Trojan-Proxy, Trojan-Clicker et Other.
La part de chacun de ces comportements est inférieure à 1,2 %. A l'exception de Trojan-Clicker, le taux de croissance des représentants de ces groupes n'est pas significatif.
Certes, le nombre de programmes d'un de ces comportements pourraient augmenter et atteindre le niveau du deuxième groupe (Trojan-Clicker) mais selon toute vraisemblance, la part des programmes malveillants de ce groupe va diminuer sous l'effet de la poussée des représentants du premier groupe.
Parmi les comportements du troisième groupe, Trojan-SMS, dont le nombre a augmenté de 422 % au cours du premier semestre 2008 pour s'approcher de la cinquantaine, représente un intérêt particulier. Bien évident, ce résultat est modeste si on le compare aux 100 000 nouvelles portes dérobées, mais ce qui distingue le comportement Trojan-SMS de tous les autres programmes malveillants, c'est le fait que ces membres fonctionnent sur les téléphones mobiles et qu'ils représentent peut-être la menace la plus présente pour les dispositifs nomades.
Menaces sur les appareils nomades : début de la commercialisation
Le premier semestre 2008 a été intéressant du point de vue des menaces qui planent sur les appareils nomades et principalement une tendance particulière : les chevaux de Troie qui envoient, à l'insu de l'utilisateur, des SMS vers des numéros payants.
Dans ce contexte, il convient de noter :
- L'augmentation du nombre de programmes malveillants appartenant au comportement Trojan-SMS.
- La compatibilité inter-plateforme des chevaux de Troie pour appareils nomades : tout téléphone compatible avec les applications Java ou doté de l'interprète du langage Python est menacé.
- L'augmentation du nombre de sites WAP qui hébergent ce genre de chevaux de Troie.
- L'émergence de messages ICQ non sollicités qui assurent la promotion des sites WAP et des programmes malveillants qu'ils hébergent.
- La diversité des méthodes d'ingénierie sociale employées pour diffuser et dissimuler les programmes malveillants.
- Le nombre fixe de numéros payants vers lesquels les SMS sont envoyés à l'insu de l'utilisateur.
Ces différentes tendances, ainsi que d'autres, sont abordées en détails ci-après.
Commençons par l'augmentation du nombre de programmes malveillants appartenant au comportement Trojan-SMS. Au cours du premier semestre 2008, nous avons découvert plus de programmes de cette catégorie que tout au long de leur existence. Nous vous rappelons que nous avons décelé le premier programme malveillant de cette catégorie le 27 février 2006 (Trojan-SMS.J2ME.RedBrowser.a).
Nombre de nouveaux programmes de la catégorie Trojan-SMS découverts par les analystes de Kaspersky Lab
(1er semestre 2008)
Au cours des six premiers mois de l'année 2008, nous avons recensé une augmentation de 422 % de nouveaux Trojan-SMS par rapport au deuxième semestre 2007.
A l'heure actuelle, il existe 9 familles pour la plateforme J2ME, 3 pour Symbian et 1 pour Python.
A quoi ressemblent ces chevaux de Troie ? En réalité, ces programmes malveillants sont des copies assez primitives.
S'agissant des chevaux de Troie qui ciblent la plateforme J2ME, la majorité d'entre eux possède la structure suivante : une archive jar contenant plusieurs fichiers class. Un de ces fichiers envoie le SMS vers le numéro payant (bien entendu, sans demander l'autorisation de l'utilisateur et sans signaler à ce dernier le coût du message). Les autres fichiers class visent simplement à dissimuler le programme. L'archive peut contenir quelques images (dans la majorité des cas, des photos érotiques) ainsi qu'un fichier manifest qui, dans certains cas, est également utilisé par le programme malveillant pour envoyer des messages.
S'agissant de la famille Trojan-SMS.Python.Flocker, la seule différence ici se situe au niveau de la plateforme ciblée par le programme malveillant. Sa raison d'être (et le côté primitif du programme et de l'objectif) sont identiques. L'archive sis contient un script principal écrit dans le langage Python. Ce script envoie le SMS vers un numéro payant. Elle contient également d'autres scripts qui servent à dissimuler l'activité principale du programme malveillant.
Un des aspects les plus dangereux du comportement Trojan-SMS est sa capacité à infecter diverses plateformes. Si le téléphone (et pas nécessairement un téléphone intelligent) est doté d'un moteur Java, alors Trojan-SMS.J2ME peut fonctionner sans problème sur l'appareil. S'agissant de Trojan-SMS.Python, nous sommes en présence ici d'une compatibilité interplateforme pour les téléphones intelligents sous Symbian. Si le téléphone (doté de n'importe quelle version du système d'exploitation) possède l'interprète Python, alors Trojan-SMS.Python peut fonctionner sur n'importe lequel de ces modèles.
Le moyen le plus populaire (parmi une sélection réduite) pour diffuser ces programmes malveillants consiste à utiliser divers portails WAP où l'utilisateur est invité à télécharger diverses chansons, images, jeux ou applications pour son téléphone portable. La majorité absolue des chevaux de Troie se dissimule sous les traits d'une application capable d'envoyer des SMS gratuits, qui propose d'utiliser gratuitement une connexion Internet mobile ou sous la forme d'une application à caractère érotique ou pornographique.
