Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
Oct    
Les Analyses les plus Populaires



Enquête sur un incident : vol dans une banque électronique



Courrier indésirable en août 2014



Les prédateurs sur Internet



Livraison des diffuseurs de spam : danger garanti



Evolution des menaces informatiques au 2e trimestre 2014
 
 

  Page d'accueil / Analyses

Évolution des sites Web malicieux : janvier - juin 2007

22.10.2007   |   comment

Costin Raiu
  1. Les procédés de diffusion
  2. Le Top 20 des logiciels malveillants diffusés sur le Web
  3. Le Top 20 des pays hébergeurs de logiciels malveillants
  4. Exceptions
  5. Conclusions

Cet article est le premier d'une série de comptes-rendus présentés par Kaspersky Lab, permettant de suivre l'évolution des sites Web douteux et des logiciels malveillants sur Internet.

Ces dernières années, les procédés de diffusion de logiciels malveillants sont passés des supports statiques (disquettes) aux messages électroniques (comme le ver de messagerie LoveLetter, de triste mémoire) ou aux attaques directes sur le réseau (comme CodeRed). La distribution des logiciels malveillants à travers des sites Web correspond à une phase d'évolution récente.

Nous pensons qu'il existe assez peu de facteurs qui poussent à l'augmentation du nombre de logiciels malveillants sur le Web. On compte bien entendu le nombre relativement important de vulnérabilités de Microsoft Internet Explorer, identifiées entre 2003 et 2006. Un autre facteur est la légère incompatibilité qui existe, par philosophie ou par conception, entre la plupart des moteurs antivirus et le mode de consultation des sites Web sur Internet. En effet, la plupart des moteurs antivirus doivent disposer de la copie complète d'un fichier avant de déterminer si celui-ci est infecté, ce qui pose problème pour l'examen de flux de données, comme dans le cas des pages Web. Bien entendu, ce problème peut être résolu au niveau des proxy, par la mise en place d'une mémoire tampon qui emmagasine puis, une fois complètement téléchargé, soumet le flux de données au moteur antivirus. Cependant, ces solutions ne sont pas encore vraiment répandues.

Un autre facteur d'augmentation des logiciels malveillants sur le Web est certainement le blocage des codes exécutables envoyés en pièces jointes des messages électroniques. Dans les années 2003 et 2004, quand la plupart des logiciels malveillants étaient encore diffusés par messagerie (fichiers au format .EXE, .SCR, .PIF, etc.), de nombreux administrateurs systèmes interdirent simplement toute présence de fichiers exécutables dans les messages. En réaction, les auteurs de logiciels malveillants commencèrent alors à distribuer leurs créations dans des fichiers d'archives comprimés – des fichiers ZIP par exemple. En 2006, un autre vecteur fréquent correspondait aux documents de Microsoft Office contenant des exploits.

C'est alors que les cyber-criminels trouvèrent facilement une alternative à cette situation : au lieu d'envoyer un fichier exécutable en pièce jointe, ils diffusèrent dans les messages des liens URL pointant vers un site Web qui hébergeait le logiciel malveillant. En effet, une solution antivirus installée sur une passerelle de messagerie vérifie le corps des messages, mais n'est pas capable de reconnaître comme un danger la référence indirecte, à l'intérieur du message, à un logiciel malveillant.

Les raisons précédentes expliquent la migration des logiciels malveillants vers des sources d'hébergement Web, d'où ils sont directement délivrés dans la boîte de l'utilisateur, soit parce que celui-ci le télécharge manuellement (trompé par des techniques d'ingénierie sociale) soit encore, parce qu'il est la victime d'un exploit qui profite d'une vulnérabilité du navigateur.

Les procédés de diffusion

Du point de vue de l'attaquant qui place un logiciel malveillant à disposition sur un site Web, il existe principalement deux façons d'infecter un ordinateur.

