Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
Oct Nov Dec
Les Analyses les plus Populaires



Kaspersky Security Bulletin 2014. Prévisions pour les APT



Bulletin de Kaspersky sur la sécurité en 2014. Principales statistiques pour 2014



Kaspersky Security Bulletin 2014. Prévisions 2015



Kaspersky Security Bulletin 2014. Evolution des malwares



Evolution des menaces informatiques au 3e trimestre 2014
 
 

  Page d'accueil / Analyses

Développement des programmes malveillants au premier semestre 2007

22.10.2007   |   comment

Alexander Gostev
Expert Antivirus Senior, Kaspersky Lab

Ce rapport semestriel se penche sur les changements dans la dynamique du développement des programmes malveillants par rapport au dernier semestre 2006. La rédaction de ce rapport repose sur l'utilisation d'une méthodologie statistique qui diffиre de celle appliquée jusqu'а présent. Les indicateurs pour l'année 2006 utilisés dans ce rapport ont été adaptés а la nouvelle méthode ce qui signifie qu'ils peuvent ne pas correspondre aux données présentées dans le rapport de l'année derniиre.



Types de programmes malveillants au premier semestre 2007

Nous vous rappelons que la classification instaurée par Kaspersky Lab prévoit trois catégories de programmes malveillants :

  • Chevaux de Troie : différents types de chevaux de Troie incapables de se multiplier de maniиre autonome (portes dérobées, outils de dissimulation d'activité et tous les chevaux de Troie possibles) ;
  • Virus : programmes malveillants pouvant se multiplier (virus et vers) ;
  • Autres programmes malveillants : programmes trиs populaires auprиs des individus mal intentionnés qui les utilisent pour créer des programmes malveillants et pour organiser des attaques.

Le premier semestre 2007 a été marqué par des changements qui ne sont pas passés inaperзus. Le nombre de nouveaux programmes malveillants découverts par mois a augmenté en moyenne de 89% par rapport au deuxiиme semestre de l'année derniиre, soit 15 292,2 unités (contre 8 108,5 au deuxiиme semestre 2006). Pour l'ensemble de la période couverte par ce rapport, ce sont 91 753 nouveaux programmes malveillants qui ont été identifiés.

La tendance observée depuis quelques années déjа se maintient pour le premier semestre 2007 : augmentation de la part des chevaux de Troie de tout type et réduction correspondante des indicateurs Virware et Other MalWare.



Ill. 2. Rapport (en %) entre les catégories de programmes malveillants

Au cours des six premiers mois de l'année 2007, la part de chevaux de Troie a augmenté de 2,61% pour atteindre 91,36%. La simplicité relative avec laquelle les programmes malveillants de cette catégorie peuvent кtre créés (par opposition aux vers et aux virus) et leur rфle dans le vol de données, la création de réseau de zombies et la diffusion de courrier indésirable demeurent les causes principales de l'augmentation du nombre de chevaux de Troie sur Internet.

Le recul des vers et des virus (VirWare) n'est pas aussi marqué que les années précédentes (-2,26%), ce qui s'explique par le niveau déjа fort bas de cet indicateur. Il est fort peu probable que la part de VirWare continue а baisser а court terme et nous pouvons mкme affirmer que cette catégorie a atteint son « point d'équilibre ». Les vers et les virus ne vont pas disparaоtre entiиrement de la scиne. Au contraire, nous nous attendons а ce qu'ils enregistrent un certain regain de popularité en 2007, ce qui dépendra beaucoup de la découverte éventuelle de nouvelles failles critiques dans le systиme d'exploitation Windows en général et dans Vista en particulier.

S'agissant du groupe Other MalWare (principalement, divers codes d'exploitation), mкme si leur nombre est en augmentation par rapport au deuxiиme semestre 2006, leur part globale a encore reculé de 0,36% pour atteindre un niveau quasi insignifiant : 1,95%.

Nous allons maintenant nous pencher plus en détails sur les variations enregistrées dans chacune de ces classes.

Chevaux de Troie

Le graphique 3 représente le nombre de nouveaux chevaux de Troie découverts chaque mois par les analystes de Kaspersky Lab :

Un simple coup d'oeil permet de voir la popularité croissante des chevaux de Troie. Ils sont de plus en plus menaзants car dans la majorité des cas, il s'agit de chevaux de Troie qui cherchent а infliger des dommages financiers aux victimes.

