur les vulnérabilités des équipements réseaux.

Social Engineering

C'est un thème qui revient régulièrement dans nos comptes-rendus analytiques. Nous soulignons inlassablement que le facteur humain est le plus important dans un système de sécurité. Il est clair qu'en premier lieu de telles difficultés doivent préoccuper les grandes entreprises, en particulier les acteurs du secteur financier. Dans le précédent rapport, nous avons constaté que les cybercriminels ne s'attelaient plus à conduire des attaques en masse mais préféraient cibler des sociétés, or ces menaces possèdent en général des particularités uniques ce qui complique l'utilisation de mesure de protection standard contre elles.

Cependant, les internautes ne doivent pas alléger les mesures de précaution mais constamment rester vigilant afin de mieux détecter de telles attaques. Un ordinateur doté de tous les patchs possibles et sans vulnérabilités dans les applications peut être infecté de façon tout aussi réussie qu'une machine non protégée. Dans le cas présent, la méthode la plus efficace pour s'infiltrer dans un système reste le social engineering autrement dit l'ingénierie sociale. L'attaquant doit attirer l'attention et inciter la curiosité de l'attaqué, amener ce dernier à exécuter des actions spécifiques comme :

  • visiter un site donné et rentrer des données diverses,
  • télécharger et lancer une application inconnue,
  • ouvrir un fichier reçu par email.

L'imagination des ces attaquants ne connaît pas de limites. Un des exemples les plus connus est le phishing, qui n'exige pas de l'attaqué qu'il visite un site, mais communique ses données personnelles. Ce dernier se voit simplement envoyer un formulaire à remplir et à renvoyer par fax. Cette méthode est relativement nouvelle. L'attaqué, qui a peut être entendu parler des faux sites, va éventuellement faire confiance à une demande d'envoi de ses données par fax. La méfiance envers les systèmes en ligne peut effectivement amener à une plus grande confiance (souvent injustifiée) dans les moyens traditionnels offline (téléphone/fax). Comme le montre cet exemple, les attaquants comprennent parfaitement la psychologie des internautes et savent sur quels arguments s'appuyer.

Dans ce contexte, il faut reconnaître que les moyens mis en ?uvre dans les entreprises comme la création d'un navigateur authentifiant le site web visité ou pour protéger les données conservées sur l'ordinateur contre la fuite, ne sont pas capables de régler le problème dans toute son ampleur, et sont souvent dépassés.

Le troisième trimestre 2005 fut riche en catastrophes naturelles. Malgré le caractère affligeant de ces événements, les cybercriminels n'ont pas une seconde hésité à tirer partie de la compassion d'autrui (ainsi que la curiosité humaine face aux catastrophes). Août et septembre ont été les mois les plus actifs en nombre de diffusion de spams et virus divers, exploitant le thème des catastrophes. En gros, le nombre de diffusion est proche de celui des fraudeurs de décembre-janvier qui avaient spéculé sur le thème des tsunamis en Asie du sud est.

Ce trimestre, ces diffusions étaient basées sur deux thèmes – les attentats de Londres en juillet , ainsi que les ouragans Katrina et Rita en août et septembre. Quelques jours après les explosions dans le métro londonien, les éditeurs d'antivirus ont détecté plusieurs diffusions de programmes malicieux. Les plus répandus ont été les suivants :

Mais les vraies bacchanales ont eu lieu fin août - début septembre lorsque la côte sud des Etats-Unis a été ravagée par Katrina, l'un des ouragans les plus dévastateurs de ces dernières décennies. Dès le lendemain, les internautes se voyaient assénés de dizaines de lettres proposant de « voir des vidéo », « connaître les données secrètes concernant le nombre de victimes », « lire l'annonce du président » et divers autres messages dont le but unique était d'attirer le lecteur sur des sites vérolés (en règle général, les traditionnels exploits .HTML.Mht mais aussi des innovations tels que les exploits .JS.JavaPrxy ou IframeBof). D'ailleurs, dans de nombreux cas, les cybercriminels ne se sont pas limités à l'installation de programmes de Troie sur les machines des internautes.


