Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
Oct Nov  
Les Analyses les plus Populaires



Evolution des menaces informatiques au 3e trimestre 2014



Rapport de Kaspersky Lab sur les cybermenaces mobiles : les attaques visant Android sous stéroïdes



Courrier indésirable en août 2014



10 astuces simples pour renforcer la sécurité de votre Mac



PAC et la problématique de la configuration automatique
 
 

  Page d'accueil / Analyses

Baromètre semestriel sur la cyber-criminalité au premier semestre 2008 par Kaspersky Lab

24.09.2008   |   comment

Sergueï Golovanov
Senior Malware Analyst
Alexander Gostev
Expert Antivirus Senior, Kaspersky Lab
Denis Maslenikov

Ce rapport examine la dynamique du développement des programmes malveillants au premier semestre 2008 et dresse une comparaison avec les données du deuxième semestre 2007.

Ce document se caractérise par le grand nombre de statistiques et de faits avancés.

Il s’adresse avant tout aux professionnels de la sécurité informatique que l’étude des programmes malveillants intéresse, mais il peut être utile également à tous les utilisateurs sensibles à la problématique de la virologie informatique.

Bilan du semestre

Le premier semestre 2008 a confirmé nos pronostics et nos craintes sur le développement des programmes malveillants. A la fin de l'année dernière, nous avions formulé les pronostics suivants sur le développement des programmes malveillants en 2008 :

  • Poursuite du développement des technologies baptisées Malware 2.0
  • Développement des outils rootkits
  • Retour des virus de fichier
  • Attaques contre les réseaux sociaux
  • Menaces pour les appareils nomades

Le premier semestre 2008 a confirmé nos craintes.

Un des programmes malveillants les plus remarqués au premier semestre 2008 fut sans conteste le ver de la tempête (Zhelatin) qui reste à l'avant-garde de Malware 2.0. Nous avons enregistré une dizaine d'explosions de son activité qui reposaient toutes sur des méthodes éprouvées : diffusion de messages avec des liens vers des serveurs compromis ou spécialement configurés sur lesquels le corps principal du ver était placé, diffusion de ces liens dans les réseaux sociaux ou via les clients de messagerie instantanée.

S'agissant des outils de dissimulation d'activité, la problématique des "bootkits", apparus à la fin de l'année 2007, fut tout particulièrement d'actualité durant la période allant de janvier à mars, suite à l'apparition de nouvelles versions de la même famille Sinowal. Le développement de ce programme malveillant s'est interrompu mais rien ne permet de dire que les bootkits ne sont plus un problème d'actualité. La technologie des bootkits contient bien des problèmes pour les technologies antivirales actuelles et l'absence de nouveaux bootkits est plus le signe d'un pause que de l'abandon de cette technologie par les auteurs de virus qui considèrent qu'elle a de l'avenir.

Parmi les outils de dissimulation d'activité classiques, le mythique Rustock.c a enfin été découvert. (Nous avions consacré un article spécial à son apparition et à son développement : http://www.viruslist.com/fr/analysis?pubid=200676161). Cet événement mis en évidence d'autres problèmes graves parmi les éditeurs de logiciels antivirus non seulement au niveau de la détection et de la suppression des outils de dissimulation d'activité dans son ensemble mais au niveau de la méthodologie employée pour récolter et analyser les nouveaux échantillons et de la vitesse de réaction des éditeurs de logiciels à ces menaces.

Il est possible, au départ des technologies exploitées par Rustock, de construire deux chaînes : une chaîne logique et une chaîne technologique qui mènent elles aussi vers un autre problème, ou plutôt deux autres problèmes, importants. Il s’agit de l'obfuscation et le polymorphisme. Les méthodes exploitées dans Rustock pour brouiller le code afin de compliquer son analyse au maximum et la mise au point de méthodes de résistance sont depuis longtemps exploitées dans les virus de fichier. Elles doivent également leur développement aux auteurs de virus chinois. Ce développement consistait uniquement à ajouter une fonction de virus aux diverses portes dérobées et autres vers et non pas à créer de nouveaux virus de fichiers.