La répartition des chevaux de Troie en fonction de la popularité est représentée sur le schéma suivant :

Afin de mieux comprendre les modifications qui se produisent parmi les chevaux de Troie, nous devons nous arrкter un instant sur les données relatives а la dynamique de la croissance des chevaux de Troie de divers comportements au sein du groupe. La quasi-totalité des chevaux de Troie ont activement renforcés leurs indicateurs quantitatifs :


  %% modifications 2006 2007
Other 0,07 -9% 68 62
Trojan-Clicker 1,36 57% 722 1137
Trojan-Dropper 1,92 27% 1270 1611
Trojan-Proxy 2,27 11% 1710 1901
Trojan-Spy 8,51 69% 4216 7131
Trojan 9,75 42% 5737 8170
Trojan-Downloader 21,56 46% 12363 18076
Trojan-PSW 24,33 135% 8694 20393
Backdoor 30,24 202% 8397 25345
Chevaux de Troie   94% 43177 83826


Les portes dérobées sont les types de chevaux de Troie qui ont enregistré la croissance la plus impressionnante au cours des six premiers mois 2007 : 202%. Cette performance rappelle le développement des vers de messagerie entre 2002 et 2004. A l'heure actuelle, la majorité des portes dérobées sont créées en Chine : d'aprиs nos estimations, la production chinoise représente plus de 30% de toutes les portes dérobées découvertes en 2007.

Cette rapide croissance des portes dérobées a modifié la répartition qui existait jusqu'а présent entre les comportements des programmes malveillants de la catégorie TrojWare : alors qu'en 2006, la catégorie la plus importante était celle de Trojan-Downloader, celle-ci ne représente désormais plus qu'un tiers du groupe.

Outre les portes dérobées qui représentent désormais prиs d'un tiers des chevaux de Troie (et prиs d'un tiers de tous les programmes malveillants), le nombre de chevaux de Troie espion (Trojan-PSW) qui volent les données d'accиs а divers services, jeux et applications a également sensiblement augmenté (+135%). Au sein de la catégorie TrojWare, ce comportement occupe, comme au deuxiиme semestre 2006, la deuxiиme place en nombre devant la catégorie Trojan-Downloader.

Trois groupes de comportements se sont formés au sein de la catégorie TrojWare :

  1. Backdoor, Trojan-PSW, Trojan-Downloader. Il s'agit des chevaux de Troie les plus répandus qui représentent plus de 70% de l'ensemble de la catégorie TrojWare (la part de chacun de ces comportements dans le total des chevaux de Troie dépasse 20%).
  2. Trojan, Trojan-Spy. La part de ces comportements dans le groupe est comprise entre 8 et 10% ; taux de croissance moyens. La possibilité d'une augmentation de leurs nombres au niveau indispensable pour entrer dans le premier groupe est pratiquement impossible et un recul jusqu'au niveau du troisiиme groupe est improbable.
  3. Trojan-Proxy, Trojan-Dropper, Trojan-Clicker, Other. La part de chacun de ces comportements est inférieure а 3%. A l'exception de Trojan-Clicker, le taux de croissance des comportements de ce groupe ne dépasse pas 30%. Il n'est pas exclu que le nombre d'un de ces comportements augmente jusqu'au niveau du deuxiиme groupe ; Ceci étant dit, la probabilité de voir la part des programmes malveillants de ce groupe reculer davantage sous la pression des représentants du premier groupe est bien supérieure.

Chevaux de Troie pour les jeux

Au cours du premier semestre 2007, le nombre de Trojan-PSW a augmenté de 135% et nous observons une tendance marquée en faveur d'une poursuite de cette croissance. Le comportement Trojan-PSW a réussi а dépasser ses résultats de 2006 : а l'époque, leur croissance avait été de +125%. De tels indicateurs élevés s'expliquent par le fait que 68% des représentants de la sous-catégorie Trojan-PSW sont ce qu'on appelle des « chevaux de Troie de jeux », а savoir des chevaux de Troie développés pour le vol des données des comptes utilisateurs de différents jeux en ligne.

La popularité des jeux en ligne connaоt а l'heure actuelle une véritable explosion : des millions de personnes dans le monde entier et principalement en Asie, participent а des jeux en ligne tels que World of Warcraft, Lineage ou Legend of Mir. Les personnages et les différents accessoires utilisés dans ces jeux peuvent parfois valoir des dizaines de milliers de dollars américains. Les cybercriminels ne peuvent pas ignorer un tel phénomиne. Ils volent les données d'accиs aux comptes afin de dérober les avoirs virtuels des joueurs pour les revendre sur des sites de ventes aux enchиres en ligne.

