Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug  
     
Les Analyses les plus Populaires



IoT : comment j'ai piraté ma maison



Courrier indésirable et phishing au deuxième trimestre 2014



Opération Epic Turla : résolution de certains des mystères de Snake/Uroburos



Baromètre de Kaspersky sur la cybercriminalité. Courrier indésirable en 2008



La fraude dans les jeux en ligne, ou comment prendre les joueurs à l'hameçon
 
 

  Page d'accueil / Analyses

Bulletin de sécurité de Kaspersky Lab sur la cyber-sécurité en 2007

26.02.2008   |   comment

Alexander Gostev

Ce rapport annuel se penche sur les changements intervenus dans la dynamique du développement des programmes malveillants, des logiciels publicitaires et des programmes présentant un risque potentiel par rapport aux données de l'année 2006.

Ce rapport repose sur l'utilisation d'une nouvelle méthodologie statistique qui diffère de celle appliquée jusqu'à présent. Les indicateurs pour l'année 2006 utilisés ont été adaptés à la nouvelle méthode ce qui signifie qu'ils peuvent ne pas correspondre aux données présentées dans le rapport de l'année dernière.

Le présent document se caractérise par le grand nombre de statistiques et de faits avancés. Il s’adresse avant tout aux professionnels de la sécurité.


  1. La cyber-sécurité en 2007
  2. Le développement des programmes malicieux pour les jeux en ligne en 2007
  3. Le courrier indésirable en 2007
  4. Les programmes malveillants dans le courrier électronique en 2007 : ne pas baisser la garde !

Bilan de l'année 2007

2007 passera dans l'Histoire comme l'année de la fin des programmes malveillants "non commerciaux". Toutefois, il est encore trop tôt pour affirmer si cette disparition est définitive. En 2007, nous ne pouvons que constater l'absence d'épidémies remarquables ou de diffusion d'un programme malveillant qui ne poursuivait pas un objectif financier. Ces virus "vandales" étaient toujours présents en 2006. Rappelez-vous par exemple de l'épidémie du ver Nyxem.E qui ne faisait rien d'autre que de se reproduire et de supprimer des fichiers.

Cela ne veut pas dire pour autant que 2007 n'a pas été frappée par des épidémies. La majorité d'entre elles fut de courte durée et elles n'ont jamais touché l'ensemble d'Internet mais uniquement des régions ou des pays particuliers. Ce principe d'organisation des épidémies est devenu la norme de facto.

Parmi les nouveaux programmes malveillants apparus en 2007, le ver de la tempête (Zhelatin selon le classement de Kaspersky Lab), qui se manifesta pour la première fois en janvier 2007, occupe une place à part. Il a manifesté tout au long de l'année une telle gamme de comportements, d'interactions entre ses composants, de méthodes de diffusion et d'exploitations de l'ingénierie sociale que les experts de la lutte contre les virus n'ont pu que constater avec effroi l'apparition de cette nouvelle création d'auteurs inconnus.

Zhelatin intégrait la quasi-totalité des réalisations de ces dernières années en matière de création de virus, dont de nombreuses qui n'étaient considérées jusqu'alors que comme des concepts. On y retrouve les technologies de dissimulation d'activité, la pollution du code, les réseaux de zombies protégés contre l'analyse et l'interaction entre les ordinateurs infectés via les réseaux P2P en l'absence d'un centre d'administration unique. Ce ver se propageait selon toutes les méthodes possibles, des plus traditionnelles telles que le courrier électronique ou les messageries instantanées aux plus contemporaines, rendues possibles par l'avènement du Web 2.0 avec l'utilisation de réseaux sociaux sous la forme de blogs, de forums et de fils RSS. De plus, les individus mal intentionnés exploitaient également l'intérêt croissant des internautes pour les services video. Zhelatin a alors été diffusé sous la forme de fichiers vidéo.

Rappelons que la fonction principale de Storm Worm consistait a créer un réseau pour l'organisation ultérieure de diffusion de courrier indésirable ou d'attaques par déni de service. Les changements qui ont marqué le courrier indésirable en 2007 feront l'objet d'un rapport séparé. S'agissant des attaques par déni de service, elles sont devenues un des sujets clés de la cyber-sécurité en 2007.

Suite à une période d'activité certaine en 2002-2003, les cyber-attaques par déni de service n'ont plus été particulièrement prisées par les cybercriminels, du moins jusqu'en 2007. Elles sont réapparues cette année, mais non plus uniquement comme outil d'extorsion de fonds, mais surtout comme élément central dans les luttes politiques et concurrentielles. L'histoire de l'attaque lancée contre l'Estonie en 2007 a fait couler beaucoup d'encre dans les journaux et de nombreux experts estiment qu'il s'agissait là du premier cas de guerre cybernétique. Il est évident qu'un bon nombre des attaques par déni de service en 2007 ont été commanditées par les concurrents commerciaux des victimes. Il y a quatre ans, les attaques par déni de service étaient utilisées exclusivement par des pirates informatiques doublés d'escrocs ou par des voyous, elles sont devenues entre-temps un service au même titre que la diffusion de courrier indésirable ou la réalisation sur commande d'un programme malveillant. Les publicités pour des attaques par déni de service sont devenues monnaie courante et leur prix avoisine déjà celui de l'organisation d'une diffusion de courrier indésirable.

L'activité économique des cyber-criminels a accouché de quelques nouvelles pratiques en 2007. La création de programmes malveillants sur demande avec assistance technique s'est fortement développée. L'exemple le plus parlant de ce genre d'activité est sans doute lié à l'histoire de Pinch, le cheval de Troie espion. Au fil des ans, les auteurs de ce programme ont créé plus de 4 000 versions, la plupart du temps suite à une commande d'autres individus mal intentionnés. Il semblerait que cette histoire se soit achevée en 2007 lorsque le directeur des Services fédéraux de sécurité (FSB) de Russie annonça que l'identité des auteurs de Pinch avait été établie.

Un autre exemple similaire est celui fourni par le ver Fujack. L'auteur de ce programme malveillant chinois conçu pour voler les données confidentielles d'adeptes de jeux en ligne vendait son oeuvre à toute personne intéressée. Quelques centaines de versions ont été ainsi recensées. L'auteur aurait ainsi engrangé près de 12 000 dollars américains s'il faut en croire le montant cité par la police chinoise après l'arrestation de l'auteur de Fujack et de quelques-uns de ses clients.

Fujack fut l'un des principaux représentants en 2007 de la famille des chevaux de Troie axés sur les jeux en ligne. Nous vous rappellerons que 2006 fut dominée par toute une série de Bankers, des chevaux de Troie conçus pour voler les données d'accès aux services bancaires en ligne. Nous avions prédit que 2007 verrait une compétition entre les chevaux de Troie de jeux et les Bankers au niveau des nouveaux programmes.

S'il l'on s'en tient à l'indicateur quantitatif pour l'année 2007, nous pouvons dire que les chevaux de Troie de jeux ont remporté une victoire éclatante : ils ont dépassé de loin le nombre de Bankers. Il faut toutefois signaler qu'il n'existe pas encore de concurrence directe entre ces deux familles. Leur public cible ne se mélange pas. Ceci est confirmé par l'absence, à notre connaissance, de chevaux de Troie de jeux capables de voler les données d'accès aux services bancaires en ligne. Bien que rien ne s'oppose, théoriquement, à la création de tels hybrides, il semblerait que dans la réalité, une telle fonction ne soit ni indispensable, ni intéressante pour les auteurs de virus.