Le premier procédé d'attaque fait appel à l'ingénierie sociale. Par exemple, l'attaquant envoie un message contenant un lien URL censé mener vers quelque chose d'intéressant. Voici un exemple d'un message de ce type :


Fig. 1 : Message avec un lien pointant sur un logiciel malveillant

Dans le message ci-dessus, le lien YouTube n'est rien d'autre qu'un hameçon conduisant sur une page « vidéo introuvable ». Par contre, le lien HREF contenant l'adresse IP pointe sur un site d'hébergement. Voici ce que trouve un utilisateur qui le visite :


2. Site Internet simulé, hébergeant le logiciel exécutable malveillant

Le lien « click here » (cliquez ici) télécharge un fichier exécutable, appelé « video.exe », qui n'est autre qu'une variante de Zhelatin (http://www.viruslist.com/fr/viruses/encyclopedia?virusid=149536) (également connu comme le ver « Storm »).

L'autre méthode utilisée pour infecter un système depuis le Web passe par l'utilisation d'un « exploit », c'est à dire l'exploitation d'une vulnérabilité du navigateur Web. En voici un exemple :


3. Source d'une page HTML contenant un exploit ciblant Mozilla Firefox

L'image précédente est un fragment de page Web contenant un exploit de navigateur, sous une forme dissimulée. La plupart des sites contenant des exploits de navigateurs utilisent un procédé ou un autre pour masquer leur présence en évitant les logiciels détecteurs d'intrusions (IDS), qui procèdent par analyse des flux TCP/IP à la recherche de patrons connus, tout autant que les systèmes antivirus qui font appel à des signatures. Une fois démasqué, le code de l'exploit peut être examiné :


4. Extrait contenant l'exploit démasqué (Trojan-Downloader.JS.Agent.ep)

Dans ce cas, le code malveillant essaie simplement de télécharger un fichier « .WMV » avec un nom très long, qui correspond à l'exploit EMBED Overflow du complément logiciel pour Windows Media Player (documenté dans le bulletin de sécurité de Microsoft MS06-006 - « Vulnerability in Windows Media Player Plug-in with Non-Microsoft Internet Browsers Could Allow Remote Code Execution » (911564)). Les navigateurs modernes transfèrent les pétitions de ce type à Windows Media Player et, si celui-ci contient la vulnérabilité, parviennent à contourner la sécurité du système. Il est intéressant de noter que l'infection se produira même avec la dernière version du navigateur, si la version de Windows Media Player est vulnérable.

Comme nous l'avons indiqué plus haut, un logiciel malveillant disponible sur le Web dispose principalement de deux voies d'accès à l'ordinateur de la victime : les techniques d'ingénierie sociale ou les exploits des navigateurs. Rien d'étonnant à ce que, d'une manière générale, les auteurs malveillants combinent ces deux procédés pour additionner les chances de réussite.

Un bon exemple de combinaison de procédés est celui que nous donne le ver Zhelatin déjà mentionné. Le programme serveur chargé de la diffusion du ver est en général écrit en langage PHP et, avant de transmettre la page malintentionnée à l'utilisateur, il s'occupe de faire une ou deux choses. La plus importante, il vérifie la chaîne « User-Agent » d'identification du navigateur. Si la chaîne d'identification n'est pas très fréquente (Safari sur MacOS ou Lynx sur Linux par exemple), le serveur se contente d'envoyer une page préparée selon des techniques d'ingénierie sociale. Mais si la chaîne d'identification correspond au navigateur Internet Explorer (« Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1) »), alors le serveur génère une page spéciale contenant des exploits spécifiques pour IE. La même chose se produit dans le cas de Firefox.