Nous avons ajouté les familles de chevaux de Troie espion suivants aux chevaux de Troie de jeu :


  I-2007 II-2006 Croissance Part
OnlineGames 8783 640 1272% 63,58
Lmir 477 601 -21% 3,45
Nilage 2602 2034 28% 18,83
WOW 510 594 -14% 3,69
Magania 1181 462 156% 8,55
Gamec 36 85 -58% 0,26
Tibia 45 15 200% 0,33
Hangame 181 155 17% 1,31
  13815 4586 201% 100,00


La famille OnlineGames compte 64% du total de chevaux de Troie de jeux découverts au cours du premier semestre 2007. Cette famille se distingue des autres par le fait qu'elle regroupe les chevaux de Troie de jeu développés pour le vol des données d'accиs а deux ou plusieurs jeux ainsi que des chevaux de Troie qui s'en prennent а des jeux moins connus et moins répandus. Ce n'est qu'au cours du deuxiиme semestre 2006 que Kaspersky Lab a commencé а confier une classe spéciale а cette catégorie, ce qui explique pourquoi son taux de croissance est de 1 272%, un chiffre qui ne reflиte pas la réalité car la période statistique est trop courte. Dans six mois, les données donneront une représentation plus proche de la réalité.

Le cheval de Troie Lmir (conзu pour le jeu Legends of Mir) le plus ancien, et le plus nombreux а une époque, de la famille continue а perdre du terrain : en 2007, la part de ces types d'espion a reculé de 21%. Les chevaux de Troie qui s'en prennetn au jeu World of Warcraft (WOW) ont connu un léger recul de 14%.

La hausse de l'intérкt marqué par les auteurs de virus vis-а-vis des jeux Gamania (famille Magania) et Tibia est clairement visible. Si la croissance de 200% pour Tibia peut s'expliquer par le nombre encore relativement faible de chevaux de Troie (45 nouveaux en 2007), Gamania quant а lui est le deuxiиme jeu en popularité parmi tous les univers ludiques attaqués.

Si l'on tient compte du caractиre non-représentatif de l'indicateur Online Games, alors la famille Nilage occupe toujours la premiиre place. La part des chevaux de Troie volant les comptes des joueurs de Lineage représente plus de 18% de tous les chevaux de Troie de jeux.

Chevaux de Troie pour les banques

La catégorie de chevaux de Troie Bankers représente 69% de la croissance des programmes malveillant au comportement Trojan-Spy. Ces chevaux de Troie sont développés pour voler les données d'accиs des utilisateurs de divers systиmes de paiement en ligne, de consultation de comptes bancaires en ligne ou les données de cartes de crédit. Il s'agit sans aucun doute de l'expression la plus évidente de la cybercriminalité. Outre la catégorie Trojan-Spy, les Bankers comprennent également certains Trojan-Downloader (famille Banload) qui se chargent de télécharger divers bankers sur les ordinateurs infectés. Cette particularité les rend indissociable des chevaux de Troie bancaires.

Les chevaux de Troie bancaires ont poursuivi leur développement en 2006 et leur nombre а pratiquement doublé : +97% par rapport а 2005. En 2007, le rythme de la croissance s'est quelque peu ralenti : uniquement +62% par rapport au deuxiиme semestre 2006. Toutefois, en termes quantitatifs, cela représente plus de 4 500 nouveaux chevaux de Troie.

Outils de dissimulation d'activité

Nous ne pouvons ignorer non plus cet autre type de chevaux de Troie que sont les outils de dissimulation d'activité. Ils ne sont pas représentés par un indicateur propre dans le tableau général de répartition des chevaux de Troie selon le comportement car le nombre est actuellement inférieur а celui de la catégorie Trojan-Clicker. Toutefois, les outils de dissimulation d'activité servent souvent de couverture а divers types de chevaux de Troie et un mкme outil de dissimulation d'activité peut кtre utilisés par divers individus mal intentionnés. Selon notre classification, les outils de dissimulation d'activité regroupent non seulement les programmes malveillants dont le verdict est rootkit mais également certaines familles d'autres chevaux de Troie qui utilisent les technologies de dissimulation d'activité (par exemple : Backdoor.Win32.HacDef).