Les virus modernes ne se limitent plus exclusivement à une fonction d'infection de fichiers. Ils sont devenus de puissants composants des réseaux de zombies employés dans le vol de données de l'utilisateur et l'organisation d'attaques par déni de service (DDoS). Les virus Virut, Alman, Allaple et les vers Fujack et Autorun sont les exemples les plus marquants de cette catégorie de programmes malveillants. Au premier semestre 2008, ces programmes malveillants ont provoqués de nombreuses infections dans le monde entier. Ceci signifie qu'à court-terme, la fonction de virus sera encore souvent ajoutée aux portes dérobées et aux vers.

Les réseaux sociaux ont été soumis aux attaques les plus puissantes de leur histoire. Les réseaux les plus populaires sont devenus le champ d'expérimentation de diverses technologies de diffusion de virus et de courrier indésirable. Les vers XSS ne sont plus les seules menaces rencontrées comme par le passé. Les auteurs de virus ont abandonné la recherche de vulnérabilités dans les moteurs de réseaux sociaux et ils ont commencé à utiliser une méthode ancienne mais efficace : l'ingénierie sociale. Il suffit d'apprendre à envoyer un lien vers un site infecté au nom d'un ami de la victime. Parmi les réseaux sociaux étrangers le plus souvent attaqués, on retrouve MySpace et Orkut. Ils ont été rejoints plus tard par Facebook. Les utilisateurs russes ont été victimes de vers et de chevaux de Troie diffusés via des liens publiés sur "Odnoklassniki.ru" et "VKontakte".

Le type de menaces a véritablement changé pour les appareils nomades : au lieu d'attaquer les téléphones intelligents, les auteurs de virus ont décidé d'élargir leur champs d'actions et de se pencher sur des chevaux de Troie capables d'infecter les plateformes J2ME et de fonctionner sur pratiquement n'importe quel téléphone portable. Les programmes en question (dont on compte près d'une cinquantaine de versions) poursuivent le même objectif : envoyer des SMS vers des numéros payants, vidant ainsi le compte de l'utilisateur pour enrichir directement les auteurs des chevaux de Troie.

Au cours du premier semestre 2008, nous avons ajouté 440 311 programmes à nos bases. Pour le semestre précédent, ce chiffre était égal à 136 953.

 

Synthèse des programmes détectés (2e semestre 2007 et 1er semestre 2008)



Programmes identifiés 2007-II 2008-I 2007-II% 2008-I% Progression Croissance
TrojWare 117307 340426 85,65% 77,31% 8,34% 190,20%
AdWare 8168 46134 5,96% 10,48% -4,51% 464,81%
RiskWare 1302 17894 0,95% 4,06% -3,11% 1274,35%
VirWare 6358 14561 4,64% 3,31% 1,34% 129,02%
Other MalWare 3660 12785 2,67% 2,90% -0,23% 249,32%
PornWare 158 8511 0,12% 1,93% -1,82% 5286,71%
Total détectés 136953 440311 100,00% 100,00%    




Répartition des programmes détectés en fonction de la catégorie premier semestre 2008

Les données présentées montrent clairement que le nombre total de menaces pour le premier semestre 2008 s'inscrit dans la suite logique définie par le bilan du semestre précédent.

Programmes malveillants

Au cours des six premiers mois de l'année 2008, les analystes de Kaspersky Lab ont identifié 367 772 nouveaux programmes malveillants, soit 2,9 fois plus qu'au deuxième semestre 2007. Le nombre de programmes malveillants découverts en moyenne chaque mois est de 61 295,33.

Globalement, le nombre de programmes malveillants a connu une augmentation de 188,85 %. Ce taux de croissance est de loin supérieur à celui de 2007, année au cours de laquelle le nombre de virus découverts par rapport à 2006 avait augmenté de 114 %.