Les incursions massives dans des sites afin d'y mettre des programmes malveillants ou des liens vers des sites infectés figurent parmi les événements marquants de 2007. C'est ainsi qu'au mois de juin, près de 10 000 sites italiens furent compromis avant d'accueillir la sélection de codes d'exploitation Mpack. Des événements similaires se sont déroulés tout au long de l'année dans le monde entier. Le plus impressionnant eut lieu à la fin de l'année 2007 après la découverte d'un code malveillant installé sur les ordinateurs victimes à l'aide d'un cheval de Troie de jeu sur plus de 70 000 sites de divers pays.

L'incident italien et Mpack ont permis d'attirer l'attention sur un autre secteur d'activité des cyber-criminels : l'enquête indiqua que les programmes malveillants étaient situés sur des sites hébergés par Russian Business Network (RBN). L'analyse détaillée montra que RBN était utilisé comme plate-forme de lancement de programmes malveillants dans des dizaines, voire des centaines de cas. Il s'agissait en fait d'un cas de fournisseur d'hébergement "renforcé" qui garantissait à ses clients l'anonymat, la protection contre les poursuites juridiques et l'absence de fichiers de journal.

Le cas de RBN suscita un vif intérêt tout au long de l'été et jusqu'au début de l'automne 2007. Mais RBN n'a pas disparu. Elle a scindé son activité entre plusieurs hébergeurs dans différents pays, ce qui lui a permis de "diluer" l'ampleur réelle de son activité. Ce furent là les principaux événements de 2007, une année qui aura été la plus marquée par les virus dans l'Histoire. La somme de tous les nouveaux programmes malveillants, logiciels publicitaires et programmes potentiellement dangereux ajoutés à nos bases antivirus tout au long de l'année 2007 donne les résultats suivants :


Total du nombre de nouveaux programmes enregistrés en 2006 et en 2007


Part globale20072006Croissance
TrojWare20195891911119,73%
VirWare12416628297,64%
MalWare5798455827,20%
AdWare143822583456,79%
RiskWare2690  
Sommaire237244105334125,23%



Part des programmes malveillants, logiciels publicitaires et
programmes potentiellement dangereux en 2007

Le nombre total de menaces a plus que doublé en 2007. Après un examen global de la situation, nous pouvons affirmer que le nombre de programmes ajoutés à nos bases antivirales en 2007 équivaut au volume ajouté au cours des 15 dernières années !

Nous n'avions encore jamais été témoins d'une telle avalanche de menaces et nous avons dû déployer tous nos efforts au cours de l'année, et parfois faire l'impossible, afin de ne pas nous laisser submerger. Tout ceci est vraiment inquiétant car si la situation se répète en 2008 (ce que tout semble indiquer), nous devrons faire face d'ici un an à un nouveau doublement du nombre de menaces.

Programmes malveillants

Nous vous rappelons que la classification instaurée par Kaspersky Lab prévoit trois catégories de programmes malveillants :

  1. TrojaWare : différents types de chevaux de Troie incapables de se multiplier de manière autonome (portes dérobées, rootkits et tous les chevaux de Troie possibles).
  2. VirWare : programmes malveillants auto-reproducteurs (virus et vers).
  3. Autres programmes malveillants : programmes très populaires auprès des individus mal intentionnés qui les utilisent pour créer des programmes malveillant et organiser des attaques.

Augmentation du nombre de nouveaux programmes malveillants. En 2007, le nombre de nouveaux programmes malveillants découverts en moyenne chaque mois a augmenté de 114,28% par rapport aux chiffres de 2006 pour atteindre 18 347,67 (contre 8 562,5 en 2006). Pour l'ensemble de la période couverte par ce rapport, ce sont 220 172 nouveaux programmes malveillants qui ont été identifiés.

En 2007, nous avons enregistré une augmentation de 119,7 % de chevaux de Troie par rapport à 2006. La simplicité relative de la création de chevaux de Troie (par rapport aux vers et aux virus) et les possibilités qu'ils offrent en matière de vol de données, de création de réseaux de zombies et de diffusion de courrier indésirable constituent une fois de plus la base de l'augmentation du nombre de chevaux de Troie sur Internet.

Le nombre de nouveaux programmes malveillants de la catégorie VirWare découvert au cours de l'année a augmenté de 97,64% par rapport aux chiffres de 2006 et ce, grâce à la renaissance des virus de fichiers classiques que nous évoquerons ci-après.

L'augmentation du nombre de nouveaux programmes malveillants de la catégorie Autres programmes malveillants découverts en un an n'a pas dépassé 30%, ce qui est bien en deçà des indicateurs des autres catégories de programmes malveillants (augmentation supérieure à 90%). Il se peut que cet indicateur prenne une valeur négative en 2008.


Nombre de nouveaux programmes malveillants découverts par
les experts de Kaspersky Lab en 2007

Répartition des catégories de programmes malveillants. S'agissant de la répartition entre les différentes catégories de programmes malveillants, 2007 n'a pas apporté de grandes modifications. La tendance que nous observons depuis plusieurs années se maintient : augmentation de la part des chevaux de Troie de tout type et réduction correspondante des indicateurs Virware et Autres programmes malveillants.



Répartition des catégories de programmes malveillants en 2006 et 2007


Total20072006Part en 2007Part en 2006ProgressionCroissance
TrojWare2019589191191,73%89,45%+2,28%119,73%
VirWare1241662825,64%6,11%-0,47%97,64%
MalWare579845582,63%4,44%-1,80%27,20%
 220172102751100%100% 114,28%


La part des chevaux de Troie dans le total des programmes malveillants a augmenté en un an de 2,28% et représente désormais 91,73%.

La réduction du nombre de vers et de virus (VirWare) observée au premier semestre 2007 s'est maintenue (-2,26%) mais vers la fin de l'année, elle s'est transformée en croissance. Dans l'ensemble, cette catégorie de programmes malveillants a reculé de 0,47 % pour atteindre 5,64 % du total de programmes malveillants.

La part des représentants de la catégorie Autres programmes malveillants dans le total des programmes malveillants a reculé jusqu'à 1,95 % à la fin du premier semestre 2007. Vers la fin de l'année, la situation a quelque peu changé et la valeur finale est de 2,63 % Toutefois la chute de la représentation parmi tous les programmes malveillants est des plus perceptibles : -1,80%.

Nous allons maintenant nous pencher plus en détails sur les variations enregistrées dans chacune des catégories de programmes malveillants.

Chevaux de Troie

Le graphique suivant représente le nombre de nouveaux chevaux de Troie découverts chaque mois par les analystes de Kaspersky Lab :


Nombre de nouveaux programmes de la catégorie TrojWare découverts par
les experts de Kaspersky Lab

Deux pics sont clairement visibles sur le graphique : mai et août 2007. La croissance maintenue de la popularité des chevaux de Troie a été suivie par des chutes. Cette dynamique est diamétralement opposée à ce que nous avions pu observer en 2006 lorsque la croissance était constante et ininterrompue. Il se peut que les chevaux de Troie aient atteint une phase de stabilisation dans leur développement et que ces fluctuations vont devenir la norme. Si ce pronostic se vérifie, alors nous pouvons d'ores et déjà nous attendre à un nouveau pic dans l'activité de la catégorie TrojWare au début 2008.