En 2005 (année oщ les outils de dissimulation d'activité ont hérité de leur propre catégorie), ils avaient enregistré une croissance sans précédent de 413%. A l'époque, les outils de dissimulation d'activité étaient un des sujets brыlants débattus par le secteur de la sécurité informatique et les auteurs de virus s'intéressaient activement а la technologie. Aprиs un décollage aussi impressionnant, nous pouvions nous attendre а un certain ralentissement de leur croissance, toutefois ils sont restés а un niveau élevé en 2006 avec +74%.

Les six premiers mois de l'année 2007 ont été les témoins d'une croissance encore plus fulgurante de 178% !

Les vers de messagerie de la famille Zhelatin sont les programmes malveillants qui ont le plus activement utilisé les outils de dissimulation de l'activité ainsi que plusieurs portes dérobées créées en Chine.

Nous n'avons pas encore pu voir les effets de la sortie de Windows Vista qui, selon ses développeurs, ne laissent absolument aucune chance aux outils de dissimulation d'activité sur le développement de cette technologie.

Vers et virus

Le graphique nú10 représente le nombre de nouveaux virus découverts chaque mois par les analystes de Kaspersky Lab :

La stagnation de cette catégorie que nous avions pu observé en 2004 et 2005 avait laissé la place а une croissance а la fin 2006. Cette croissance s'est maintenue au cours du premier semestre 2007, mкme si les indicateurs absolus sont toujours inférieurs au maximum enregistré en octobre de l'année derniиre lorsque nous avions été confronté а des centaines de nouvelles versions du ver Warezov.

Analysons les données sur la dynamique de la croissance du nombre des programmes malveillants de divers comportements au sein de cette catégorie.

  %% modifications 2006 2007
IRC-Worm 0,36 -4% 22 23
P2P-Worm 2,54 77% 156 88
Net-Worm 2,82 73% 173 100
IM-Worm 4,07 51% 250 166
Virus 16,57 237% 1017 302
Worm 22,52 103% 1382 680
Email-Worm 51,12 5% 3137 2993
Virus   41% 6137 4352

Pendant le premier semestre 2007, ce sont les virus traditionnels qui ont affiché la croissance la plus grande parmi tous les types de programmes malveillants avec 237% ! Ceci est avant tout lié а l'immense popularité du mode de diffusion des virus reposant sur les clés USB. En 2007, la famille de virus Win32.Autorun compte déjа plus de 200 nouvelles versions. Les incidents liés а des clés USB infectées, dont celles utilisées dans les appareils photos, les téléphones et les lecteurs de MP3, se comptent par centaines. Il faut reconnaоtre que la fonction de lancement automatique des fichiers depuis les clés USB а l'aide du fichier autorun.inf inclu par défaut dans Windows est une faille supplémentaire dans le systиme de sécurité de ce systиme d'exploitation. N'oublions pas que la famille Autorun a compté plusieurs dizaines de modifications du ver Viking dont nous parlerons ci-aprиs.

Les représentants du comportement Worm ont maintenu la tendance de 2006 oщ ils avaient affiché une croissance de plus de 200%. En 2007, le rythme de croissance des programmes de la catégorie Worm s'est quelque peu ralenti mais dépasse toujours les 100%. Le ver-virus Viking, originaire d'Asie, est une fois de plus le leader. Nous avons étudié l'historique et les causes de cette épidémie locale en Chine dans le cadre de notre rapport trimestriel. Nous devons constater que malgré l'arrestation de l'auteur du ver, les codes sources de Viking sont toujours distribués sur Internet et les éditeurs de logiciels antivirus ne cessent de recevoir de nouvelles versions développées par d'autres personnes.

Le graphique suivant illustre la répartition des différents comportements de la catégorie VirWare :

Les vers de messagerie (Email-Worm) représentent toujours le comportement le plus répandu de la catégorie : ils représentent plus de la moitié de tous les éléments VirWare. Alors que la croissance des vers de messagerie avait atteint 43% en 2006 (principalement en raison de la folie d'automne de Warezov), elle n'est que de 5% pour le premier semestre 2007, ce qui n'est pas vraiment remarquable. Comme par le passé, le nombre des représentants d'Email-Worm est réparti entre trois grandes familles : Warezov, Zhelatin et Bagle. Si une d'entre elles quittait la course, la part de ce comportement dans l'ensemble reculerait probablement de dizaines de pour cent.