Le Top 20 des logiciels malveillants diffusés sur le Web

Au début de 2006, au vu de la croissance du nombre de logiciels malveillants diffusés sur le Web, au contraire des procédés fondés sur la messagerie ou le piratage de réseaux, Kaspersky Lab a mis au point le système « Akross », chargé de surveiller en continu les sites Web et d'y rechercher des contenus malicieux. Depuis sa mise en ligne, Akross a identifié plus de 53 000 sites différents contenant des logiciels malveillants, parmi lesquels plus de 28 000 ont été identifiés au cours des six premiers mois de 2007.

Classement Logiciel malveillant %
1 Trojan-Downloader.Win32.Small.on 11.26
2 Trojan-Downloader.Win32.Zlob.bbr 6.01
3 Trojan-Downloader.Win32.Zlob.bjt 4.59
4 Trojan.Win32.DNSChanger.is 3.19
5 Trojan-Downloader.Win32.Zlob.bon 3.17
6 Trojan.Win32.DNSChanger.ih 2.74
7 Trojan.Win32.DNSChanger.hk 2.50
8 not-a-virus:Porn-Dialer.Win32.PluginAccess.s 2.08
9 Trojan.Win32.DNSChanger.io 1.77
10 Trojan.Win32.DNSChanger.jb 1.02
11 Trojan.Win32.DNSChanger.ik 0.76
12 Trojan-Downloader.Win32.Small.damtd> 0.62
13 Trojan-Spy.Win32.Banker.ciy 0.59
14 Trojan-PSW.Win32.OnLineGames.es 0.48
15 Backdoor.Win32.Rbot.gen 0.48
16 Trojan-Spy.Win32.Banker.anv 0.42
17 Trojan-Spy.Win32.Banker.awa 0.40
18 Trojan-Downloader.Win32.CWS.j 0.36
19 Trojan.Win32.DNSChanger.hj 0.36
20 Trojan-Spy.Win32.Bancos.zm 0.34
Le Top 20 des logiciels malveillants téléchargés sur des sites malintentionnés (janvier - juillet 2007)

À la tête de ce classement, Trojan-Downloader.Win32.Small.on est en réalité un téléchargeur générique de chevaux de Troie, qui récupère un second exécutable sur une adresse URL avant de le démarrer. En général, les téléchargeurs de chevaux de Troie utilisés sur des sites Web sont multi-niveaux, c'est à dire qu'un exploit, très compact en mémoire, récupère un petit téléchargeur, qui récupère à son tour le logiciel définitif, voire même un second téléchargeur.

Zlob est un autre cas intéressant, et plusieurs de ses variantes occupent la tête du classement. Zlob s'est énormément répandu en début d'année ; il utilise cependant des méthodes de dissimulation encore peu communes. Zlob est en général installé moyennant l’ingénierie sociale : des sites Web spécialisés ont été créés, censés servir de points de distribution pour des codecs multimédia permettant de reproduire un grand nombre de formats DVD/vidéo.


5. Fake website used for distributing Zlob variants

Comme le montre le Top 20, DNSChanger est un autre logiciel répandu. Il existe en réalité un lien entre Zlob et DNSChanger – nous pensons qu'ils ont été créés par le même gang. Bien qu'il ait connu de nombreuses modifications au cours de son existence, pour l'essentiel, le but de DNSChanger est simplement de paramétrer les serveurs DNS de l'ordinateur avec deux adresses IP spéciales. Ces adresses IP sont choisies parmi un large éventail et, d'ailleurs, les milliers de variantes binaires de DNSChanger distribuées sur le Web, ne se différencient que par les adresses IP des serveurs DNS. En soi, la modification de serveurs DNS ne semble pas particulièrement dangereuse, mais si un pirate y parvenait, il serait véritablement en mesure de causer de grands dommages, comme par exemple, de réacheminer les visiteurs d’Amazon.com ou de l’American bank sur des sites maquillés, sans qu'il soit à peine possible de s'en apercevoir. Pour compliquer sa neutralisation, les composants les plus récents de DNSChanger utilisent des processus cachés (rootkits) et sont même capables de télécharger à leur tour d'autres logiciels malveillants.