Nous vous rappelons que la classification instaurée par Kaspersky Lab prévoit trois catégories de programmes malveillants :

  1. TrojWare : différents types de chevaux de Troie incapables de se multiplier de manière autonome (portes dérobées, outils de dissimulation d'activité et tous les chevaux de Troie possibles) ;
  2. VirWare : programmes malicieux auto-reproducteurs (virus et vers) ;
  3. Other MalWare : programmes très populaires auprès des individus mal intentionnés qui les utilisent pour créer des programmes malveillants et pour organiser des attaques.

L'année 2008 a connu des modifications remarquables au niveau des catégories de programmes malveillants. La catégorie TrojWare, avec plus de 92% de l'ensemble des programmes malveillants, demeure le leader incontesté. Le nombre de nouveaux chevaux de Troie découverts au cours du premier semestre 2008 a augmenté de 190,2% par rapport au semestre précédent. Ceci étant, le pourcentage de la catégorie TrojWare parmi tous les autres programmes malveillants n'a augmenté que de 0,43 %, ce qui est de loin inférieure à la croissance de 2 % et quelque enregistrée en 2007.

Au cours des deux dernières années, nous avions remarqué que l'augmentation de la part de différents chevaux de Troie s'accompagnait d'un recul des indices pour les catégories VirWare et Other MalWare. A la fin du premier semestre 2008, nous voyons que le nombre de représentants de la catégorie Other MalWare a augmenté. Qui plus est, cette croissance (supérieure à 0,5%) est supérieure aux résultats de la catégorie dominante TrojWare.


Répartition des catégories de programmes malveillants (deuxième semestre 2007 et premier semestre 2008)


Nombre de nouveaux programmes malveillants découverts au cours du premier semestre 2008 (selon la catégorie)



Total 2008 2007 Part en 2008 Part en 2007 Progression Croissance
TrojWare 340426 117307 92,56% 92,13% 0,43% 190,20%
VirWare 14561 6358 3,96% 4,99% -1,03% 129,02%
Other MalWare 12785 3660 3,48% 2,87% 0,60% 249,32%
Programmes malveillants 367772 127325 100 100   188,85%


Il y a un an, à l'été 2007, la catégorie Other MalWare représentait 1,95 % de l'ensemble des programmes malveillants. Ce chiffre a commencé à augmenter au cours du deuxième semestre 2007 (2,87 %) et la tendance s'est maintenue au fil des six premiers mois de l'année 2008. A la fin du premier semestre 2008, la part de la catégorie Other Malware représentait 3,48 %. Si l'on tient compte du fait que le nombre de nouveaux programmes de cette catégorie a augmenté de 3,5 fois par rapport aux résultats du deuxième semestre 2007, on peut constater ainsi la hausse certaine du nombre de diverses "menaces non traditionnelles".

Le nombre de nouveaux programmes de la catégorie Other MalWare a augmenté de près de 250 %, ce qui lui permet de presque rattraper la catégorie VirWare. Au cours du premier semestre, le nombre de représentants de la catégorie Other Malware découverts était de 1 776 unités inférieur au nombre de représentants de la catégorie VirWare. D'ici la fin de l'année, et pour autant que le rythme de croissance reste inchangé dans les deux catégories, il est probable que la catégorie Other Malware décroche la deuxième place en termes de représentants parmi les programmes malveillants.

Les autres facteurs qui ont contribué à l'augmentation du nombre de programmes de la catégorie Other MalWare sont l'émergence d'une multitude de nouveaux codes d'exploitation ainsi qu'un élargissement de taille du spectre de comportements malveillants qui, jusqu'à présent, n'avaient pas été tenus en compte par les éditeurs de logiciels antivirus (outils de fraudes) et qui ont été ajoutés aux bases antivirus au premier semestre 2008.