Nous pouvons identifier deux groupes principaux de comportements dans la catégorie VirWare :

  1. Email-Worm, Worm, Virus. La part de chacun de ces comportements dépasse les 15% du nombre total de VirWare. Stagnation du développement du leader (Email-Worm) et taux de croissance explosif des catégories Worm et Virus. Il n'est pas exclu que la catégorie Virus se retrouve en deuxiиme position а la fin du deuxiиme semestre de 2007 tandis que la part de la catégorie Worm augmenterait.
  2. IM-Worm, Net-Worm, P2P-Worm, IRC-Worm. La part de chacun de ces comportements dans le nombre total VirWar est inférieure а 5%. Le taux de croissance moyen est compris entre 50 et 80%.. La probabilité de croissance de la part au niveau des comportements existent uniquement pour IM-Worm en raison du développement des services de messagerie tels que Skype. Pour Net-Worm, la situation continue а se détériorer : l'absence de vulnérabilités critiques dans les services de réseau de Windows ne permet pas aux auteurs de virus de proposer des nouveautés.

Dans l'ensemble le rythme de la croissance de la catégorie VirWare est loin derriиre celui de la catégorie TrojWare (41% contre 94%) et il est mкme inférieur aux indicateurs OtherMalWare que nous étudierons ci-aprиs.

Autres programmes malveillants

Cette catégorie est la moins représentée en terme de programmes malveillants découverts, mais la plus importante en terme de comportements.

La croissance du nombre de nouveaux programmes malveillants dans cette catégorie en 2004 et 2005 (13 et 43% respectivement) a fait la place en 2006 а une légиre réduction (-7%). Toutefois, le premier semestre 2007 a montré que 2006 fut avant tout une période de stabilisation pour cette classe, un renforcement des positions occupées avant de passer au niveau supérieur. Ceci s'est clairement manifesté au cours du deuxiиme trimestre 2007 lorsque le nombre de nouveaux programmes de cette catégorie découvert chaque mois a pratiquement doublé.

Dans l'ensemble, nous pouvons affirmer que cette catégorie a enregistré une croissance de prиs de 60% а l'issue des six premiers mois de 2007 mais cela n'a pas suffit pour conserver son pourcentage dans la masse globale de programmes malveillants : elle est passée de 2,51 % en 2006 а 1,95%.

Voici les répartitions des différents comportements de la catégorie Other MalWare présentées sous la forme de camemberts :

Afin de mieux comprendre les modifications qui se produisent dans cette catégorie de programmes malveillants, nous devons nous arrкter un instant sur les données relatives au rythme de croissance des représentants de divers comportements au sein du groupe :


  %% modifications 2006 2007
Sniffer 0,06 -75% 1 4
SMS-Flooder 0,22 0% 4 4
Email-Flooder 0,28 -62% 5 13
Spoofer 0,34 50% 6 4
Nuker 1,40 178% 25 9
VirTool 1,62 93% 29 15
BadJoke 1,73 -39% 31 51
DoS 1,90 209% 34 11
Flooder 2,29 28% 41 32
IM-Flooder 3,07 -11% 55 62
Other 7,54 22% 135 111
HackTool 12,07 47% 216 147
Constructor 12,85 23% 230 187
Hoax 12,85 23% 230 187
SpamTool 20,50 222% 367 114
Exploit 28,83 83% 516 282
MalWare   56% 1925 1233


Le courrier indésirable et les attaques par déni de services figurent parmi les principaux sujets d'actualité dans le domaine de la sécurité des informations en 2007. Depuis le mois d'octobre de l'année derniиre, lorsque le ver Warezov a commencé а créer d'immenses réseaux de zombies, nous avons pu observer une nouvelle phase du développement du courrier indésirable sur Internet : son volume augmente ainsi que sa diversité. Dans l'ensemble, nous sommes enclins а unir ces événements. Warezov constituait des bases d'adresses électroniques et les envoyait aux individus mal intentionnés. De plus, il installait sur les ordinateurs infectés divers modules chargés de diffuser les messages non sollicités. Zhelatin et Bagle, deux autres vers de messagerie actifs, agissaient de la mкme maniиre.

Les analystes de Kaspersky Lab ont remarqué un intérкt minime mais stable pour la catégorie SpamTool en 2005. En 2006, le nombre de programmes malveillants de cette catégorie enregistra une croissance explosive de 107% et la catégorie SpamTool occupait la cinquiиme position dans le volume global des programmes du groupe Other MalWare. Au cours du premier semestre 2007, la catégorie SpamTool est devenue le leader absolu en terme de croissance dans cette catégorie. La croissance de 222% a permis а SpamTool de décrocher la deuxiиme position en pourcentage au sein de la catégorie.