Il arrive que les auteurs de virus fassent preuves d'une certaine originalité dans leurs tentatives de masquer les actions malveillantes du programme. Ainsi, Trojan-SMS.J2ME.Swapi.g, une fois qu'il a été lancé par l'utilisateur, propose d'afficher des images pornographiques. Pour ce faire, il faut parvenir à cliquer sur "OUI" avant la fin d'un signal sonore. (l'archive jar contient une photo au format png et une mélodie au format midi.) L'utilisateur, trop occupé à cliquer sur le bouton dans le temps imparti, ne se doute pas que chaque pression (dans les temps ou pas) entraîne l'envoi d'un SMS vers un numéro payant et le retrait d'une somme déterminée de son compte.
La majorité des sites où sont hébergés les programmes malveillants offre aux internautes la possibilité de stocker leurs fichiers. La simplicité de l'enregistrement (en quelques clics seulement) et la gratuité de ces services permettent aux auteurs de virus de diffuser leurs créations primitives sans aucun problème. L'individu mal intentionné doit simplement trouver le nom le plus attrayant possible pour les victimes potentielles (free_gprs_internet, envoi_sms_gratuit, jeune_fille_nue, etc.), écrire une description toute aussi attrayante et attendre qu'un utilisateur décide "d'envoyer des SMS gratuits" ou de "regarder des photos érotiques".
Une fois que le programme malveillant a été mis en place, l'individu mal intentionné doit en faire la publicité. C'est ici qu'interviennent les diffusions en masse de messages ICQ ou les messages non sollicités dans divers forums. Pourquoi ICQ ? Ce service de messagerie instantanée est très répandu en Russie et dans les pays de la CEI. De nombreux utilisateurs qui veulent pouvoir communiquer instantanément utilisent les clients ICQ. Pour les individus mal intentionnés, ces personnes sont des victimes potentielles.
Nous obtenons ainsi une chaîne intéressante : création d'un programme malveillant chargement sur un site WAP avec un nom et une description attrayante diffusion de messages non sollicités qui peuvent atteindre les utilisateurs du système de messagerie instantanée ICQ.
Il nous reste une question à aborder. Elle porte sur les numéros payants utilisés par les chevaux de Troie pour appareils nomades. Parmi tous les programmes malveillants qui ont été découverts par Kaspersky Lab, 3 numéros payant semblent avoir les faveurs des auteurs de virus : 1171, 1161, 3649. Ces numéros ne sont pas utilisés exclusivement par des individus mal intentionnés mais également par diverses sociétés légitimes qui offrent divers services. Le montant à payer pour le SMS dépend du préfixe du numéro qui l'envoie. Dans divers programmes de la catégorie Trojan-SMS, ces préfixes changent mais parfois ils se répètent.
La popularité de ce type de cybercriminalité, particulièrement en Russie, repose sur la grande simplicité des modes de paiement par SMS.
Nous savons que les opérateurs de téléphonie mobile louent des numéros payants. Le coût d'une telle location pour un particulier est trop élevé. Il existe cependant des fournisseurs de contenu qui possèdent de tels numéros et qui les sous-louent en ajoutant un préfixe déterminé.
Ainsi, le numéro 1171 appartient à un de ces fournisseurs mais quand un message commençant par "S1" est envoyé à ce numéro, le système du fournisseur transfère une partie du montant du SMS sur le compte du sous-loueur "S1".
L'opérateur de téléphonie mobile se réserve une part de 45 à 49 % du coût du SMS envoyé vers le numéro payant tandis que 10% environ sont destinés au fournisseur de contenu. Le reste est envoyé au sous-locataire, dans ce cas-ci un escroc « mobile ».
Conclusion : le premier semestre 2008 aura été marqué par la croissance sensible pour la première fois de leur histoire des programmes malveillants pour téléphones portables qui envoient des SMS vers des numéros payants à l'insu du propriétaire du téléphone. Il est évident que tous ces programmes ont été créés dans un seul but : gagner de l'argent à l'aide de numéros payants, et plus particulièrement grâce aux messages SMS envoyés vers ces numéros. La simplicité de la création et de la diffusion de ces applications pourraient entraîner une poursuite de la croissance des programmes malveillants de la catégorie Trojan-SMS au cours du deuxième semestre 2008. Nous allons suivre la situation.
Chevaux de Troie pour jeux : les jeux ne sont pas encore faits
Une des tendances les plus marquantes de l'année dernière fut la croissance soutenue du nombre de nouveaux programmes malveillants développés pour dérober les mots de passe d'accès aux jeux en ligne. Elle s'est maintenue au cours du premier semestre 2008. En six mois, nous avons recensé 49 094 nouveaux chevaux de Troie pour les jeux. Soit 1,5 fois plus que le nombre de chevaux de Troie découverts en 2007 et en augmentation de 264,6 % par rapport aux résultats du semestre précédent.
Nombre de nouveaux chevaux de Troie qui volent les mots de passe d'accès aux jeux en ligne découverts par les analystes de Kaspersky Lab
Nombre de nouveaux programmes de la catégorie de chevaux de Troie de jeux découverts par les analystes de Kaspersky Lab
(juillet 2007 - juin 2008)
95 % de tous les nouveaux chevaux de Troie de jeux découverts au cours du premier semestre 2008 volent les mots de passe de plusieurs jeux en ligne. Ces programmes regroupent des représentants des familles Trojan-PSW.Win32.OnLineGames et Trojan-PSW.Win32.Magania.
La famille OnLineGames est la plus nombreuse et représente 57,6 % de l'ensemble des chevaux de Troie de jeux. Le nombre de programmes malveillants appartenant à cette catégorie n'a cessé d'augmenter au cours des six premiers mois de 2008 et a considérablement devancé le nombre de chevaux de Troie qui volent le mot de passe d'accès à un seul jeu en ligne.