La répartition des types de chevaux de Troie en fonction de la popularité est représentée sur le schéma suivant :


Chevaux de Troie : répartition des comportements (en %)
au sein de la catégorie

Afin de mieux comprendre les changements qui touchent les chevaux de Troie, nous allons voir comment le nombre de programmes malveillants par comportement a augmenté. La quasi-totalité des chevaux de Troie ont activement consolidé leurs indicateurs quantitatifs :


Nombre de nouveaux programmes malveillants de la catégorie
TrojWare (par comportement)


Dynamique de croissance des nouveaux programmes malveillants
de la catégorie TrojWare


Chevaux de Troie20072006Progression%%
Backdoor6490022444189,16%32,135
Trojan-PSW4421814747199,84%21,895
Trojan-Downloader437512344386,63%21,663
Trojan-Spy190351047981,65%9,425
Trojan185921169958,92%9,206
Trojan-Dropper4224377112,01%2,092
Trojan-Proxy3415285919,45%1,691
Trojan-Clicker2294164139,79%1,136
Rootkit1381639116,12%0,684
Trojan-DDOS895950,85%0,044
Trojan-SMS153400,00%0,007
Trojan-IM1537-59,46%0,007
Trojan-Notifier1315-13,33%0,006
Trojan-AOL967-86,57%0,004
Trojan-ArcBomb78-12,50%0,003
Total TrojWare20195891911119,73%100%


En 2007, ce sont les représentants Trojan-PSW et Backdoor qui ont connu la croissance la plus sensible. Nous ignorons la croissance de 400 % de la catégorie Trojan-SMS en raison du nombre de représentants assez restreint.

L'augmentation du nombre de programmes malveillants de type Backdoor représente près de 190%, ce qui leur a permis d'occuper la première place parmi tous les chevaux de Troie au niveau du volume (en 2006, cette première place était occupée par Trojan-Downloader). Cette performance rappelle le développement des vers de messagerie entre 2002 et 2004. Les portes dérobées (backdoor) représentent à l'heure actuelle près d'un tiers de tous les programmes malveillants créés dans le monde et la palme revient aux portes dérobées créées en Chine.

La Chine a confirmé en 2007 sa position de "superpuissance des virus". Outre les portes dérobées, les auteurs de virus chinois ont développé en 2007 divers chevaux de Troie prévus pour le vol de données d'accès à des comptes de jeux en ligne principalement. Cela s'est traduit par une augmentation de 200% de la catégorie Trojan-PSW. Tout comme en 2006, ce comportement occupe la deuxième place au niveau du volume, place qu'il dispute à la catégorie Trojan-Downloader.

Trois groupes principaux de comportements existent à l'heure actuelle au sein de la catégorie TrojWare :

  1. Backdoor, Trojan-PSW, Trojan-Downloader. Il s'agit des chevaux de Troie les plus répandus qui représentent plus de 75% de l'ensemble de la catégorie TrojWare (la part de chacun de ces comportements dans le total des chevaux de Troie dépasse 20%).
  2. Trojan, Trojan-Spy. La part de ces comportements dans le groupe est d'environ 9 % ; taux de croissance moyens. La possibilité d'une augmentation de leur poids jusqu'au niveau indispensable pour entrer dans le premier groupe est pratiquement impossible et un recul jusqu'au niveau du troisième groupe est improbable.
  3. Trojan-Proxy, Trojan-Dropper, Trojan-Clicker, Rootkit. La part des représentants de ces comportements est comprise entre 0,7 et 2,1%. A l'exception de la catégorie Rootkit, le taux de croissance des représentants de ce groupe ne dépasse pas 40%. La catégorie Rootkit a fait son apparition dans ce groupe en 2007 grâce à sa croissance de 116,1%. Il n'est pas exclu que le nombre d'un de ces comportements augmente jusqu'au niveau du deuxième groupe ; ceci étant dit, la probabilité de voir la part des programmes malveillants de ce groupe reculer davantage sous la pression des représentants du premier groupe est bien supérieure.

Parmi les chevaux de Troie espion les plus dangereux pour les utilisateurs et les plus actifs au niveau du développement, on retrouve les membres de la famille de programmes développés pour voler les données des utilisateurs des jeux en ligne ou des systèmes de services bancaires en ligne.

Rootkits

Nous ne pouvons ignorer les chevaux de Troie de la catégorie rootkits. Il s'agit de programmes qui servent à dissimuler les chevaux de Troie les plus divers et le même rootkit peut être utilisé par différents individus mal intentionnés.


Nombre de nouveaux rootkits de l'activité découverts par
les experts de Kaspersky Lab

En 2005 (année où nous avons commencé à traiter ce comportement à part), les rootkits constituaient le sujet le plus brûlant dans le monde de la sécurité informatique et les auteurs de virus déployaient tous leurs efforts dans ce domaine : en un an, le nombre de nouveaux rootkits augmenta de 413%. Après un décollage aussi impressionnant, nous pouvions nous attendre à un certain ralentissement de leur croissance, toutefois ils sont restés à un niveau élevé en 2006 avec +74%.

La tendance s'est maintenue en 2007, avec un indice de croissance annuelle supérieur à 116%. Toutefois, le diagramme montre clairement qu'au premier semestre 2007, le nombre de nouveaux rootkits a dépassé les indicateurs des autres périodes. A la fin du premier semestre, nous avons enregistré une hausse de 178%. Cette hausse fut suivie par un recul pour lequel nous n'avons pas encore d'explication précise. Cela s'explique peut-être par le déclin de l'activité des auteurs du ver Zhelatin (Storm Worm) qui fut un des principaux programmes malveillants de 2007 à utiliser la technologie des rootkits.

Il est désormais difficile de pronostiquer ce comportement de cheval de Troie et tout dépendra en grande partie de la diffusion de Windows Vista.

Vers et virus

Le graphique ci-après représente le nombre de nouveaux virus découverts chaque mois par les analystes de Kaspersky Lab :


Nombre de nouveaux programmes de la catégorie VirWare découverts par
les experts de Kaspersky Lab

La stagnation de cette catégorie que nous avions pu observer en 2004 et 2005 avait laissé la place à une croissance à la fin 2006. Cette croissance s'est maintenue en 2007, même si les indicateurs absolus sont toujours inférieurs au maximum enregistré en octobre 2006 lorsque nous avions été confronté à des centaines de nouvelles versions du ver Warezov.

Le graphique indique clairement qu'au fil de 2007, la dynamique de l'apparition de nouveaux programmes de la catégorie VirWare n'a pas été stable. On observe en effet trois périodes de hausse suivies par des reculs. A l'heure actuelle, la catégorie VirWare se trouve dans une phase de stabilisation de ces fluctuations et il est probable que cette tendance soit plus marquée en 2008.