S'agissant des attaques par déni de service, elles ont atteint le pic de leur popularité en 2002-2003 avant de retourner dans l'ombre pendant une longue période. Ceci est peut-кtre lié а l'arrivée d'une nouvelle génération de cybercriminels. Les individus qui pratiquaient les attaques par déni de service il y a 4 ou 5 ans ont peu а peu adopter des méthodes plus "subtiles" pour gagner de l'argent : diffusion de courrier indésirable, vol de données, installation de logiciels publicitaires. Nous voyons maintenant apparaоtre une nouvelle génération de script-kiddies qui pour l'instant n'ont rien а offrir et qui préfиrent utiliser les programmes développés par d'autres en adoptant la technique de la force brute. C'est ce qui explique l'explosion actuelle de divers programmes d'attaque par déni de service (+209%) qui permettent de lancer des attaques DoS et qui sont utilisés sur les mкmes réseaux de zombies du monde entier. Bien que les indicateurs de nombre de ce comportement soient encore modestes, la tendance а la croissance est nette et il n'est pas exclu que cette année, ce type de programme se comptera par centaine.

Les codes d'exploitation des diverses vulnérabilités occupent toujours la premiиre position parmi les programmes malveillants de la catégorie Other MalWare. Il convient de rappeler ici quelques histoires qui ont fait beaucoup de bruit lorsque divers groupes de pirates informatiques vendaient des sélections de codes d'exploitation qui par la suite furent retrouvés sur des milliers de sites compromis (cf. rapport sur le deuxiиme trimestre, Mpack).

Dans l'ensemble, le rythme de croissance des codes d'exploitation peut кtre qualifié de moyen, ce qui n'empкche pas les codes d'exploitation de représenter prиs de 30% du nombre total de la catégorie Other MalWare. Il est fort peu probable que SpamTool parvienne а devancer les codes d'exploitation en terme de popularité.

Tous les constructeurs possibles et imaginables continuent а intéresser les auteurs de virus. Ceci est également l'illustration du changement de génération : grвce aux constructeurs, il n'est pas nécessaire de créer quelque chose soi-mкme et ils permettent de produire rapidement des programmes malveillants mкme sans la moindre connaissance en programmation.

Plateformes et systиmes d'exploitation

Jusqu'а présent, nous n'avons jamais publié des statistiques détaillées sur la répartition des programmes malveillants en fonction des systиmes d'exploitation et des plateformes. Nous nous contentions de fournir des analyses particuliиres sur les systиmes non-Windows les plus intéressants (*nix, Mac OS et Symbian). Toutefois pour ce rapport, nous avons décidé d'examiner la situation dans son ensemble.

Le systиme d'exploitation ou l'application peut кtre attaqué par des programmes malveillants si elle peut lancer le programme sans faire partie du systиme. Tous les systиmes d'exploitation, de nombreuses applications de bureautique, des éditeurs d'images, des logiciels de gestion de projet et d'autres applications possédant des langages de script intégrés répondent а cette condition.

Pour l'ensemble du premier semestre 2007, Kaspersky Lab a recensé des programmes malveillants pour 30 plateformes et systиmes d'exploitation différents.

La majorité de ces programmes malveillants est bien entendu développée pour le milieu Win32 et il s'agit de fichiers exécutables binaires. Les autres programmes malveillants, ciblant d'autres systиmes d'exploitation ou plateformes, ne représentent que 4% du nombre total.

Toutefois, la part de programmes malveillants "non Win32" au cours du premier semestre 2007 a augmenté de 3,18 а 3,42 %. L'indice est encore modeste, mais le rythme de croissance de ces applications a représenté prиs de 111%, un chiffre supérieur а l'indice équivalent pour Win32 (96%). Selon toute vraisemblance, la part des programmes malveillants Win32 va diminuer а l'avenir suite а l'apparition de programmes malveillants Win64 et а la popularité croissante d'autres systиmes d'exploitation.