Les chevaux de Troie de la famille Magania sont intéressants car ils ciblent uniquement les utilisateurs d'un portail de jeux très fréquenté (pour de plus amples informations, consultez http://en.wikipedia.org/wiki/Gamania). Bien que depuis le mois de mai cette famille enregistre une perte de popularité suite à la fermeture sur le portail de quelques mondes en ligne (y compris "MapleStory"), elle regroupait à la fin du premier semestre 37,4 % de tous les nouveaux chevaux de Troie de jeux.
Nombre de nouveaux programmes malveillants parmi les familles de chevaux de Troie de jeux les plus populaires
(pour les 6 premiers mois de 2008)
Trojan-PSW.Win32.OnLineGames – vole le mot de passe d'accès à plusieurs jeux en ligne
Trojan-PSW.Win32.Magania – attaque le portail de jeux Gamania
Trojan-PSW.Win32.Ganhame – attaque le jeu Hangame Online
Trojan-PSW.Win32.Lmir – Legend of Mir
Trojan-PSW.Win32.Nilage – Lineage
Trojan-PSW.Win32.WOW – World of Warcraft
L'intérêt porté par les auteurs de virus à un jeu en particulier dépend directement du succès de ce jeu auprès des joueurs et du niveau de développement du marché des valeurs virtuelles dans tel ou tel jeu. La majeure partie des chevaux de Troie de jeu développés pour voler le mot de passe d'accès à un jeu en ligne s'en prend aux joueurs de quatre jeux : les jeux Legend of Mir et Hangame populaires en Chine ainsi que Lineage et World of Warcraft qui ont des adeptes dans le monde entier.
Répartition des chevaux de Troie de jeux les plus répandus et ciblant un seul jeu
Comme nous le voyons dans le diagramme, la majorité des chevaux de Troie vise à voler le mot de passe d'accès au jeu Lineage. A en croire les statistiques du site
mmogchart.com
(cf. ci-après), Lineage, un des pionniers des jeux en ligne apparu en 1999, a occupé une position dominante en termes d'abonnés pendant quatre ans. A l'heure actuelle, l'économie du jeu Lineage est la plus développée parmi tous les jeux en ligne et il possède également un marché parfaitement établi des biens virtuels qui s'échangent pour des sommes d'argent bien réelles.
World of Warcraft, leader actuel des jeux en ligne, occupe la deuxième place en termes de popularité chez les auteurs de virus. C'est toutefois pour ce jeu que l'on a enregistré le record mensuel de nouveaux chevaux de Troie : au mois de mai, ce sont 290 chevaux de Troie prenant pour cible les joueurs de World of Warcraft qui ont été découverts, soit entre 6 et 7 nouveaux chevaux de Troie par jour.
Répartition des joueurs aux jeux en ligne populaires
Source : mmogchart.com
La méthode principale utilisée pour diffuser les programmes malveillants développés pour voler les mots de passe d'accès aux jeux en ligne a changé au cours du premier semestre 2008. En 2007, les individus mal intentionnés privilégiaient des programmes porteurs à diffusion automatique (vers et virus). De nos jours, la méthode privilégiée pour introduire les chevaux de Troie de jeux dans les ordinateurs des ordinateurs consiste à forcer l'entrée dans un site (par exemple, à l'aide d'une injection sql) et à recourir aux codes d'exploitation afin de télécharger les chevaux de Troie sur les ordinateurs des visiteurs de ces sites.
C'est précisément depuis un site russe compromis qu'un cheval de Troie de la famille OnlineGame a pu s'introduire dans l'ordinateur d'un utilisateur qui a publié le message repris ci-après dans un forum.
La méthode de diffusion utilisée était pour le moins une réussite. Mais dans la majorité des cas, l'attaque n'est pas ciblée : le cheval de Troie de jeux peut infecter n'importe quel visiteur du site compromis et pas uniquement les adeptes de jeux en ligne. Les individus mal intentionnés décidèrent d'exploiter l'avantage de ce mode d'infection efficace et ils élargirent les fonctions des chevaux de Troie de jeux : au cours du premier semestre 2008, les auteurs de virus ont commencé à ajouter aux programmes de vol de mot de passe d'accès aux jeux en ligne des modules de porte dérobée qui permettent d'unir les machines infectées au sein de réseaux de zombies.
Ainsi, le premier semestre 2008 a été le témoin de la poursuite du développement des activités criminelles liées au vol de personnages et aux biens virtuels des jeux en ligne. Kaspersky Lab a découvert en moyenne chaque jour 273 nouveaux chevaux de Troie de jeux dont 259 capables de voler les mots de passe d'accès à plusieurs jeux en ligne. En termes de nouveaux programmes malveillants, la famille Trojan-PSW.Win32.OnLinesGames occupe la deuxième position parmi les membres de la famille TrojWare, devancé uniquement par Backdoor.Win32.Hupigon.
Les auteurs de virus ont optimisé le mode d'attaque développé antérieurement. Pour diffuser leurs oeuvres, ils ont commencé à exploiter des sites compromis. Et alors que par le passé, les chevaux de Troie qui volaient le mot de passe d'accès aux jeux en ligne ne menaçaient que les joueurs, de nos jours ils sont dangereux pour tout le monde : la grande majorité des chevaux de Troie de jeux découverts au cours des derniers mois possède également une fonction de porte dérobée.
A court terme, le développement de programmes malveillants ciblant les adeptes des jeux en ligne se poursuivra.
Vers et virus
Parmi les trois catégories de programmes malveillants, VirWare est celle qui a connu la croissance la plus modeste, "seulement" 129 %. Toutefois, même un résultat aussi maigre se traduit, dans la pratique, par plus de deux milles nouveaux virus et vers par mois.