Pour l'ensemble de l'année 2007, la catégorie VirWare a affiché une croissance de près de 98% du nombre de nouveaux programmes malveillants (pour rappel, l'année dernière, le nombre de programmes malveillants de la catégorie VirWare n'avait augmenté que de 8%). Cela n'a toutefois pas suffit pour maintenir la part de cette catégorie dans le nombre total de programmes malveillants : elle est passée de 6,11% en 2006 à 5,64%.

Le graphique suivant illustre la répartition des différents comportements de la catégorie VirWare :


Virus : répartition des comportements (en %) au sein de la catégorie

Afin de mieux comprendre les changements qui touchent les programmes à diffusion automatique, nous allons voir comment le nombre de programmes malveillants par comportement a augmenté. Toutes les catégories de ce type de programme ont activement gonflé leurs indicateurs quantitatifs :


Nombre de nouveaux programmes malveillants de la catégorie VirWare (par comportement)


Dynamique de croissance des nouveaux programmes malveillants de la catégorie VirWare


Vers et virus20072006Modification%%
Email-Worm4758349036,35%38,32
Virus3437704389,60%27,68
Worm27781311111,80%22,37
IM-Worm681245178,19%5,48
Net-Worm42628350,42%3,43
P2P-Worm28221531,28%2,27
IRC-Worm543460,71%0,43
Sommaire12416628297,64%100,00


Comme vous le voyez, tous les comportements repris dans la catégorie VirWare ont enregistré une hausse en 2007 par rapport à l'année précédente. Il s'agit de la seule catégorie à afficher de tels résultats.

La stabilité des indicateurs deux années de suite montre que les vers de messagerie sont les plus répandus. En 2006, ils avaient enregistré une croissance de 43%. Elle a été de 36,35% en 2007. La catégorie Email-Worm a pu ainsi conserver sa première place, même si l'écart par rapport aux autres comportements n'est plus aussi impressionnant. Il représente actuellement moins de 11%. Email-Worm doit ses résultats aux représentants de trois familles principales : Warezov, Zhelatin et Bagle.

Dans notre rapport pour le premier semestre 2007, nous avions prédit que la catégorie Virus occuperait la deuxième place. Cette prévision a été confirmée : à la fin de l'année, la part des virus représentaient près de 28%, ce qui leur a permis de décrocher la deuxième place en terme de popularité parmi les programmes malveillants de la catégorie VirWare.

En 2007, ce sont les virus traditionnels qui ont affiché la croissance la plus grande parmi tous les types de programmes malveillants avec 389,6% ! Ceci est avant tout lié à la grande popularité du mode de diffusion des virus reposant sur les clés USB. Un tel bond est d'autant plus surprenant que cet indice avait une valeur négative de -29% en 2006.

La tendance au retour des virus est alarmante. En effet, il est plus difficile de supprimer un virus d'un système infecté que se débarrasser d'un cheval de Troie. De plus, de nombreux logiciels antivirus qui se vantent de détecter les programmes malveillants traditionnels affichent de bien maigres résultats lorsqu'il s'agit d'identifier des virus polymorphes complexes. Ceci pourrait déboucher sur de sérieux problèmes dans un avenir proche car les auteurs de virus ont déjà porté leur attention sur cette particularité.

En 2006, les représentants de la catégorie Worm ont affiché une croissance explosive de 220%. En 2007, le taux de croissance de nouveaux programmes de la catégorie Worm a quelque peu ralenti, plus de deux fois par rapport à 2006 (il est probable que l'arrestation en Chine de l'auteur de la famille nombreuse de vers Viking ait contribué à cet état de fait). Toutefois, l'indice à la fin de l'année reste toujours élevé avec une valeur de 111,8%.

Un autre aspect dérangeant de l'année 2007 fut les vers qui se diffusent via les systèmes de messagerie instantanée. Nous remarquions en 2006 que les vers de messagerie instantanée n'avaient pas réussi à occuper une position notable sur la scène des virus. A la fin de l'année 2006, nous avions observé un recul de 45% du nombre de nouveaux vers de messagerie instantanée et la tendance laissait présager leur disparition complète en 2007. Contre toute attente, ils ont survécu et ils ont même amélioré leur indicateur. Pour ce faire, ils ont changé de vecteur de diffusion et ont abandonné AOL et MSN au profit de Skype. De plus, la popularité des clients de messagerie instantanée en tant que moyen de propagation de programmes malveillants a contribué à la diffusion active via ICQ de vers tels que Zhelatin (Storm Worm). En termes de popularité, la catégorie IM-Worm a décroché, à la surprise générale, la quatrième place parmi le groupe VirWare (5,5%) et la deuxième place (178,2%) en termes de croissance.

Nous pouvons identifier deux groupes principaux de comportements dans la catégorie VirWare :

  1. Email-Worm, Worm, Virus. Les programmes malveillants de ce comportement représentent un peu moins de 90% de tous les programmes de la catégorie VirWare. La part de chacun de ces comportements dépasse les 20% du nombre total de VirWare. Stagnation du développement du leader (Email-Worm) et taux de croissance explosif des catégories Virus et Worm.
  2. IM-Worm, Net-Worm, P2P-Worm, IRC-Worm. A l'exception d'IM-Worm, la part de chacun de ces comportements dans le total de VirWare représente moins de 5%. Taux de croissance moyens. La croissance de la part au niveau des comportements est probable uniquement pour IM-Worm en raison du développement marqué des services de messagerie instantanée tels que Skype. Pour Net-Worm, la situation continue à se détériorer : l'absence de vulnérabilités critiques dans les services de réseau de Windows ne permet pas aux auteurs de virus de proposer des nouveautés.

Dans l'ensemble, les taux de croissance de la catégorie VirWare reculent légèrement par rapport à ceux de la catégorie TrojWare (98% contre 120%) et dépassent de loin ceux de la catégorie Autres programmes malveillants que nous aborderons ci-après.

Autres programmes malveillants

La catégorie Autres programmes malveillants est la moins représentée en termes de programmes malveillants découverts, mais la plus importante en termes de comportements.

La croissance du nombre de nouveaux programmes malveillants dans cette catégorie en 2004 et 2005 (13 et 43% respectivement) a fait la place en 2006 à une légère réduction (-7%). Toutefois, 2007 a montré que 2006 fut avant tout une période de stabilisation pour cette catégorie, un renforcement des positions occupées avant de passer au niveau supérieur. A la fin de l'année 2007, la catégorie Autres programmes malveillants affichait une croissance de nouveaux programmes malveillants supérieure à 27%. Cela n'a toutefois pas suffit pour maintenir la part de cette catégorie dans le nombre total de programmes malveillants : elle est passée de 4,44% en 2006 à 2,63%.