Un processus similaire de ralentissement de la croissance de la catégorie VirWare, entamé il y cinq ans, a entraîné l'arrêt du développement des virus et des vers qui occupaient une position dominante à l'époque. Le recul de la catégorie VirWare s'est poursuivi en 2008 : au terme du premier semestre, les programmes de cette catégorie représentaient moins de 4 % de l'ensemble des programmes malveillants, soit 1,03 % mois qu'au deuxième semestre 2007. Le recul de la part de VirWare, quant à lui, dépasse la valeur enregistrée l'année dernière. La croissance du nombre de nouveaux virus et vers est loin derrière celle des indicateurs des autres catégories : on a recensé une augmentation de 129 % par rapport au semestre précédent.

Dans l'ensemble, nous constatons une stabilisation dans la répartition des catégories de programmes malveillants. Les raisons objectives de cette situation sont la domination des chevaux de Troie et les modifications enregistrées dans la direction prise par les menaces.

Nous allons maintenant nous pencher plus en détails sur les variations enregistrées dans chacune de ces catégories.

Chevaux de Troie

Le graphique nú3 représente le nombre de nouveaux chevaux de Troie découverts chaque mois par les analystes de Kaspersky Lab :


Nombre de nouveaux programmes de la catégorie TrojWare découverts par les analystes de Kaspersky Lab (juillet 2007 - juin 2008)

Au cours du deuxième semestre 2007, le nombre de nouveaux chevaux de Troie découverts chaque mois a commencé à diminuer. Toutefois, nous avons observé une nouvelle hausse depuis le début de l'année 2008 avec un résultat de 190,2 % à la fin du premier semestre. Trois pics ont été enregistrés au cours des six premiers mois de l'année 2008 : janvier, mars et mai. Chacun de ces pics fut suivi d'un léger recul ou d'une période de stabilité avant une nouvelle augmentation plus marquée du nombre de nouveaux chevaux de Troie. Ce tableau est en partie identique à la dynamique de l'année 2007. A l'époque nous avions recensé deux pics (en mai et en août) suivis d'un recul. La situation est totalement différente par rapport à ce que nous avons vécu en 2006 lorsque la croissance du nombre de nouveaux chevaux de Troie fut interrompue.

Il est plus que probable que la croissance inexorable du nombre de nouveaux chevaux de Troie se poursuivra à court terme. Toutefois, cette croissance ne s'accompagne pas d'améliorations technologiques. Dans la majorité des cas, les chevaux de Troie sont les oeuvres « primitives » de script-kiddies qui ne connaissent pas grand chose et l'augmentation de leur nombre repose exclusivement sur la disponibilité des chevaux de Troie sur le marché noir et sur la relative simplicité de leur diffusion.

S'agissant du comportement des chevaux de Troie, les modifications les plus marquantes ont été recensées chez les représentants de cette catégorie qui sont passés de la cinquième à la troisième position, rentrant ainsi dans le groupe de tête.


Chevaux de Troie : répartition des comportements (en %) au sein de la catégorie

Afin de mieux comprendre les changements qui touchent les chevaux de Troie, nous allons voir comment le nombre de programmes malveillants par comportement a augmenté.


Nombre de nouveaux programmes malveillants de la catégorie TrojWare (par comportement)


Croissance des nouveaux programmes malveillants de la catégorie TrojWare



TrojWare Premier semestre 2008 Deuxième semestre 2007 Croissance Part en 2008 Part en 2007 Progression
Backdoor 100864 39566 154,90% 29,63% 33,73% -4,100%
Trojan-Downloader 66517 25689 158,90% 19,54% 21,90% -2,360%
Trojan 61452 10451 488,00% 18,05% 8,91% 9,142%
Trojan-PSW 59973 23835 151,60% 17,62% 20,32% -2,701%
Trojan-Spy 22823 11914 91,60% 6,70% 10,16% -3,452%
Trojan-Dropper 19994 2620 663,10% 5,87% 2,23% 3,640%
Trojan-Clicker 4089 1168 250,10% 1,20% 1,00% 0,205%
Trojan-Proxy 2540 1428 77,90% 0,75% 1,22% -0,471%
Rootkit 1917 554 246,00% 0,56% 0,47% 0,091%
Trojan-DDOS 117 45 160,00% 0,03% 0,04% -0,004%
Trojan-SMS 47 9 422,20% 0,01% 0,01% 0,006%
Trojan-IM 40 8 400,00% 0,01% 0,01% 0,005%
Trojan-AOL 22 5 340,00% 0,01% 0,004% 0,002%
Trojan-Mailfinder 14 0   0,0040% 0,000% 0,004%
Trojan-Notifier 13 11 18,20% 0,0040% 0,009% -0,006%
Trojan-ArcBomb 3 4 -25,00% 0,0010% 0,003% -0,003%
Trojan-Ransom 1 0   0,0003% 0,000% 0,000%
Total TrojWare 340426 117307 190,20%      