Exemple de spam au sujet de l'ouragan Katrina.

Certains ont tenté de soutirer de l'argent de façon beaucoup plus directe en diffusant par exemple des lettres de demande de dons pour les victimes de l'ouragan, se faisant passer pour des agences mandatées. L'institut SANS a mené une enquête personnelle et a identifié une croissance certaine du nombre de domaines enregistrés composé du mot Katrina.

Dans ce contexte, les cybercriminels ont une fois de plus prouvé leur talent. « En collectant » les gains, ils n'ont pas manqué de voler également les données bancaires des cartes des internautes. Sous la forme d'une variante simplifiée de collecte de dons, sur certains sites, les internautes se sont vus proposer de taper le numéro et le code de leurs cartes bancaires. Il va de soi que cette information allait directement dans les mains de fraudeurs.

Les mêmes tactiques ont été adoptées quelques jours plus tard, lorsque l'ouragan Rita s'est abattu sur les Etats-Unis. Heureusement, les dégâts ont été moins importants et par conséquent de tels lettres et programmes de Troie se sont faits plus rares.

<>Ainsi, ces événements démontrent une fois de plus la dangerosité et la cadence toujours plus soutenue du développement de l'ingénierie sociale. Une formation constante du personnel est indispensable pour détecter les attaques de ce type. Pour ce qui est des particuliers, une attention accrue et un scepticisme aiguisé face aux lettres porteuses de demandes d'aide financière en période de catastrophes naturelles sont fortement recommandés.

Situation du point de vue des vers IM

Dans le premier rapport trimestriel de l'année, nous avions remarqué l'apparition et le développement très actif d'une nouvelle classe de vers de réseau – les vers IM autrement dit de messagerie instantanée (vers utilisant pour leur propagation des programmes populaires d'échanges de messages instantanés). Nous avons identifié une évolution similaire au développement des vers P2P et des signes avant-coureurs du développement d'une nouvelle classe de vers crées dans le langage Visual Basic et basés sur un exemple standard de code.

Ce printemps ainsi que cet été, les vers de messagerie étaient au pic de leur développement et ont démontré des rythmes de croissance beaucoup plus élevés que tous les autres types de vers de réseau. Nous avons enregistré 28 nouveaux vers de messagerie chaque mois. Rappelons qu'au pic de développement des vers P2P en 2003, leurs indicateurs montraient une dizaine de nouvelles variantes par semaine.

Mais, tout a changé brusquement. Ce flux de vers de messagerie s'est arrêté sans crier gare. Aujourd'hui, nous détectons environ une nouvelle variante de ces vers par semaine et il s'agit uniquement de nouvelles variantes d'anciennes familles. Que s'est il donc passé avec le malware de la messagerie instantanée ? Essayons de démêler les raisons de ce fait peu habituel dans l'histoire virale.

Les sociétés AOL et MSN, dont les services de programmes d'échanges instantanés de messagerie sont devenus la plate-forme principale pour le fonctionnement de ce type de vers, ont pris une série de mesures pour protéger leurs utilisateurs. En premier lieu, ils ont bloqué la transmission de fichiers dont les noms et extensions correspondaient à des variantes connues de vers de messagerie instantanée. Même si une telle méthode de transmission était utilisée par un nombre limité de vers, cette approche s'est avérée tout à fait viable. L'étape suivante fut le blocage de la transmission de cyber liens sur des fichiers analogues, or cette méthode était basique pour les vers de messagerie instantanée.

De cette façon, les nombreuses failles exploitées par les auteurs de virus ont été fermées comme les trous de sécurité qui étaient exploités par des vers basés sur des codes sources circulant dans l'informatique souterrain. La plupart des codes présents dans les vers IM était de mauvaise qualité, nous en avons conclu que ces derniers étaient crées par des script-kiddies, ceux-ci possèdent des connaissances en programmation limitées. Après quoi, comme les solutions prêtes ont cessé de fonctionner, ces auteurs de virus n'ont pas pu trouver de nouvelles méthodes pour diffuser des programmes malicieux ce qui a entrainé la chute des vers de messagerie instantanée.