Comme son nom le suggère, not-a-virus:Porn-Dialer.Win32.PluginAccess.s n'est pas un virus. Il appartient à une catégorie de logiciels à la limite de la malveillance, mais que certains utilisateurs peuvent souhaiter installer sur leur ordinateur.


6. Deux exécutables du type 'not-a-virus:Porn-Dialer.Win32.PluginAccess.s' avec des icônes spécifiques

Les sous-variantes de PluginAccess.s contiennent habituellement un grand nombre de numéros de téléphone surtaxés, sélectionnés d'après les Options de modems et téléphonie définies dans le Panneau de configuration de Windows. Quand l'utilisateur appelle le numéro surtaxé, il récupère une clé d'authentification lui permettant d'accéder ensuite à différents services Internet. L'ingénierie sociale est le procédé habituel d'installation de PluginAccess, qui donne accès à différents sites Web pour adultes. Comme le coût de la connexion est mentionné, un utilisateur attentif peut s'apercevoir d'une infection accidentelle par PluginAccess, au demeurant assez rare. Pour cette raison, le logiciel n'est pas classé en tant que malveillant, mais comme « not-a-virus » (littéralement : « pas-un-virus »). La popularité de ces logiciels provient certainement du fait qu'ils donnent accès à différents services payants sans utiliser de carte bancaire – les montants étant directement prélevés sur la facture téléphonique de l'utilisateur.

La présence de Trojan-Spy.Win32.Banker.ciy dans le classement est également remarquable. Les chevaux de Troie du type Banker sont des logiciels malveillants qui tentent de dérober des identifiants bancaires ; certains vont même jusqu'à organiser leurs attaques en présence de l'utilisateur, directement en cours de session Web. Plus particulièrement, on observe ces derniers mois une augmentation du nombre d'attaques orchestrées par des chevaux de Troie du type Banker. Trojan-Spy.Win32.Banker.ciy avait même été reconnu « Greediest Trojan Targeting Plastic Cards » (Cheval de Troie le plus vorace ciblant les CB) dans la section Malware Miscellany (http://www.viruslist.com/en/weblog?weblogid=208187362, site en anglais) de Kaspersky Lab, en mars 2007. Ce titre lui avait été décerné parce qu'il avait pris pour cible 5 systèmes de cartes bancaires – le record précédent n'en ciblait que trois.

Une autre tendance très instructive de l'évolution des logiciels malveillants est la création et la diffusion de chevaux de Troie capable de voler des biens virtuels sur les jeux en ligne, comme World of Warcraft, EVE Online ou Legend of Mir. Ces jeux sont particulièrement répandus dans les pays d'Asie, plus concrètement en Corée et en Chine, mais le nombre de joueurs autour du monde se compte par millions. Dans ces jeux, les biens virtuels les plus rares peuvent être extrêmement chers – ils sont souvent revendus sur eBay ou sur d'autres sites d'enchères, contre de la monnaie virtuelle mais aussi pour de l'argent réel. La demande est très élevée, et c'est pourquoi les cas de fraude liés au commerce de ces biens virtuels sont également en hausse. Pour se faire une idée des prix des biens virtuels, sur EVE Online (http://www.eve-online.com/), le navire spatial le plus cher équipé avec un jeu complet d'armes offensives et défensives, peut atteindre l'équivalent de 10 000 euros dans le monde réel. On ne s'étonnera plus que le développement de logiciels malveillants ciblant des biens virtuels devienne de plus en plus intéressant : les raisons crapuleuses ne manquent pas.

Trojan-PSW.Win32.OnLineGames.es est un exemple typique de ce genre de logiciel. De nombreuses variantes de ce cheval de Troie existent, mais la majorité d'entre elles prennent pour cible le jeu en ligne World of Warcraft (http://www.worldofwarcraft.com/). Ils surveillent le déroulement du jeu, collectent toutes les séquences de touches tapées par l'utilisateur, et transmettent par la suite ces informations aux pirates. Ces derniers utilisent alors les identifiants dérobés pour ouvrir une session dans le jeu, et revendre des biens, des devises ou des personnages. Pour ne pas être détectés, des mécanismes complexes de blanchiment d'argent sont mis en place, ce qui rend encore plus difficile la traçabilité des propriétés virtuelles.