Nombre de nouveaux programmes de la catégorie Autres programmes malveillants
découverts par les experts de Kaspersky Lab

Voici les répartitions des différents comportements de la catégorie Autres programmes malveillants :


Autres programmes malveillants : répartition des comportements (en %)
au sein de la catégorie

Afin de mieux comprendre les modifications intervenues dans cette catégorie de programmes malveillants, il convient d'étudier l'augmentation du nombre des programmes malveillants de diverses catégories appartenant à la catégorie Autres programmes malveillants :


Nombre de nouveaux programmes malveillants de la catégorie
Autres programmes malveillants (par comportement)


Dynamique de croissance des nouveaux programmes malveillants
de la catégorie Autres programmes malveillants


Autres programmes malveillants20072006Croissance%%
Hoax1315341285,63%22,68
Exploit12191860-34,46%21,02
Packed75300,00%12,99
FraudTool61700,00%10,64
HackTool52036044,44%8,97
SpamTool50126390,49%8,64
Constructor353948-62,76%6,09
IM-Flooder110128-14,06%1,90
BadJoke100112-10,71%1,72
Flooder92884,55%1,59
VirTool794671,74%1,36
DoS6828142,86%1,17
Nuker271942,11%0,47
Email-Flooder13346-96,24%0,22
Spoofer125140,00%0,21
Sniffer11683,33%0,19
SMS-Flooder880,00%0,14
Total5798455827,2%100


Les représentants de la catégorie Exploit ne sont pas les plus nombreux dans cette catégorie. Ils perdent du terrain depuis deux ans. En 2006, ils représentaient plus de 30% avec un recul de croissance à 21%. En 2007, ils représentent mois du quart de tous les membres de la catégorie Autres programmes malveillants (21,02%) et leur recul est encore plus marqué : -34% par an. Les positions dominantes occupées jadis par la catégorie Exploit ont été anéanties par les éditeurs de navigateurs et de systèmes d'exploitation, en premier lieu Microsoft. Ainsi, aucune nouvelle vulnérabilité critique qui aurait pu être utilisée à des fins malveillantes comme ce fut le cas entre 2003 et 2005 n'a été découverte en 2007.

La catégorie Hoax affiche le taux de croissance le plus impressionnant (+285,63%). Cela fait deux ans de suite que ce comportement affiche une croissance supérieure à 150%. En matière de popularité, les représentants Hoax ont déjà dépassé ceux de la catégorie Exploit (22,68%) avec pour l'instant un léger avantage d'1,56%.

Deux nouveaux comportements qui apparaissent pour la première fois dans notre classement en 2007, à savoir Packed et Fraud-Tool, font une entrée remarquée à la 3e et à la 4e place parmi tous les représentants de la catégorie Autres programmes malveillants en terme de popularité. La catégorie Fraud-Tool regroupe les "faux logiciels antivirus" qui ont trompé des centaines d'utilisateurs en découvrant de prétendus chevaux de Troie sur les ordinateurs des victimes et en proposant le versement d'une certaine somme pour supprimer cette infection. (Il s'agit en fait d'une véritable escroquerie qui exploite la peur des utilisateurs vis-à-vis des programmes malveillants.)

Le courrier indésirable et les attaques par déni de services figurent parmi les principaux sujets d'actualité dans le domaine de la sécurité des informations en 2007. En 2006, le nombre de programmes malveillants de type Spam-Tool enregistra une croissance explosive de 107% et la catégorie SpamTool occupait la cinquième position dans le volume global des programmes du groupe Autres programmes malveillants. Au cours du premier semestre 2007, la catégorie SpamTool est devenue le leader absolu en terme de croissance dans cette catégorie : la croissance de 222% a permis à SpamTool de décrocher la deuxième position en pourcentage au sein de la catégorie. A la fin de l'année, nous avons été témoin d'un retour à la situation de 2006 (6e place). Toutefois, la croissance du nombre de nouveaux programmes de cette catégorie est impressionnante et rien ne laisse prévoir la moindre modification pour 2008.

S'agissant des attaques par déni de service, les indicateurs quantitatifs de cette catégorie sont encore modestes mais la tendance à la hausse est claire et ces programmes se compteront par centaines en 2008.

Programmes potentiellement indésirables

Les programmes potentiellement indésirables (Potentially Unwanted Programms, PUP) sont des programmes qui sont développés et diffusés par des sociétés légitimes mais qui présentent un ensemble de fonction qui pourraient permettre à un individu mal intentionné de les exploiter afin de nuire aux utilisateurs. Ces programmes ne peuvent être classés comme sûrs ou dangereux : tout dépend de qui les utilisent.

Kaspersky Lab range parmi les programmes potentiellement indésirables les catégories suivantes : Riskware, Pornware et Adware. Cela fait plusieurs années maintenant que Kaspersky Anti-Virus offre la possibilité de détecter ces programmes mais ils n'ont jamais été repris dans nos rapports. En grande partie en raison de leur nombre restreint et en grande partie en raison des constantes modifications des critères qui permettent de décider si un logiciel est dangereux ou non. En 2007, le secteur des logiciels antivirus est parvenu à définir un ensemble de signes communs pour l'identification des logiciels potentiellement indésirables, ce qui nous a permis de pouvoir classer plus en détails ces programmes.

Programmes de la catégorie Riskware et Pornware

La catégorie RiskWare reprend les programmes légitimes qui peuvent, entre les mains d'individus mal intentionnés, nuire à l'utilisateur et à ses données (suppression, blocage de l'accès, modification ou copie des informations, perturbation du fonctionnement de l'ordinateur ou des réseaux). Pour l'instant, le nombre de programmes de type RiskWare n'atteint même pas le niveau de la catégorie Autres programmes malveillants mais la croissance observée est inquiétante. De plus en plus de programmes chevauchent la ligne tenue qui sépare les logiciels nuisibles des logiciels "propres". Cela engendre une multitude de problèmes complémentaires aussi bien pour les utilisateurs que pour les éditeurs de logiciels antivirus. De plus, c'est ici que les désaccords juridiques entre les éditeurs de RiskWare et les éditeurs de logiciels antivirus se manifestent. C'est ainsi que plusieurs procès ont été intenté en 2007 et la majorité d'entre eux ont été remportés par les éditeurs de logiciels antivirus.

La catégorie Pornware reprend les utilitaires en rapport, d'une façon ou d'une autre, avec l'offre d'informations à caractère pornographique. Cette catégorie reprend divers logiciels tels que des Dialers, Downloaders et autre Porn-Tool. Les programmes de la catégorie PornWare sont rares. Le nombre d'entre eux relevé par les experts de Kaspersky Anti-Virus en 2007 ne dépasse pas 500 unités. C'est la raison pour laquelle nous avons décidé de les regrouper avec les programmes de la catégorie RiskWare au moment de l'analyse.

Le graphique ci-après représente le nombre total de nouveaux programmes des catégories RiskWare et PornWare découverts chaque mois par les analystes de Kaspersky Lab.


Nombre mensuel de nouveaux programmes des catégories RiskWare et PornWare
découverts par les experts de Kaspersky Lab

Voici les répartitions des différents comportements des catégories RiskWare et PornWare :


RiskWare+Pornware: répartition des comportements (en %)
au sein de la catégorie

Parmi les représentants des catégories RiskWare et PornWare, nous observons deux leaders incontestés, à savoir Monitor (36,65%) et Porn-Dialer (13,98%).

Le premier comportement désigne divers enregistreurs de frappes "légaux". Ces programmes sont développés et diffusés officiellement mais lorsqu'ils sont dotés de fonctions capables de dissimuler leur activité dans le système, ils peuvent éventuellement être utilisés en tant que chevaux de Troie espions.