Position Plateforme T3-T4 2006 T1-T2 2007 %% de croissance
1 Win32 49551 97100 96,0
2 JS 247 1186 380,2
3 VBS 261 580 122,2
4 HTML 272 402 47,8
5 BAT 166 339 104,2
6 MSWord 77 150 94,8
7 Linux 79 123 55,7
8 Perl 55 115 109,1
9 PHP 28 86 207,1
10 ASP 32 72 125,0
11 IRC 90 52 -42,2
12 MSIL 38 34 -10,5
13 DOS 36 24 -33,3
14 MSExcel 11 19 72,7
15 SymbOS 52 19 -63,5
16 WinREG 13 19 46,2
17 MSPPoint 23 18 -21,7
18 SunOS 10 18 80,0
19 NSIS 22 15 -31,8
20 Java 9 13 44,4
21 HTA 15 6 -60,0
22 MSAccess 3 5 66,7
23 Python 4 5 25,0
24 RAR 6 4 -33,3
25 Unix 6 4 -33,3
26 MSOffice 1 3 200,0
27 Ruby 1 3 200,0
28 SWF 11 3 -72,7
29 ALS 2 1 -50,0
30 Win9x 3 1 -66,7
31 WMA 2 1 -50,0


Voyons les rythmes de croissance des programmes malveillants pour toutes les plateformes :

Pour prиs de 50 pour cent des plateformes et des systиmes d'exploitation, nous observons une croissance négative du nombre de programmes malveillants qui les prennent pour cible. Il s'agit entre autres de systиmes trиs répandus comme Unix (il existe des programmes malveillants capables de fonctionner dans n'importe quel systиme d'exploitation de la famille *nix) et Symbian. S'agissant de MacOS, aucun programme malveillant n'a été créé depuis juillet 2006 ! Ceci témoigne de la perte d'intérкt manifestée par les auteurs de virus vis-а-vis des systиmes peu réapandus : ils se sont contentés de créer quelques concepts pour l'avenir avant de recentrer leurs activités sur les applications et les systиmes d'exploitation plus répandus.

Nous attirons votre attentions sur le fait que presque tous les langages de programmation de script figurent dans le top 10 des plus environnements les plus populaires pour les virus (JS, VBS, HTML, BAT, Perl, PHP, ASP). Alors que l'année derniиre, les indicateurs de trois plateformes de scripts (JS, VBS et HTML) étaient plus ou moins identiques (environ 250 programmes malveillants pour chaque plateforme au deuxiиme semestre 2006), nous observons en 2007 une popularité croissante marquée pour JavaScript.

En fait, JavaScript est devenu le milieu de développement et de réalisation de programmes malveillants le plus innovant avec une croissance de 380%, soit prиs de deux fois plus que son frиre jumeau, le langage VisualBasic Script. Il est clair qu'une des causes de ce phénomиne est l'augmentation du nombre de codes d'exploitation des vulnérabilités dans les navigateurs Internet Explorer et Mozilla Firefox. Qui plus est, les programmes malveillants JS remplissent parfois un rфle de Trojan-Downloader.

Parmi les systиmes d'exploitation, Linux conserve la deuxiиme position en terme de popularité avec 123 nouveaux programmes malveillants et une croissance de 55% par comparaison au deuxiиme semestre de l'année 2006.

Parmi les systиmes d'exploitation, Linux conserve la deuxiиme position en terme de popularité avec 123 nouveaux programmes malveillants et une croissance de 55% par comparaison au deuxiиme semestre de l'année 2006.

Il convient de noter la croissance de 80% du nombre de programmes malveillants pour le systиme d'exploitation SunOS assez peu répandu. Le nombre de menaces pour ce systиme se compte déjа par dizaine, ce qui nous force а étudier ce problиme et а rédiger, а l'avenir, un rapport séparé sur cette problématique.

Mises а jour des bases antivirus

Kaspersky Lab a réagi а l'augmentation du nombre de menaces et а la fréquence d'apparition de nouvelles menaces en réduisant l'intervalle de temps entre les diffusions des bases antivirus et en accélérant la vitesse de réaction.

Nouveaux enregistrements dans les bases antivirus

Le nombre de nouveaux enregistrements ajoutés chaque mois aux bases antivirus de Kaspersky Anti-Virus au cours du premier semestre 2007 oscille entre 8 000 au début de la période couverte par le rapport et jusqu'а 25 000 vers la fin de celle-ci. A l'issue des six premiers mois, le nombre moyen de nouveaux enregistrements ajoutés chaque mois était de 15 518 alors qu'au cours du deuxiиme trimestre 2006, il n'était que de 8 221. L'augmentation du nombre d'enregistrement est de 89%, ce qui correspond tout а fait а l'augmentation du nombre de nouveaux programmes malveillants identifiés.

Comme le montre le diagramme, le nombre de définitions ajoutées chaque mois aux bases antivirus a augmenté de faзon pratiquement égale. Seul le mois de mai 2007 ne respecte pas la tendance : au cours de ce mois, les experts en virus de Kaspersky Lab ont traité un nombre record de nouveaux programmes malveillants, ce qui a porté l'indicateur а 25 205 enregistrements.