Le graphique nœ10 représente le nombre de nouveaux programmes de la catégorie VirWare découverts chaque mois par les analystes de Kaspersky Lab :
Nombre de nouveaux programmes de la catégorie VirWare découverts par les analystes de Kaspersky Lab
(juillet 2007 - juin 2008)
A première vue, la dynamique de la croissance du nombre de nouveaux programmes malveillants dans cette catégorie est identique à celle de la catégorie TrojWare : on retrouve les mêmes périodes de croissance et de recul. Toutefois, la catégorie VirWare n'a enregistré que deux pics en 2008 contre trois pour la catégorie TrojWare. Ceci signifie que cette catégorie de programmes malveillants vit et se développe selon ses propres lois. Le taux de croissance bien plus lent que celui des autres catégories de programmes malveillants n'est que de 129 % pour la catégorie VirWare, ce qui témoigne de la différence qui existe entre les vers et les virus d'une part et les autres catégories de programmes malveillants d'autre part. Cela s'est traduit, au premier semestre 2008, par une nouvelle réduction de leur part de plus d'un pour cent.
Si cette dynamique se maintient au cours du deuxième semestre 2008, il se pourrait que cette catégorie se retrouve à la troisième place parmi les programmes malveillants tandis que la catégorie Other Malware accèderait à la deuxième position.
Au sein de la catégorie VirWare, le semestre a réservé des modifications notables. Le graphique suivant illustre la répartition des différents comportements de la catégorie VirWare :
VirWare : répartition des comportements (en %) au sein de la catégorie
Afin de mieux comprendre les changements qui touchent les programmes malveillants à diffusion automatique, nous allons voir comment le nombre de programmes malveillants par comportement a augmenté.
Nombre de nouveaux programmes malveillants de la catégorie Other MalWare (par comportement)
Croissance des nouveaux programmes malveillants de la catégorie VirWare
| VirWare | Total pour 2008
| 2007-2 | Croissance
| 2008% | "+/-" |
| Worm | 6386 | 1413 | 351,95% | 43,857 | 21,63% |
Net-Worm | 3393 | 258 | 1215,12% | 23,302 | 19,24% |
Email-Worm | 2757 | 1629 | 69,24% | 18,934 | -6,69% |
IM-Worm | 755 | 431 | 75,17% | 5,185 | -1,59% |
Virus | 666 | 2468 | -73,01% | 4,574 | -34,24% |
P2P-Worm | 516 | 126 | 309,52% | 3,544 | 1,56% |
IRC-Worm | 88 | 33 | 166,67% | 0,604 | 0,09% |
Total
| 14561 | 6358 | 129,02% | 100 | |
Les principales métamorphoses dans la catégorie VirWare ont touché les virus de fichier classiques. Ce qui leur est arrivé au premier semestre 2008 est difficile à expliquer. En 2007, les virus occupaient la première place en terme de taux de croissance (390 %) parmi tous les programmes malveillants. Ala fin du semestre précédent, ils étaient les plus répandus dans la catégorie VirWare avec 38,8 %. Au cours du premier semestre 2008, les virus ont enregistré une croissance négative (-73 %) et leur part n'est plus que de 4,5 % à la fin de cette période.
Nous nous attendions à une augmentation progressive du nombre de virus plus complexes et au développement des technologies polymorphes. Toutefois, il semblerait que les cybercriminels soient attirés par la "création de chevaux de Troie" et qu'ils ne possèdent pas les connaissances suffisantes pour l'intégration en masse des technologies de virus. Ceci est un excellent signe pour les éditeurs de logiciels antivirus.
Les représentants du comportement Worm sont devenus les leaders de la catégorie. Leur taux de croissance de 352 % a multiplié par deux leur part dans la catégorie VirWare et leur a permis de décrocher la première place avec un résultat proche de 44 %. C'est précisément à cause de ces vers qui se propagent via les disques amovibles et les réseaux locaux qu'il est difficile de nettoyer les ordinateurs des utilisateurs.
Les vers de réseau (Net-Worm) sont le comportement qui a connu la croissance la plus rapide au premier semestre 2008. Cette croissance est tout simplement inégalée : nous avons recensé une augmentation de plus de 1 200 % de nouveaux membres de la catégorie Net-Worm par rapport au semestre précédent. Ce comportement, qui avait presque disparu en 2007, a été propulsé à la deuxième place. La raison de cette croissance fulgurante se cache dans le développement continu des vers traditionnels qui sont entrés dans une nouvelle étape. Leurs auteurs tentent d'assimiler de nouveaux moyens de diffusion et commencent à exploiter d'anciennes méthodes, mais à un nouveau niveau. Etant donné l'absence de vulnérabilités critiques qui constituaient la base du travail de vers tels que Lovesan et Sasser, les vers de réseau contemporains se diffusent de plus en plus souvent via des sites compromis ou des réseaux sociaux.
La croissance stable depuis plusieurs années du nombre de vers de messagerie se poursuit mais en 2008, elle n'a pas été suffisante pour garantir la deuxième place. Au premier semestre 2008, la part des vers de messagerie a reculé de 6,7 % et ils ont décroché la troisième position avec 19 %. Néanmoins, cela signifie que sur cinq nouveau membres de la catégorie VirWare, l’un d’eux est un ver qui se diffuse via le courrier électronique. La croissance de ces vers se poursuit principalement grâce à trois familles : Warezov, Zhelatin et Bagle. Il en était de même en 2007.