Au cours du premier semestre 2008, la croissance la plus forte (plus de 200 %) a été enregistrée pour les catégories Trojan-Dropper, Trojan, Trojan-Clicker et Rootkit. (Les indicateurs de croissance des catégories Trojan-AOL, Trojan-IM, Trojan-SMS ne sont pas pris en compte car ces programmes sont très rares.)

Les résultats de Trojan-Dropper sont les plus impressionnants. Une croissance de plus de 660 % est un record pour tous les chevaux de Troie de ces dernières années. La popularité croissantes des programmes malveillants de cette catégorie vient du fait que de plus en plus d'auteurs de virus commencent à dissimuler le fichier du cheval de Troie à l'intérieur des distributions d'autres programmes afin de pouvoir installer simultanément un maximum de chevaux de Troie différents sur l'ordinateur de la victime. Cette situation découle du fait que dans le milieu de la cybercriminalité, la diffusion des programmes malveillants est prise en charge par des groupes spécialisés et non pas par les auteurs ou les acheteurs.

Ces mêmes causes ont probablement un rapport avec la dynamique des indices pour Trojan-Downloader. Ce comportement d’ancien leader en quantité en 2006, a cédé la première place l'année dernière à Backdoor. Au cours du premier semestre 2008, la catégorie Trojan-Downloader a réussi à conserver sa deuxième place (elle devance la catégorie Trojan d'un pour cent seulement), mais ce résultat s'accompagne de la poursuite de la réduction des downloaders parmi les chevaux de Troie (-2,4 %).

L'augmentation (488 %) du nombre de Trojan "traditionnels" est intéressante. Avant, la catégorie Trojan était en rapport avec le "deuxième échelon" des comportements et rien ne laissait supposer leur rapide croissance. Ce qui s'est produit avec la catégorie Trojan au cours du premier semestre 2008 est lié en grande partie à la volonté des auteurs de virus d'universaliser le code des chevaux de Troie. De plus en plus souvent, ils abandonnent la création de plusieurs modules fonctionnels qui interagissent et préfèrent tout réaliser au sein d'une seule application. Cette démarche est la réaction des individus mal intentionnés aux efforts des technologies de lutte contre les virus existantes : il est plus simple pour un cheval de Troie solitaire d'allonger la période entre la sortie d'un programme malveillant et son ajout aux bases antivirus.

La popularité croissante de Trojan-Clicker est liée à l'intérêt porté par les cybercriminels à un des moyens illégaux de gagner de l'argent sur Internet. Nous voulons parler ici de l'argent versé pour les "clics" sur les liens publicitaires et le "gonflement" du classement sur Internet. Ce type d'escroquerie est connu depuis déjà pas mal d'années mais jusqu'à 2008, il n'avait pas suscité l'intérêt particulier des auteurs de virus. La situation a changé en 2008 et en six mois, nous avons découverts 250 % de nouveaux Trojan-Clicker en plus par rapport aux six mois précédents.

S'agissant des outils de dissimulation d'activité, le taux de croissance respectable (246 %) n'a pas permis de modifier leur position relative par rapport aux autres types de chevaux de Troie (+0,9 %).

En juin 2008, Kaspersky Lab a créé des catégories spéciales pour certaines familles de programmes malveillants différents des programmes existants. C'est ainsi que deux nouveaux comportements ont été désignés : Trojan-Mailfinder et Trojan-Ransom.