Pour finir, il faut mentionner Trojan-Downloader.Win32.CWS.j, un autre logiciel fréquent sur les sites Web malintentionnés. Ce téléchargeur est essentiellement un petit démarreur qui récupère puis installe des variantes de CWS, mieux connu sous le nom de CoolWebSearch. CoolWebSearch est un logiciel malveillant rapporté pour la première fois en 2003. Depuis, un très grand nombre de variantes incontrôlées ont été rencontrées, présentant pour la plupart un même type de comportement : le détournement de la page d'accueil du navigateur et l'affichage de fenêtres pornographiques. Avec le temps, les variantes de CWS sont devenues de plus en plus sophistiquées : les plus récentes contiennent des processus cachés pour les rendre invisibles et des fonctions de contre-protection qui s'attaquent directement aux programmes antivirus.

En résumé, il est possible de diviser la majorité du contenu malveillant diffusé sur le Web pendant la première moitié de 2007 en quatre catégories principales : reproducteurs et codecs simulés de vidéo/DVD, installés par des techniques d'ingénierie sociale (Zlob etc.) ; chevaux de Troie ciblant les services bancaires ; logiciels malveillants ciblant les jeux en ligne ; et enfin, logiciels aux contours indéfinis qui simplifient l'accès aux sites pour adultes.

Le Top 20 des pays hébergeurs de logiciels malveillants

Mais quelle est l’origine de tous ces logiciels malveillants ? Pour répondre à cette question, il faut examiner de plus près les solutions d'hébergement utilisées par les cyber-délinquants.

Il existe un grand nombre de moyens pour mettre des logiciels malveillants à disposition sur le Web. À partir d'ordinateurs domestiques par exemple, infectés par des robots exécutant des serveurs HTTP légers, et transformés en points de distribution. Ils peuvent aussi se trouver sur les sites Web piratés de fournisseurs de services Internet. En général, le choix se concentre sur les sociétés qui offrent à leurs utilisateurs de petits espaces Web gratuit pour des pages personnelles. On peut citer par exemple www.pochta.ru, www.googlepages.com, www.100freemb.com, www.dump.ru, ou encore, www.home.ro.

Des précédents existent aussi où des cartes bancaires ont été utilisées pour acquérir auprès d'un fournisseur de services un nom de domaine et un forfait d'hébergement, qui sont alors utilisés pour diffuser le logiciel malveillant.

En début d'année, une société d'hébergement nord-américaine de moyenne taille a été victime d'une attaque. Les pirates étaient parvenus à exploiter les vulnérabilités du Panneau de configuration Web, avant d'accéder à tous les comptes des utilisateurs. Ils recherchèrent les pages « index » de tous les sites Web hébergés sur les serveurs piratés, et y ajoutèrent un petit script chargé d'exploiter une vulnérabilité d'Internet Explorer. Cet « exploit » se chargeait ensuite d'installer le logiciel malveillant, comprenant un rootkit. Dans le même ordre d'idées, en février dernier, un autre cas de piratage permit d'insérer des exploits dans le code source du site Web du stade des Super Bowl Dolphins. Dans la longue histoire des piratages, la victime la plus récente est peut-être la Bank of India, prise pour cible à la fin du mois d'août 2007. Suite à cette attaque, le code de la page d'accueil avait été modifié pour inclure un exploit IFRAME pour Internet Explorer, qui téléchargeait ensuite un logiciel malveillant.