Mises а jour normales et urgentes

Kaspersky Lab a réagi а l'émergence de nouveaux programmes malveillants en publiant deux types de mise а jour des bases antivirus : bases standard (environ une fois par heure) et bases urgentes (en cas d'épidémie). S'agissant des mises а jour normales, leur nombre a dépassé 4 000 au premier semestre 2007. La moyenne mensuelle pour cette période est de presque 700 mises а jour.

S'agissant des mises а jour urgentes, les données en notre possession sont trиs intéressantes а deux niveaux. Tout d'abord, elles indiquent le nombre global « d'épidémies » au premier trimestre 2007 et permettent d'établir une comparaison avec les indicateurs correspondant en 2006. Ensuite, elles permettent de suivre le lien entre les épidémies et certains mois de l'année.

Ces données montrent que les événements qui justifient une mise а jour urgente ont reculé de 33% au cours du premier semestre 2007 par rapport а la mкme période en 2006 mais qu'elles ont augmenté de 4 pour cent par rapport au deuxiиme semestre 2006. Le nombre moyen de mises а jour urgentes par mois a été de 16.

Conclusions

Les prévisions pour 2007 que nous avions avancées dans notre rapport annuel pour 2006 ont presque toutes été confirmées. Comme nous nous y attendions, les auteurs de virus, en 2007, se concentrent sur divers chevaux de Troie capables de voler les informations de l'utilisateur. Les principales victimes sont toujours les utilisateurs des systиmes bancaires et de paiement en ligne ainsi que les adaptes des jeux en ligne.

La coopération entre auteurs de programmes malveillants et spammeurs se poursuit. Toutes les grandes épidémies de 2007 (Warezov, Zhelatin, Bagle) visaient а créer des réseaux de zombies pour la diffusion ultérieure de messages non sollicités via les ordinateurs infectés et а récolter des adresses électroniques pour la création de bases en vue de la diffusion de courrier indésirable.

S'agissant des voies suivies par les programmes malveillants pour s'infiltrer sur les ordinateurs, il s'agit principalement du courrier électronique et des vulnérabilités dans les navigateurs Internet. L'absence de nouvelles vulnérabilités critiques dans les services de réseau de Windows est un des principaux facteurs expliquant l'absence de grande épidémie de vers de réseau adaptes de l'attaque directe sur les ports de l'ordinateur.

L'augmentation du nombre de programmes malveillants utilisant les réseaux P2P et les systиmes de messagerie instantanée reste а un niveau moyen et nous ne nous attendons pas а de grands chamboulements dans ce domaine au cours du deuxiиme semestre 2007.

Au cours du premier semestre 2007, ce sont principalement des épidémies locales qui ont éclaté : elles touchent uniquement un segment national d'Internet et ne s'attaquent pas aux utilisateurs d'Internet dans les autres pays.

En dépit des attentes des experts, le nouveau systиme d'exploitation Windows Vista n'est pas encore devenu le sujet principal des questions de sécurité en 2007. Ceci s'explique tout d'abord par le fait que le rythme de sa diffusion n'est pas aussi bon que prévu et le nombre d'utilisateurs ayant fait la transition est encore loin d'avoir atteint la masse critique qui attire l'attention des pirates et des auteurs de virus sur un systиme d'exploitation en particulier.

Nous n'observons pas non plus d'augmentation de l'intérкt pour MacOS, malgré l'augmentation de la popularité de la plateforme et l'existence de sérieuses vulnérabilités dans celle-ci. Les plateformes Symbian et Windows Mobile traversent une période identique : le nombre d'utilisateurs continue а augmenter tandis que le nombre de programmes malveillants a sensiblement réduit. D'un autre cфté, nous trouvons de plus en plus souvent des chevaux de Troie écrits pour la plateforme J2ME qui fonctionne également sur les téléphones portables.

Il est fort peu probable que des changements radicaux dans ces processus se manifestent d'ici la fin de l'année et la situation continuera а se développer selon les scénarios prévus.

Source:
Kaspersky Lab
Related links
Analysis
Bulletin de Kaspersky sur la sécurité en 2012 Cyberarme
Bulletin de Kaspersky sur la securite 2012. Developpement des menaces en 2012
Bulletin de Kaspersky sur la sécurité en 2012 Principales statistiques pour 2012
Développement des menaces informatiques au premier trimestre 2012
Bulletin de Kaspersky sur la sécurité 2011. Développement des menaces en 2011
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com