Nous pouvons identifier deux groupes principaux de comportements dans la catégorie VirWare :
- Email-Worm, Worm et Net-Worm.
La part de chacun de ces comportements dépasse les 18% du nombre total de VirWare. Stagnation du développement du leader (Email-Worm) et taux de croissance explosif des catégories Worm et Net-Worm.
- IM-Worm, Virus, P2P-Worm et IRC-Worm. La part de chacun de ces comportements dans le nombre total VirWar est inférieure à 6%. Les taux de croissance diffèrent énormément : depuis des taux négatifs jusqu'à des taux dignes des leaders (plus de 300 %). Toutefois, la probabilité d'une augmentation sensible existe uniquement pour la catégorie Virus. Les autres comportements dépendent de services Internet connexes (IM, IRC, P2P).
Autres programmes malveillants
Cette catégorie est toujours la moins représentée en terme de programmes malveillants découverts, mais la plus importante en terme de comportements.
Il est pour le moins difficile de réaliser des pronostics sur le nombre de programmes malveillants de la catégorie Other MalWare : la dynamique de cette catégorie se caractérise par une période de faible croissance entre 2004 et 2005, un léger recul en 2006 et une croissance de 27 % en 2007. Dans ce contexte, le premier semestre 2008 a été plus que réussi pour la catégorie Other MalWare : nous avons recensé une augmentation de 249,3 % des programmes malveillants de cette catégorie par rapport au semestre précédent.
Nombre de nouveaux programmes de la catégorie Other Malware découverts par les analystes de Kaspersky Lab
(juillet 2007 - juin 2008)
Voici les répartitions des différents comportements de la catégorie Other MalWare présentées sous la forme de camemberts :
Other MalWare : répartition des comportements (en %) au sein de la catégorie
Afin de mieux comprendre les changements qui touchent les programmes malveillants de cette catégorie, nous allons voir comment le nombre de programmes malveillants par comportement a augmenté.
Nombre de nouveaux programmes malveillants de la catégorie Other MalWare (par comportement)
Croissance des nouveaux programmes malveillants de la catégorie Other MalWare
| MalWare | Total pour 2008 | 2007-2 | Croissance
| 2008% | "+/-" |
| Hoax | 3371 | 1085 | 210,69% | 26,367 | -3,28% |
FraudTool | 3339 | 387 | 762,79% | 26,117 | 15,54% |
Exploit | 1975 | 711 | 177,78% | 15,448 | -3,98% |
HackTool | 1377 | 306 | 350,00% | 10,77 | 2,41% |
Constructor | 731 | 292 | 150,34% | 5,718 | -2,26% |
Packed | 509 | 403 | 26,30% | 3,981 | -7,03% |
SpamTool | 431 | 184 | 134,24% | 3,371 | -1,66% |
IM-Flooder | 287 | 55 | 421,82% | 2,245 | 0,74% |
Flooder | 196 | 51 | 284,31% | 1,533 | 0,14% |
BadJoke | 174 | 69 | 152,17% | 1,361 | -0,52% |
VirTool | 153 | 50 | 206,00% | 1,197 | -0,17% |
Email-Flooder | 77 | 8 | 862,50% | 0,602 | 0,38% |
DoS | 75 | 37 | 102,70% | 0,587 | -0,42% |
Spoofer | 36 | 6 | 500,00% | 0,282 | 0,12% |
Sniffer | 24 | 10 | 140,00% | 0,188 | -0,09% |
SMS-Flooder | 15 | 4 | 275,00% | 0,117 | 0,01% |
Nuker | 15 | 2 | 650,00% | 0,117 | 0,06% |
Total | 12785 | 3660 | 249,32% | 100% | |
Le comportement Hoax est toujours le plus répandu au sein de cette catégorie. Pour la troisième année consécutive, ils affichent une croissance explosive : de 150 à 286 %. Malgré cela, leur part entre tous les programmes de la catégorie OtherMalware est en recul de plus de 3 % à l'issue du premier semestre 2008.
La catégorie Exploit, qui occupait à une certaine époque la première place au niveau du nombre, continue à perdre du terrain. Malgré une augmentation de 178 %, elle n'a pas pu conserver sa deuxième place. Maintenant, elle occupe la troisième place en terme de popularité mais ne représente que 15,5% du nombre total des représentants de la catégorie OtherMalware.
Deux nouveaux comportements, apparus seulement dans notre classement en 2007, à savoir Packed et FraudTool, se comportent différemment.
La croissance sensible qu'avait enregistré Packed l'année dernière s'est presque arrêtée au premier semestre 2008 (26 % au total). Par conséquent, la part de Packed parmi les programmes de la catégorie Other Malware a diminué de plus de 7 %.
Tandis que FraudTool est presque devenu un leader, avec Hoax. Et ce, grâce à une augmentation de près de 760 %. La popularité de ce comportement de programme malveillant ne cesse d'augmenter parmi les auteurs de virus. Le principal élément distinctif de FraudTool sont les "rogues antivirus", ces programmes qui se présentent comme des logiciels antivirus à part entière. Une fois installé sur l'ordinateur, ils trouveront obligatoirement un virus quelconque, même si le système est sain, et proposeront à l'utilisateur d'acheter une version payante pour procéder à la "réparation". Outre l'escroquerie manifeste, ces programmes contiennent également une fonction de logiciel publicitaire.
Programmes potentiellement indésirables (PUP)
Ce n'est que l'année dernière que les programmes potentiellement indésirables (potentially unwanted programs ou PUP) ont fait leur entrée dans nos rapports. Ces programmes, développés et diffusés par des sociétés légales, contiennent des fonctions qui permettent aux individus mal intentionnés de les employer contre les utilisateurs. Ces programmes ne peuvent être classés comme sûrs ou dangereux : tout dépend de qui les utilisent.