Les Porn-Dialers sont des numéroteurs vers des sites pornographiques payants. Ils établissent des connexions téléphoniques avec des numéros payants, ce qui entraîne souvent des procès entre les abonnés au service téléphonique et les compagnies de téléphone. En 2007, les programmes des catégories Dialer et Porno-Dialer ont occupé la première place pendant quelques mois dans la liste des programmes les plus répandus, sur la base des données de notre système d'analyse en ligne.

Voyons comment les programmes de ces deux catégories se répartissent par comportement :


Nombre de nouveaux programmes des catégories RiskWare et PornWare
de comportements différents


RiskWare et PornWare2007%%
Monitor98636,65
Porn-Dialer37613,98
PSW-Tool2137,92
RemoteAdmin1987,36
Dialer1636,06
Downloader1626,02
AdTool1224,54
Net-Tool1124,16
RiskTool903,35
Server-FTP612,27
Server-Proxy381,41
Tool230,86
Porn-Downloader210,78
Porn-Tool170,63
Client-IRC130,48
Server-Web80,30
Client-SMTP20,07
Server-Telnet10,04
Other843,12
Total2690100


En plus de Monitor et de Porn-Dialer, les comportements PSW-Tool et RemoteAdmin sont également fortement répandus. Les premiers servent à récupérer les mots de passe oubliés mais ils peuvent être facilement détournés par des individus mal intentionnés pour extraire ces mots de passe de l'ordinateur sans que la victime ne se rende compte de quoi que ce soit. RemoteAdmin est une catégorie très populaire auprès des administrateurs système. Elle reprend les programmes à "double" utilisation et ils sont utilisés, entre autres, par les pirates qui souhaitent prendre les commandes des machines compromises. La légalité de RemoteAdmin donne aux individus mal intentionnés une certaine garantie que certains logiciels antivirus ne seront pas en mesure de les identifier dans les systèmes.

Nous publions des statistiques sur ces programmes pour la première fois et par conséquent, nous ne pouvons rien dire sur la dynamique de développement de chacun des comportements et de la catégorie dans son ensemble. Dans les rapports à venir, nous nous pencherons plus en détails sur les catégories RiskWare et PornWare.

Logiciels publicitaires (AdWare)

La catégorie AdWare reprend les logiciels publicitaires développés pour afficher des messages publicitaires (le plus souvent, sous la forme de bannières), pour réorienter les recherches vers les sites dont la publicité est assurée et pour recueillir des données de type marketing sur l'utilisateur (par exemple, le sujet traité par les sites visités).

La catégorie AdWare est une grande catégorie de logiciels qui sont déjà détectés depuis longtemps par les logiciels antivirus. Le secteur des programmes de lutte contre les logiciels publicitaires a déjà eu le temps de naître et de pratiquement disparaître dans la lutte contre les logiciels publicitaires.

Voici un graphique reprenant le nombre de nouveaux logiciels de la catégorie AdWare identifiés chaque mois par les experts de Kaspersky Lab :


Nombre de nouveaux programmes de la catégorie AdWare découverts par
les experts de Kaspersky Lab


 20072006Modification
Logiciels publicitaires143822583+456,79%


En 2007, la catégorie AdWare a enregistré un développement révolutionnaire avec une croissance de près de 456% ! Ce fut la réponse "asymétrique" des éditeurs de ces programmes aux efforts déployés par de nombreux gouvernements, Etats-Unis en tête, pour mettre un terme à la publicité illicite et intrusive sur Internet. Malgré l'adoption de différentes lois qui réglementent clairement les obligations des éditeurs de logiciels publicitaires et qui prévoient de lourdes amendes en cas de violation, la situation s'est détériorée.

Plateformes et systèmes d'exploitation

Dans le rapport annuel précédent, nous n'avons jamais publié des statistiques détaillées sur la répartition des programmes malveillants, des logiciels publicitaires et des programmes potentiellement dangereux en fonction des systèmes d'exploitation et des plateformes. Nous nous contentions de fournir des analyses particulières sur les systèmes non-Windows les plus intéressants (*nix, Mac OS et Symbian). Toutefois, dans le rapport du premier semestre 2007, nous avons étudié la situation dans son ensemble et nous pouvons maintenant analyser les modifications sur l'année.

Le système d'exploitation ou l'application peut être attaqué par des programmes malveillants si elle peut lancer un programme qui ne fait pas partie du système. Tous les systèmes d'exploitation, de nombreuses applications de bureautique, des éditeurs d'images, des logiciels de gestion de projet et d'autres applications possédant des langages de script intégrés répondent à cette condition.

Sur l'ensemble de l'année 2007, Kaspersky Lab a recensé des programmes malveillants, des logiciels publicitaires et des programmes présentant un risque potentiel sur plus de 43 plate-formes et systèmes d'exploitation différents.

La majorité des programmes existants est bien entendu développée pour le milieu Win32 et il s'agit de fichiers exécutables binaires. Les autres programmes ciblant d'autres systèmes d'exploitation ou plateformes ne représentent que 4% du nombre total.


Nombre de nouveaux programmes malveillants, logiciels publicitaires
et programmes potentiellement dangereux pour diverses plateformes

Malgré le fait que la part des programmes malveillants pour Win32 atteignait 96,36% en 2007, elle continue à reculer doucement, mais sûrement. Pour rappel, la part des programmes non-win32 était passée de 3,18 à 3,42% au premier semestre 2007. Elle a dépassé 4% au deuxième semestre et sur l'ensemble de l'année 2007, la croissance a été de 3,64%.

Au cours du deuxième semestre 2007, le nombre de programmes malveillants, de logiciels publicitaires et de programmes potentiellement dangereux pour Win32 a augmenté de 36% par rapport au premier six mois de l'année. Toutefois, pour les autres plate-formes et applications, cette croissance a été de 63%, ce qui témoigne une fois de plus du changement de priorités des auteurs de virus et traduit un renforcement de la menace pour les auteurs des autres systèmes.

L'indice de 63% a été atteint avant tout grâce à la poursuite du développement de divers programmes malveillants de scripts développés principalement en Java Script et Visual Basic Script. Tous sont exécutables dans des systèmes Windows. Une telle hausse de popularité est due, selon nous, aux efforts déployés par les éditeurs de logiciels antivirus dans le développement de nouvelles technologies heuristiques, d'émulation du code et de virtualisation des processus orientés sur l'utilisation de fichiers exécutables Win32 tandis que les scripts malveillants demeurent toujours hors du champ d'attention et de résistance. Le deuxième facteur est lié à l'utilisation active de langage de script pour réaliser divers codes d'exploitation dans les navigateurs les plus utilisés. L'intrusion via les vulnérabilités d'un navigateur est devenue à l'heure actuelle la méthode la plus activement utilisée pour diffuser des programmes malveillants.