Mais, il nous semble qu'il ait un facteur non moins important et que nous évoquerons dans notre prochaine analyse trimestrielle – la vulnérabilité PnP. Pourquoi les vers IM se sont-ils développés avec une telle ardeur en ce début d'année ? S'agit-il de l'absence de failles dans Windows qui a obligé les auteurs viraux à se tourner vers d'autres moyens de transmission des données plus populaires ? Le courrier électronique n'était pas un bon choix pour des raisons que nous avons maintes fois exposées. Les réseaux P2P et les canaux IRC sont en régression et peu intéressants à cause d'un nombre restreint d'utilisateurs. Il restait sans doute la méthode la plus populaire de communication du moment – la messagerie instantanée. C'est de là que vient cette rafale de programmes malicieux pour la plate-forme en question.

Or, la vulnérabilité PnP est devenue un catalyseur, déviant momentanément les préférences des malfaiteurs du Net. La vulnérabilité PnP offre aux auteurs de virus de bien plus grandes possibilités et un plus grand nombre d'ordinateurs vulnérables que les IM. Il existe quelques clients IM populaires, l'écriture d'un ver universel pour eux tous semble impossible, qui plus est les mesures prises par AOL et MSN semblent avoir portées leurs fruits.

Le trou de sécurité dans PnP est devenu l'évènement le plus remarqué de 2005, changeant de manière significative le paysage viral et définissant les tendances de développement des programmes malicieux pour les quelques mois à venir.

Pour ce qui est des vers IM, pour le moment, ils répètent point pour point le parcours des vers P2P, lorsqu'une progression fulgurante est suivie d'une régression du même type. D'autant que les raisons sont similaires – les vers P2P ont disparu avec l'ouverture de la faille dans RPC DCOM et LSASS. Il est très probable que d'ici ces prochains mois, les vers IM ne pourront plus provoquer d'épidémies remarquées et ne seront même plus une menace pour l'utilisateur. Pourtant avec le temps, si de nouvelles failles critiques dans Windows viennent à manquer, l'intérêt des auteurs de virus vers cette méthode de diffusion reviendra.

Situation des virus pour appareils mobiles

Récemment, Kaspersky Lab a publié une grande enquête sur la situation actuelle des virus pour les appareils mobiles et les tendances à venir dans ce secteur particulier de la virusologie. Ce rapport indiquait en conclusion que la dynamique d'ensemble des auteurs de virus dans le secteur des mobiles durera environ encore six mois. Au cours de cette période, on verra vraisemblablement un flux régulier de virus connus légèrement modifiés et apportant très peu de nouveautés technologiques.

Depuis la publication de cette analyse, ces pronostiques se sont confirmées. Quelques nouveaux Trojans pour Symbian sont apparus dotés de quelques nouveautés technologiques.

Fin septembre, le programme de Troie Cardtrap (Trojan.SymbOS.Cardtrap) a été détecté. Ce dernier « respecte » point pour point le principe de base des trojans sur Symbian : lors de l'installation dans le système, il vide des fichiers ou réécrit des copies de fichiers d'applications d'éditeurs tiers de façon à les rendre inutilisables. La seule différence par rapport aux autres programmes de Troie réside dans le fait qu'il ne se contente pas de réécrire les fichiers dans le téléphone, mais il installe aussi dans la carte mémoire amovible du téléphone deux programmes malicieux fonctionnant uniquement dans l'environnement de Win32 ! Le premier est une variante très connue de la backdoor multifonctionnelle Padobot. Le deuxième est également une variante connue du ver de courrier Rays.