Selon le classement de Kaspersky Lab, les programmes potentiellement indésirables sont scindés en trois catégories.
- AdWare : logiciel développé pour afficher des messages publicitaires, réorienter les recherches sur Internet vers des pages Internet publicitaire ou récolter des données marketing sur l'utilisateur (par exemple, les types de sites qu'il visite).
- RiskWare : programmes légitimes que les individus mal intentionnés pourraient utiliser afin de nuire à l'utilisateur et à ses données (destruction, blocage, modification ou copie des informations, perturbation du fonctionnement de l'ordinateur ou des réseaux informatiques).
- PornWare : utilitaires liés à l'affichage d'une forme quelconque de pornographie (cette catégorie reprend en tout trois comportements : Porn-Tool, Porn-Dialer et Porn-Downloader).
Logiciels publicitaires
Il s'agit de la catégorie de programmes la plus stable. Pour la deuxième année consécutive, la catégorie Adware affiche un taux de croissance identique supérieur à 450 %. La moyenne mensuelle de nouveaux exemplaires est déjà proche de 8 000 unités, ce qui a permis aux logiciels publicitaires de décrocher la deuxième place parmi les programmes détectés par notre logiciel antivirus.
Voici un graphique reprenant le nombre de nouveaux logiciels de la catégorie AdWare identifiés chaque mois par les experts de Kaspersky Lab :
Nombre de nouveaux programmes de la catégorie AdWare
(juillet 2007 – juin 2008)
| AdWare | Total pour 2008
| 2007-2 | Croissance
|
AdWare | 46134 | 8168 | 464,81% |
Le diagramme indique clairement une explosion de l'apparition de ce genre de programmes depuis le début de l'année 2008. Nous constatons une fois de plus que tous les efforts législatifs déployés par de nombreux pays au monde dans le but d'interdire ce genre de programmes et de leur donner un aspect plus "légal" n'ont toujours rien donné. Bien évidemment, de nombreux développeurs de programmes de cette catégorie en ont modifié les fonctions et le comportement. C'est ce qui explique l'augmentation du nombre de programmes AdTool dont il sera question ci-après. Mais cela ne suffit pas pour aider les utilisateurs à lutter contre les adeptes de la publicité fixe.
Il est encore plus décevant de constater que de nombreux logiciels publicitaires intègrent de véritables fonctions de chevaux de Troie, y compris des technologies de dissimulation de l'activité pour se cacher dans le système. Virtumonde est un excellent exemple de ce genre de programme. Il y a quelques années, ce programme était un logiciel publicitaire "ordinaire" mais nous le considérons désormais comme un cheval de Troie diffusé selon les méthodes les plus "sales".
Programmes de la catégorie Riskware et Pornware
Dans la mesure où il n'y a que trois comportements dans la catégorie PornWare et que la part de nouveaux programmes de cette catégorie découverts par les experts de Kaspersky Lab au premier semestre 2008 représente 11,7 % de l'ensemble des programmes potentiellement indésirables, nous avons décidé, pour l'analyse, de les regrouper avec les programmes de la catégorie RiskWare.
Le graphique suivant représente le nombre total de nouveaux programmes des catégories RiskWare et PornWare découverts chaque mois par les analystes de Kaspersky Lab :
Nombre de nouveaux programmes des catégories RiskWare et PornWare
(juillet 2007 – juin 2008)
En 2008, le nombre de programmes identifiés comme représentants des catégories Riskware et Pornware par Kaspersky Anti-Virus dépassait 26 000 et la croissance générale de nombre de programmes des deux catégories était supérieure à 1 700 %.
Ceci s'explique par le fait que plusieurs milliers de programmes proches du comportement AdTool ont été ajoutés aux bases antivirus. On le voit clairement grâce au pic enregistré au mois de mars. Par la suite, les statistiques des catégories Riskware et PornWare se sont stabilisées et sont redevenues conformes aux attentes.
Voici les répartitions des différents programmes des catégories RiskWare et PornWare en fonction du comportement présentées sous la forme de camemberts :
RiskWare et PornWare : pourcentage
RiskWare et PornWare : pourcentage
Nombre de nouveaux programmes des catégories RiskWare et PornWare (en fonction des comportements) :
| RiskWare&PornWare | Total pour 2008
| 2007-2 | Croissance
| 2008% | "+/-" |
| AdTool | 13555 | 50 | 27010,00% | 51,33 | 47,90% |
Porn-Dialer | 8311 | 130 | 6293,08% | 31,48 | 22,60% |
Monitor | 1491 | 611 | 144,03% | 5,65 | -36,20% |
PSW-Tool | 719 | 131 | 448,85% | 2,72 | -6,20% |
Downloader | 688 | 104 | 561,54% | 2,61 | -4,50% |
Server-FTP | 396 | 36 | 1000,00% | 1,5 | -1,00% |
Divers
| 246 | 47 | 423,40% | 0,93 | -2,30% |
RemoteAdmin | 228 | 107 | 113,08% | 0,86 | -6,50% |
Net-Tool | 200 | 73 | 173,97% | 0,76 | -4,20% |
Porn-Tool | 165 | 13 | 1169,23% | 0,62 | -0,30% |
RiskTool | 139 | 51 | 172,55% | 0,53 | -3,00% |
Dialer | 113 | 46 | 145,65% | 0,43 | -2,70% |
Server-Proxy | 67 | 17 | 294,12% | 0,25 | -0,90% |
Porn-Downloader | 35 | 15 | 133,33% | 0,13 | -0,90% |
Tool | 26 | 15 | 73,33% | 0,1 | -0,90% |
Client-IRC | 11 | 7 | 57,14% | 0,04 | -0,40% |
Server-Web | 7 | 5 | 40,00% | 0,03 | -0,30% |
Server-Telnet | 5 | 0 | | 0,02 | |
WebToolbar | 2 | 0 | | 0,01 | |
Client-SMTP | 1 | 2 | -50,00% | 0 | -0,10% |
Total | 26405 | 1460 | 1708,56% | 100% | |
Parmi les comportements de ces deux catégories, on identifie deux leaders incontestés : AdTool (51,33 %) et Porn-Dialer (31,48 %).