№№Plateformes1 semestre2 semestreTotalCroissance
1Win329696713162622859336%
2JavaScript11822240342290%
3Visual Basic Script576748132430%
4HTML3989301328134%
5BAT33455388766%
6PHP84186270121%
7MSWord14583228-43%
8ASP45135180200%
9Linux12145166-63%
10Perl11337150-67%
11IRC518613769%
12.NET333164-6%
13MS_DOS144458214%
14WinREG193958105%
15Symbian19304958%
16MacOS233351550%
17Java122537108%
18NSIS15173213%
19MSPPoint171633-6%
20MSExcel191029-47%
21SunOS18220-89%
22Multi8111938%
23RAR41216200%
24HTA6410-33%
25Win163710133%
26Python591480%
27Ruby35867%
28MSAccess549-20%
29AutoCad156400%
30MSOffice3360%
31Unix437-25%
32Boot505-100%
33SWF3360%
34Win9x134200%
35WMA134200%
36AutoLISP033 
37ZIP303-100%
38BeOS101-100%
39Boot-DOS101-100%
40FreeBSD011 
41SAP101-100%
42SQL011 
43Win64101-100%


Voyons les rythmes de croissance des programmes malveillants, des logiciels publicitaires et des programmes potentiellement dangereux pour toutes les plateformes. Nous n'avons pas repris dans ce graphique les plate-formes et les applications pour lesquelles moins de 20 programmes malveillants, logiciels publicitaires ou programmes présentant un risque potentiel ont été recensés en 2007. Le graphique a été réalisé sur la base de la comparaison des indicateurs du premier et du deuxième semestre 2007.


Taux de croissance au deuxième semestre 2007
et nombre de programmes malveillants,
de logiciels publicitaires et de programmes potentiellement
dangereux développés pour différentes plateformes

Alors que les leaders du premier semestre en termes de croissance (croissance supérieure à 150%) étaient les langages de script Java Script, PHP, Ruby et la plateforme MS Office, la situation a considérablement changé au deuxième semestre. Le leader absolu (croissance de 1 550%) est le système d'exploitation Mac OS X qui fut attaqué à 35 reprises en 2007, dont 33 fois au cours du deuxième semestre. Dans notre rapport semestriel, nous trouvions l'absence de programmes malveillants pour cette plateforme étrange alors qu'elle semblait gagner en popularité (de juin 2006 à mai 2007, aucun programme malveillant n'avait été créé pour cette plate-forme). Vers la fin de l'année, la situation a reflété les prévisions des spécialistes. Les principaux programmes malveillants pour le Mac ont été cette année les chevaux de Troie, y compris ceux qui remplacent les requêtes DNS de l'utilisateur pour les orienter vers des sites d'hameçonnage.

L'apparition de nouveaux virus pour MS-DOS est une des curiosités de la virusologie moderne, d'autant plus qu'en chiffres réels, cela ne représente que cinquante "remakes" des anciens temps.

Par contre, l'augmentation du nombre de programmes malveillants sous la forme de pages HTML ou rédigées en ASP est plus sérieuse. Les programmes malveillants HTML sont des pages d'hameçonnage ou de fausses "cartes" dont la consultation peut entraîner l'infection de l'ordinateur de l'utilisateur ou le vol de données confidentielles. ASP est un des outils les plus utilisés en Chine pour procéder à l'administration de sites infectés et y installer des portes dérobées via une interface Web.

Globalement, le tableau des menaces pour diverses plateformes et systèmes d'exploitation n'a que très peu changé en 2007. La croissance soutenue du nombre de chevaux de Troie exploitant de nombreuses vulnérabilités de MS Office et de ses applications (Word, Excel, Power Point, etc.) observée en 2006 s'est arrêtée et ces programmes malveillants enregistrent même un certain recul. Cela s'explique par le fait que Microsoft a réussi, selon toute vraisemblance, à supprimer toutes les vulnérabilités critiques dans ces logiciels. Ceci étant dit, la menace est toujours sérieuse si l'on tient compte du recensement de plus de 200 programmes malveillants pour MS Word uniquement. Nombre de ces programmes ont été utilisés en 2007 pour réaliser des attaques, imputées à des pirates chinois, qui ont fait beaucoup parler d'elles.

La "révélation" de l'année est sans conteste JavaScript : il est devenu, de facto, le moyen de développement et de réalisation de programmes malveillants le plus innovant. Il ne s'agit plus uniquement des simples Trojan-Downloader, mais de codes d'exploitation de vulnérabilités plus complexes dans les navigateurs, de vers de messagerie, de divers réseaux de diffusion de courrier indésirable et de sites d'hameçonnage. Au terme de l'année, le nombre de nouveaux programmes malveillants développés en JavaScript est près du double de celui des programmes développés à l'aide de son "frère jumeaux", le langage Visual Basic Script.

Il est possible de tenter de regrouper les 43 plateformes et systèmes d'exploitation attaqués en 2007 en fonction de caractéristiques communes, à savoir l'utilité du système d'exploitation attaqué. Par exemple JS et VBS sont associés à Windows et Ruby et Perl à *nix. Ceci nous permet de véritablement faire le point sur la question éternelle : "existe-t-il une menace posée par les virus pour les personnes qui n'utilisent pas Windows ?"


Systèmes d'exploitation Quantité %%
Windows23643099,660
Nix6020,254
Mac350,015
Mobile630,027
Divers1060,045

*Nix reprend FreeBSD, Linux, Perl, PHP, Ruby, Unix.
Mobile reprend Python et Symbian.
"Divers" reprend BeOS, Boot, Boot-DOS, MS-DOS, Multi, SAP, SQL, SunOS.

Nous laisserons au lecteur le soin de tirer les conclusions de ces statistiques.

Mises à jour des bases antivirus

Kaspersky Lab a réagi à l'augmentation du nombre de menaces et à l'accélération de l'apparition de nouvelles menaces en réduisant l'intervalle de temps entre les diffusions des bases antivirus et en accélérant la vitesse de réaction.

Nouveaux enregistrements dans les bases antivirus

Le nombre de nouveaux enregistrements ajoutés chaque mois aux bases antivirus de Kaspersky Anti-Virus en 2007 oscille entre 8 000 au début de la période couverte par le rapport jusque 23 000 vers la fin de celle-ci avec une pointe à 28 000 vers le milieu de l'année. Au terme de l'année 2007, le nombre d'enregistrements moyen ajouté chaque mois fut de 19 770.


Statistiques relatives à l'ajout de nouveaux enregistrements aux bases antivirales
par mois en 2007

Comme le montre le diagramme, le nombre de définitions ajoutées chaque mois aux bases antivirales a augmenté de manière inégale. Nous pouvons observer deux pics : le premier en mai 2007 et l'autre en août 2007, époques où les experts de Kaspersky Lab ont traité des nombres record de nouveaux programmes malveillants équivalent respectivement à 27 847 et 31 305.

Mises à jour normales et urgentes

«Kaspersky Lab a réagi à l'émergence de nouveaux programmes malveillants en publiant deux types de mise à jour des bases antivirus : régulières et urgentes (en cas d'épidémie). S'agissant des mises à jour normales, leur nombre a dépassé 10 000 en 2007. La moyenne mensuelle pour cette période est proche des 900 mises à jour.


Nombre de mises à jour régulières par mois

L'augmentation sensible du nombre de mises à jour depuis octobre 2007 est clairement visible dans les statistiques. C'est précisément à cette époque que Kaspersky Lab a introduit son nouveau système de diffusion des mises à jour. Alors que par le passé, les mises à jour étaient diffusées une fois par heure, désormais l'intervalle entre chaque mise à jour régulière n'est plus que de 30 minutes !