La liste des adresses IP des sites Web contenant des logiciels malveillants, telle qu'élaborée par Akross, permet de reconstituer dans un tableau leur distribution géographique :

Argentine
Classement Pays %
1 Chine 31.44
2 États-Unis 25.90
3 Russie 11.05
4 Brésil 4.40
5 Corée du Sud 3.64
6 2.90
7 Allemagne 2.31
8 France 1.70
9 Panama 1.53
10 Pays-Bas 1.31
11 Ukraine 1.26
12 Canada 1.24
13 Espagne 1.15
14 Royaume-Uni 1.15
15 Hong Kong 0.83
16 Italie 0.72
17 Portugal 0.70
18 Roumanie 0.68
19 Taiwan 0.65
20 Malaisie 0.52
8. Le Top 20 des pays hébergeurs de logiciels malveillants

Avec 31,44 %, la Chine se trouve en tête des pays avec le plus grand nombre de sites malintentionnés, suivie par les États-Unis, avec 25,90 %. Ces deux pays dominent quasiment toutes les statistiques pendant les dernières années, avec des variations liées à la destination des logiciels malveillants ou à l'évolution des systèmes d'exploitation. Il est intéressant de souligner que la méthode de diffusion la plus répandue de logiciels malveillants est, en Chine, le piratage de sites Web et l'utilisation de services de publipostage (« bullet-proof hosting »), alors qu'aux États-Unis, on trouve plutôt des sites « .com » piratés et des forfaits commerciaux d'hébergement payés avec des cartes bancaires volées.

La Russie et le Brésil occupent les 3ème et 4ème places. Ces pays ont en commun la diffusion de logiciels malveillants à partir d'« hébergements gratuits » – c'est à dire des FAI offrant aux utilisateurs la mise en ligne de leur site Web sur leurs serveurs.

Pour les autres pays, un certain équilibre existe entre les ordinateurs piratés, les hébergements gratuits et les forfaits payés avec de l'argent volé.

Autres cas spéciaux : serveurs polymorphe

En 2007, , la surveillance des sites Web malintentionnés a permis d'en détecter un certain nombre qui ne se contentaient pas de faciliter le téléchargement d'un exécutable, ou d'afficher une page Web contenant un exploit.

Les cas les plus intéressants étaient probablement liés à ce qu'il est convenu d'appeler un « serveur polymorphe ». Traditionnellement, un logiciel malveillant polymorphe se décrit comme un virus polymorphe capable de modifier son propre code à chaque cycle de réplication. Or, le code responsable de cette forme de mutation se trouve dans le virus lui-même et, par conséquent, il est possible d'anticiper les modifications du virus et donc de créer des algorithmes et de programmer des tâches de détection.

Pour donner un exemple concret : début 2006, nous avons détecté un lien URL pointant sur un fichier EXE dont l'apparence était différente à chaque nouveau téléchargement. Dans ce cas particulier, le fichier EXE ne présentait pas de grandes variations (il changeait de temps en temps). Mais les 42 derniers octets du fichier étaient différents à chaque téléchargement. Ici, tout semblait indiquer qu'une combinaison de l'heure et de l'adresse IP destinataire du téléchargement était ajoutée à la fin, à la manière d'un indicateur destiné au logiciel malveillant récupéré. Par la suite, quand le logiciel malveillant (un combiné de cheval de Troie et de logiciel espion) transmettait des informations à son auteur, il ajoutait à son tour l'indicateur en fin de fichier. Ainsi, l'auteur était en mesure d'établir un lien entre les versions uniques du logiciel et l'adresse IP d'un utilisateur infecté, partout dans le monde.