AdTool regroupe divers modules de publicité qui ne peuvent être considérés comme des membres du groupe AdWare car ils possèdent tous les attributs légaux requis : ils proposent un contrat de licence, ils ne cachent pas leur présence sur l'ordinateur et ils signalent leurs actions à l'utilisateur. La position dominante de AdTool était tout à fait prévisible si l'on tient compte du nombre de programmes de cette catégorie ajoutés simultanément aux bases (cf. ci-dessus).
Les représentants du comportement Porn-Dialers établissent des connexions téléphoniques avec des numéros payants, ce qui entraîne souvent des procès entre les abonnés au service téléphonique et les compagnies de téléphone.
Monitor, le programme leader dans ce comportement en 2007, a enregistré un fort recul. Monitor est également en rapport avec les enregistreurs de frappes légitimes qui sont développés et diffusés officiellement mais lorsqu'ils sont dotés de fonctions capables de dissimuler leur activité dans le système, ils peuvent éventuellement être utilisés en tant que chevaux de Troie espions. Au cours du premier semestre 2008, ils ont perdu plus de 35 % et n'occupaient que la troisième position parmi tous les programmes potentiellement indésirables.
Comme par le passé, les comportements tels que PSW-Tool et Downloader sont largement répandus. Les premiers servent à récupérer les mots de passe oubliés mais ils peuvent être facilement détournés par des individus mal intentionnés pour extraire ces mots de passe de l'ordinateur sans que la victime ne se rende compte de quoi que ce soit. Les deuxièmes peuvent être utilisés par les individus mal intentionnés pour télécharger du contenu malveillant sur l'ordinateur de la victime.
Il convient de noter également la réduction sensible de la part des programmes du comportement RemoteAdmin (-6,5 %).
Plateformes et systèmes d'exploitation: 41 OS différents
L'année dernière, nous avions publié pour la première fois des statistiques détaillées sur la répartition des programmes malveillants et potentiellement indésirables en fonction du système d'exploitation et de la plate-forme.
Le système d'exploitation ou l'application peut être attaqué par des programmes malveillants si il peut lancer le programme sans qu'il ne fasse partie du système. Tous les systèmes d'exploitation, de nombreuses applications de bureautique, des éditeurs d'images, des logiciels de gestion de projet et d'autres applications possédant des langages de script intégrés répondent à cette condition.
Sur l'ensemble du premier semestre 2008, Kaspersky Lab a recensé des programmes malveillants et des programmes présentant un risque potentiel sur plus de 41 plate-formes et systèmes d'exploitation différents.
La majorité des programmes existants est bien entendu développée pour le milieu Win32 et il s'agit de fichiers exécutables binaires. Ils représentent 98,31 %.
Les programmes ciblant d'autres systèmes d'exploitation ou plateformes ne représentent que 2% du nombre total de programmes détectés. Au premier semestre 2008, le nombre de programmes malveillants et potentiellement indésirables pour Win32 a augmenté de 233 % par rapport au deuxième semestre 2007. Pour les autres plateformes et applications, cette croissance n'a été que de 39 %, un chiffre inférieur au résultat de 2007 (63 %). Ainsi, le déplacement de l'intérêt des auteurs de virus depuis Win32 vers d'autres plateformes n'a pas eu lieu. Au contraire, l'augmentation du nombre de menaces "non Windows" qui s'était amorcé a arrêté et le nombre de ces menaces a commencé à diminuer. (Pour rappel, elles représentaient, au deuxième semestre 2007, 4 % du total des menaces.)