Cela représente entre 40 et 50 mises à jour sur 24 heures. Ce nombre est le plus élevé parmi tous les éditeurs de logiciels antivirus.


Nombre de mises à jour urgentes par mois

Le nombre d'événements justifiant la diffusion de mises à jour urgentes était de 51% inférieur en 2007 par rapport à 2006 et au deuxième semestre 2007, 88% moindre qu'au cours des six premiers mois de l'année. Ceci s'explique en partie par le passage à la diffusion des mises à jour toutes les demi-heures.

Le nombre moyen de mises à jour urgentes par mois a été de 9,17.

Pronostic

1. MalWare 2.0

L'évolution du mode de fonctionnement des programmes malveillants depuis les programmes uniques jusqu'aux projets complexes interconnectés a débuté il y a quatre ans avec l'apparition des composants modulaires utilisés dans le ver Bagle. Le nouveau modèle de fonctionnement des programmes malveillants qui s'est dessiné vers la fin de l'année 2006 sous les traits du ver Warezov et qui a démontré toute sa vigueur et son efficacité en 2007 sous la forme du ver de tempête (Zhelatin) est non seulement devenu le standard pour la majorité des nouveaux projets de programmes malveillants mais il continue également à se développer.

Ses principales caractéristiques sont les suivantes :

  • Absence d'un centre unique d'administration du réseau d'ordinateurs infectés ;
  • Méthodes de résistance active face aux tentatives d'étude connexe et d'interception de l'administration ;
  • Diffusion massive et de courte durée du code malveillant ;
  • Application efficace des astuces de l'ingénierie sociale ;
  • Utilisation de divers moyens de diffusion et abandon progressif des moyens les plus évidents (courrier électronique) ;
  • Différents modèles pour l'exécution de diverses fonctions (et non pas tout-en-un).

Par analogie au terme Web 2.0, nous pouvons désigner la nouvelle génération de programmes malveillants sous le terme Malware 2.0.

A l'heure actuelle, cette technique est utilisée par les trois programmes malveillants cités ci-dessus : Bagle, Zhelatin et Warezov. Ils n'ont pas été développés tant pour le vol d'informations que pour organiser la majorité des diffusions actives de courrier indésirable. Toutefois, certaines catégories de chevaux de Troie visant les services bancaires en ligne et les jeux affichent des caractéristiques propres à ce mode de fonctionnement.

2. Rootkits et "Bootkit"

Les techniques de dissimulation de l'activité dans le système (rootkit) sont appliquées non seulement par les chevaux de Troie mais également par les virus de fichiers. Nous revenons ainsi à l'époque de MS-DOS et à l'existence des virus furtifs résidents. Il s'agit d'une étape logique dans le développement des méthodes de résistance face aux logiciels antivirus. Les programmes malveillants tentent désormais de survivre dans le système même lorsqu'ils ont été découverts.

Une autre méthode dangereuse de dissimulation de la présence dans le système consiste à infecter activement le secteur d'amorçage du disque. Ce sont les "bootkits". Il s'agit de la réincarnation d'une ancienne technique qui permet à un programme malveillant de prendre les commandes de l'ordinateur avant le chargement de la partie principale du système d'exploitation (et des logiciels antivirus). Apparue sous la forme de concept en 2005, cette astuce a été exploitée en 2007 dans Backdoor.Win32.Sinowal et a entraîné quelques milliers d'infections dans le monde entier au cours des deux dernières semaines de l'année. Cette méthode représente un danger certain pour les utilisateurs et pourrait devenir en 2008 un des principaux problèmes rencontrés dans le domaine de la sécurité informatique.

3. Virus de fichiers

Les virus de fichiers poursuivent leur retour. Comme par le passé, les individus mal intentionnés chinois sont les premiers producteurs de ces programmes et ils visent les joueurs en ligne. Il n'est pas exclu que les auteurs de Zhelatin et de Warezov infectent les fichiers car cela leur donnerait encore un autre moyen important de diffusion.

Nous devons nous attendre en 2008 à une explosion du nombre d'incidents impliquant des fichiers d'installation de jeux diffusés sur des sites fréquentés ou dans des réseaux d'échange de fichiers. Les virus tenteront d'infecter les fichiers que les utilisateurs proposent aux autres. Dans de nombreux cas, ce mode de propagation peut être plus efficace que la diffusion d'un fichier malveillant par courrier électronique.

4. Attaques contre les réseaux sociaux

Le phishing ou « hameçonnage » va connaître de grands bouleversements dans le courant de l'année 2008 et sera orientés vers les utilisateurs des réseaux sociaux. Les comptes des utilisateurs de services tels que Facebook, MySpaces, Livejournal, Blogger ou autres vont être de plus en plus recherchés par les individus mal intentionnés. Ces sites vont devenir une alternative de choix pour la diffusion de programmes malveillants via des sites compromis. On peut s'attendre à ce que la majorité des chevaux de Troie en 2008 soit diffusé via les comptes d'utilisateurs de réseaux sociaux et plus exactement via leurs blogs et leurs profils.

Les attaques XSS\PHP\SQL constituent un autre problème lié aux réseaux sociaux. A la différence de l'hameçonnage qui utilisent exclusivement des méthodes d'escroquerie et d'ingénierie sociale, ces attaques se basent sur les erreurs et les vulnérabilités des services Web 2.0 et peuvent toucher les utilisateurs les plus avertis. Comme toujours, l'objectif est d'obtenir des données privées et de créer une base/une liste en vue de lancer des attaques à l'aide de méthodes "traditionnelles".

5. Menaces pour les appareils nomades

S'agissant des appareils nomades et principalement des téléphones mobiles, les menaces prendront la forme de chevaux de Troie primitifs semblables aux membres de la famille Skuller pour Symbian ou du premier cheval de Troie pour l'iPhone ou de diverses vulnérabilités dans les systèmes d'exploitation et les applications pour les téléphones intelligents. La probabilité de voir une épidémie internationale impliquant un ver pour appareil nomade est toujours réduite, même si les conditions techniques pour un tel événement existent déjà. La consolidation du marché des systèmes d'exploitation pour les téléphones intelligents entre Symbian et Windows Mobile a été perturbée en 2007 par l'introduction de l'iPhone et l'annonce de la nouvelle plateforme mobile de Google baptisée Android. Il est plus que probable que la nouveauté et la popularité de l'iPhone va susciter un intérêt supérieur de la part des individus mal intentionnés. Cette éventualité est d'autant plus probable si les outils de développement (SDK) pour l'iPhone sont rendus publics comme l'a annoncé Apple à la fin de l'année 2007.

Source:
Kaspersky Lab
Related links
Analysis
Bulletin de Kaspersky sur la sécurité en 2012 Cyberarme
Bulletin de Kaspersky sur la sécurité en 2012 Principales statistiques pour 2012
Bulletin de Kaspersky sur la securite 2012. Developpement des menaces en 2012
Développement des menaces informatiques au premier trimestre 2012
Bulletin de Kaspersky sur la sécurité 2011. Développement des menaces en 2011
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com