D'ailleurs, c'est déjà la deuxième fois que ce ver est détecté sur différents appareils mobiles. Fin août au Japon, une grande partie (environ 4000 pièces) de lecteurs MP3 Zen Neeons s'est retrouvée infecté par ce ver. Malheureusement, nous n'en connaissons pas les raisons exactes et ne disposons pas des résultats de l'enquête menée par la société éditrice.

Les auteurs de trojans installent Padobot sur la carte amovible sous forme de fichier d'auto- démarrage. Pourtant, autant que nous le sachions, dans le système d'exploitation Windows l'auto-démarrage depuis les cartes amovibles ne fonctionnent pas, ce qui exclut pratiquement tous risques lors de la lecture de cette carte depuis l'ordinateur. Le ver Rays s'installe sur la carte sous forme de fichier du nom de system.exe, et se présente sous forme d'icône correspondant à un répertoire mais pas à un fichier. De cette façon, le lancement du ver est possible au cas où l'utilisateur prendra cette icône pour un répertoire et tentera de l'ouvrir.

Jusqu'à présent, nous n'avons pas rencontré de tels comportements parmi les virus mobiles – tentative d'infection simultanée de deux systèmes d'exploitation (Windows et Symbian). Nous n'avons néanmoins pas constaté quelque chose de similaire avec le virus Lasco. Cependant, dans ce cas le composant Windows a seulement cherché sur le PC les fichiers du format sis et a tenté d'infecter leur composant Symbian.

Cet exemple montre que les cybercriminels mettent toujours l'accent sur Windows OS, quant à l'infection d'un téléphone par programme de Troie, il s'agit juste d'une étape pour atteindre l'ordinateur personnel.

Le deuxième Trojan remarqué pour Symbian a été authentifié fin septembre, il s'agit de Cardblock. Ce trojan fait partie des plus dangereux. Crée uniquement pour des actes de vandalisme, il remplit des fonctions pour le moins destructrices. Après l'installation dans le système, il supprime les répertoires système et l'information des applications installées. A la suite de quoi, le répertoire du téléphone sauvegardé dans la mémoire est supprimé ainsi que les SMS et MMS. Après quoi, de nombreux téléphones ne peuvent se charger et nécessitent un hard-reset.

Une des nouveautés technologiques s'avère être l'attaque par Trojan sur la carte mémoire amovible (MMS). Le trojan la bloque à l'aide d'un mot de passe engendré de manière arbitraire. Du moment que la carte se trouve dans le téléphone infecté, elle fonctionne correctement. Après le rechargement du téléphone ou les tentatives de lecture de la carte depuis un autre appareil – elle sera bloquée et l'accès aux données conservées sur elle sera impossible à moins d'entrer le mot de passe qui, comme nous l'avons dit précédemment, est généré de manière aléatoire et l'utilisateur ne le connaît pas.

Dans ce cas précis, nous n'avons pas seulement à faire à la suppression ou la corruption de données dans le téléphone mais à la première apparition de programmes de Troie, analogues aux trojans Windows Gpcode. Un programme de Troie qui crypte les données de l'utilisateur et exige le paiement d'une « compensation » pour obtenir le déchiffrage est un signe très inquiétant. Si celui-ci continue à s'affirmer, cela voudra dire que la cybercriminels ont tout de même trouvé un moyen de gagner de l'argent à l'aide de virus pour appareils mobiles.

Au moment où ce rapport était pratiquement terminé, nous avons reçu un message concernant la détection du premier programme de Troie pour consoles de jeux. La victime est cette fois la console de jeu PlayStationPortable de la société Sony. Le programme de Troie supprime les fichiers système sur l'appareil, la mettant hors service. Cela ressemble fortement au comportement basique des trojans pour téléphones mobiles. Quelques jours plus tard, deux trojans étaient détectés attaquant une autre plate-forme de jeux – Nintendo DS. Il n'est pas exclut qu'une apparition rapide de nouveaux trojans pour consoles de jeux marque le début de l'intérêt des auteurs de virus pour ce type d'appareils. Nous étudierons plus en détail ce sujet dans notre compte-rendu du quatrième trimestre 2005.

Source:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com