Nombre de nouveaux programmes malveillants et potentiellement indésirables
pour diverses plateformes
| | 2007-2 | 2008-1 | progression
| 2007% | 2008% | "+/-" |
| Win32 | 130131 | 432862 | 232,60% | 96,00% | 98,30% | -2,27 |
Divers
| 5362 | 7449 | 38,90% | 4,00% | 1,70% | 2,27 |
Total | 135493 | 440311 | 225,00% | | | |
| | I 2008 | II 2007 | Croissance
|
Acad | 6 | 5 | 20% |
ALS | 1 | 3 | -67% |
ASP | 39 | 135 | -71% |
BAT | 765 | 553 | 38% |
DOS | 45 | 44 | 2% |
HTML | 1103 | 930 | 19% |
HWP | 1 | 0 | 0% |
Ichitaro | 1 | 0 | 0% |
IIS | 1 | 0 | 0% |
IRC | 51 | 86 | -41% |
J2ME | 41 | 6 | 583% |
Java | 17 | 25 | -32% |
JS | 3311 | 2240 | 48% |
Linux | 28 | 45 | -38% |
Mac | 14 | 33 | -58% |
MSAccess | 14 | 4 | 250% |
MSExcel | 94 | 10 | 840% |
MSIL | 327 | 31 | 955% |
MSOffice | 7 | 3 | 133% |
MSPPoint | 42 | 16 | 163% |
MSWord | 135 | 83 | 63% |
Multi | 4 | 11 | -64% |
MySQL | 1 | 0 | 0% |
NSIS | 27 | 17 | 59% |
OLE2 | 1 | 0 | 0% |
OSX | 6 | 0 | 0% |
Perl | 39 | 37 | 5% |
PHP | 155 | 186 | -17% |
Python | 10 | 9 | 11% |
RAR | 7 | 12 | -42% |
Ruby | 3 | 5 | -40% |
Shell | 5 | 0 | 0% |
SWF | 260 | 3 | 8567% |
SymbOS | 34 | 30 | 13% |
VBS | 820 | 748 | 10% |
Win16 | 6 | 7 | -14% |
Win32 | 432862 | 130131 | 233% |
Win9x | 5 | 3 | 67% |
WinCE | 3 | 0 | 0% |
WinREG | 15 | 39 | -62% |
WMA | 5 | 3 | 67% |
Total | 440311 | 135493 | 225% |
Comme on le voit clairement, la croissance du nombre de nouveaux programmes pour divers systèmes d'exploitation varie Voici les modifications les plus marquantes de ces six derniers mois :
- Les langages de script VBS et JS, qui faisaient partie du groupe de tête l'année dernière, ont enregistré un ralentissement de leur développement en tant que plateforme de virus.
- Le nombre de programmes malveillants pour J2ME a augmenté de 583 %. Nous avons déjà évoqué l'augmentation du nombre de Trojan-SMS dont la grande majorité fonctionne principalement sur cette plateforme.
- Le nombre de programmes malveillants présentés sous la forme de fichiers XLS a augmenté de 840 % et en règle générale, ils exploitent les vulnérabilités de MS Excel. Au cours des douze derniers mois, plusieurs dizaines de vulnérabilités de ce genre ont été découvertes et elles ont toutes été largement exploitées par les auteurs de virus, principalement en Chine.
- Le nombre de programmes pour .NET a augmenté de 955%. Nous nous y attendions depuis longtemps et 2008 marque le début de ce processus. A l'avenir, nous nous attendons à ce que cette plateforme occupe la deuxième place en termes de popularité, loin devant Java Script. Une des particularité de .NET qui est intéressante pour les auteurs de virus, c'est la possibilité d'exécuter des fichiers non seulement sur les ordinateurs Windows mais également sur les appareils nomades qui tournent sous Windows Mobile.
- Le nombre de programmes malveillants sous les traits de fichiers SWF a augmenté de plus de 8 500 %(!). Cette augmentation trouve son origine dans la découverte d'une vulnérabilité particulièrement dangereuse dans le traitement de ces fichiers. Le milieu criminel informatique a réagi instantanément et a utilisé SWF comme une nouvelle méthode pour livrer les programmes malveillants sur l'ordinateur des victimes. Ainsi, plus de 250 versions de fichiers SWF malveillants sont apparus sur Internet au printemps.
Nous regroupons tous les systèmes d'exploitation et plateformes attaqués au premier semestre 2008, selon une caractéristique commune, à savoir le système d'exploitation cible de l'attaque. Par exemple JS et VBS sont associés à Windows et Ruby et Perl à *nix, etc.
Ainsi, *Nix reprend Linux, Perl, PHP, Ruby et Shell ;
Mobile réunit J2ME, Symbian, WinCE et Python ;
"divers" désigne DOS, IIS, Multi et MySQL ;
Mac : OSX et Mac.
| | Qté
| % |
| Nix | 230 | 0,052 |
Mac | 20 | 0,005 |
Mobile | 88 | 0,02 |
Divers
| 51 | 0,012 |
Windows | 439922 | 99,912 |
Conclusion
Le développement des menaces en 2008 se poursuit toujours selon le scénario ébauché en 2007 : les auteurs de virus ne cherchent pas à développer des technologies compliquées et préfèrent la quantité des programmes à leur qualité.
La croissance des nouvelles menaces est pratiquement « géométrique ».
Ce processus s'accompagne d'une réduction de la durée de vie des programmes malveillants dans la nature. Sur 1 000 chevaux de Troie découverts en un jour, seuls quelques dizaines continueront à menacer les utilisateurs une semaine ou un mois plus tard. Tous les autres disparaissent petit à petit et sont sans cesse remplacés par de nouvelles versions créées pour contourner les défenses mises en place par les logiciels antivirus.
Nous pensons que cette hausse marquée du nombre de nouveaux programmes malveillants devra s'arrêter un jour et il n'est pas exclu qu'un ralentissement ou une stabilisation de la croissance soit déjà à l'ordre du jour pour cette année. Les volumes atteints (près de 500 000 nouveaux programmes malveillants en six mois) seront maintenus mais la majorité des éditeurs de logiciels antivirus sera capable de lutter efficacement contre ces problèmes.
Le secteur de la lutte contre les virus doit résoudre un problème qui diffère quelque peu des problèmes antérieurs. Les efforts doivent se concentrer sur la mise au point d'outils d'identification précoce des menaces et sur leur neutralisation dans les plus brefs délais. Alors que par le passé une vitesse de réaction qui se mesurait en heures, voire en jours, était acceptable, désormais il faut compter en minutes. Dans ce bref laps de temps, les experts de la lutte contre les virus doivent découvrir le nouveau code malveillant sur Internet n'importe où dans le monde, l'analyser, produire un moyen de protection et diffuser celui-ci auprès de l'utilisateur final.