L'année 2006 fournit également des exemples dans lesquels un attaquant pouvait créer entre 1000 et 5000 variables ? d'un cheval de Troie, comprimées et chiffrées à l'aide d'un outil interne générant une nouvelle clé aléatoire à chaque utilisation. Ensuite, un programme serveur PHP sélectionnait un échantillon au hasard et le délivrait à l'utilisateur. Un fabricant d'antivirus non préparé aurait confondu ces techniques de polymorphisme avec un flux incessant de nouvelles infections, au moins, le temps de collecter suffisamment d'échantillons pour mettre au point un détecteur générique. Une surveillance étroite de ce site et d'autres similaires nous ont permis de créer des détecteurs génériques et, dans certains cas, des outils de décompression génériques pour les nouveaux chevaux de Troie qui continuent d'apparaître.

Un autre cas intéressant a été observé en début d'année, pendant la surveillance d'un site permettant de télécharger des échantillons de Zhelatin. Les échantillons sur le serveur étaient modifiés toutes les 90 secondes, mais après 500 échantillons environ, il se produisait un phénomène intéressant. Il semble que l'outil d'encodage s'appuyait sur une valeur aléatoire calculée sur 9 bits de longueur. Mais quand cette valeur aléatoire tombait sur un nombre spécifique (un zéro ?), l'encodage de l'échantillon ne se produisait pas. C'est ce qui nous a permit d'obtenir une paire d'échantillons du modèle Zhelatin, générés sur une clé zéro – ce qui se révéla bien utile pour l'analyse, puisqu'ils étaient en clair.

Conclusion

Devant la modification constante des méthodes de diffusion de logiciels malveillants, on peut s'attendre à ce que leurs auteurs continuent d'imaginer de nouvelles formes d'infection des ordinateurs. Ces tendances prédisent déjà la diffusion de logiciels malveillants sur des réseaux P2P ou à travers des logiciels à sources partagées (« open source »).

Pour le moment, le Web est sans aucun doute la méthode de diffusion préférée par les auteurs malveillants, et semble avoir atteint son niveau maximum en mai 2007. Après cette date, le nombre de sites Web malintentionnés a quelque peu diminué. Même s'il s'agit d'une bonne nouvelle, de nombreux sites de ce type apparaissent encore tous les jours, et les techniques d'ingénierie sociale ou les exploits destinés à tromper les utilisateurs se multiplient et gagnent en sophistication.

La Chine et les États-Unis sont en tête pour le nombre de sites malintentionnés ; malgré les efforts méritoires des autorités, c'est un triste honneur qui revient indiscutablement à ces deux pays. Toutefois, s'il est normalement possible d'interdire un site Web en moins de 48 heures aux États-Unis, il n'en va pas de même pour la Chine. En Chine, certains sites malintentionnés sont restés opérationnels plus d'une année après avoir été dénoncés, et toutes les tentatives pour les faire fermer ont échoué. Dans ces conditions, on peut s'attendre à une croissance du nombre de sites Web malicieux hébergés en Chine, promue au rang de pays-refuge des logiciels malveillants.

Kaspersky Lab continuera de surveiller la situation ; les informations de nos prochains articles nous permettront d'apprécier si les efforts conjoints des fabricants d'antivirus et des services de lutte contre la cybercriminalité ont un impact sur le nombre de sites Web hébergeant des logiciels malveillants.

En attendant, il est conseillé aux utilisateurs de mettre à jour leur système d'exploitation, et d'abandonner Internet Explorer 6 en faveur de navigateurs comme Firefox, IE7 et Opera, plus performants sur la sécurité. Enfin, il est essentiel de disposer d'un produit antivirus capable de contrôler le trafic Web car – comme en témoigne cet article – il s'agit désormais du principal vecteur d'infection utilisé par les logiciels malveillants.

Source:
Kaspersky Lab
Related links
Analysis
Bulletin de Kaspersky sur la sécurité en 2012 Cyberarme
Bulletin de Kaspersky sur la sécurité en 2012 Principales statistiques pour 2012
Bulletin de Kaspersky sur la securite 2012. Developpement des menaces en 2012
Développement des menaces informatiques au premier trimestre 2012
Bulletin de Kaspersky sur la sécurité 2011. Développement des menaces en 2011
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com