La principale fonction des programmes contenus dans un Trojan-Mailfinder est de récolter les adresses de courrier électronique sur les ordinateurs infectés afin d'enrichir les bases des diffuseurs de courrier indésirable. Ce comportement est composé de différents chevaux de Troie et de programmes qui appartenaient au comportement SpamTool de la catégorie Other Malware.

Un nombre restreint, mais particulièrement dangereux, de chevaux de Troie "maître chanteur" a désormais sa propre catégorie : Trojan-Ransom. Il regroupe tous les programmes malveillants qui, d'une manière ou d'une autre, mettent le système d'exploitation hors service et chiffrent les fichiers de l'utilisateur afin que les escrocs puissent exiger de l'argent aux victimes en échange de la restauration des fichiers et du système.

Deux autres comportements ont également fait leur apparition dans notre classement en juillet 2008. Trojan-Banker et Trojan-GameThief.

Le comportement Trojan-Banker réunit tous les chevaux de Troie développés pour le vol des données d'accès aux systèmes bancaires en ligne ou des données de carte de crédit. Auparavant, ces programmes étaient souvent associés aux comportement Trojan-Spy et Trojan-PSW.

Trojan-GameThief doit réunir une multitude de chevaux de Troie développés pour voler les données d'accès des adeptes des jeux en ligne populaires. Pour rappel, l'année dernière, ces chevaux de Troie "de jeux" furent les programmes malveillants les plus répandus. Plusieurs familles sont regroupées au sein du comportement Trojan-GameThief comme les familles classées auparavant comme Trojan-Spy et Trojan-PSW.

L'apparition d'une série de nouveaux comportements va certainement avoir une influence remarquée sur la répartition actuelle des chevaux de Troie en fonction du comportement. Il est probable que nous pourrons en parler dès notre prochain rapport qui fera le bilan de l'année 2008.

Quatre groupes principaux de comportements existent à l'heure actuelle au sein de la catégorie TrojWare :

  1. Backdoor, Trojan-Downloader, Trojan et Trojan-PSW. Ils regroupent les chevaux de Troie les plus répandus, soit près de 85 % de l'ensemble de la catégorie TrojWare (la part de chaque comportement dans l'ensemble dépasse 17 %).
    En six mois, le comportement Trojan a conquis la première position avec une augmentation de 9 % parmi l'ensemble de chevaux de Troie. Notez que le comportement Trojan est le seul parmi les quatre membres du premier groupe à connaître une augmentation. La part des autres comportements est en recul (ainsi, le comportement Backdoor a perdu plus de 4 %).
    Ce groupe devrait connaître au deuxième semestre 2008 un taux de croissance élevé (plus de 150 %). La part de comportement de type Trojan va continuer à augmenter tandis que Trojan-Downloader et Trojan-PSW vont continuer à diminuer. Les portes dérobées demeurent le type de programme malveillant le plus populaire, grâce en grande partie aux efforts des auteurs de virus chinois.
  2. Trojan-Spy et Trojan-Dropper. Au cours des six premiers mois de l'année 2008, le comportement Trojan a quitté le deuxième groupe pour le premier et il a été remplacé par le comportement Trojan-Dropper, en progression depuis le troisième groupe. La part des comportements du deuxième groupe est comprise entre 5 et 7 %. Les taux de croissance de Trojan-Spy et Trojan-Dropper diffèrent énormément (pour rappel, Trojan-Dropper détient le record de croissance établi à 663,1 %).
    Au cours du deuxième semestre 2008, la part des membres de la catégorie Trojan-Dropper va probablement poursuivre sa croissance pour se rapprocher ainsi du premier groupe. Il est probable également que les comportements Trojan-Banker et Trojan-GameThief, créés récemment, fassent leur entrée dans le deuxième groupe.
  3. Trojan-Proxy, Trojan-Clicker et Other. La part de chacun de ces comportements est inférieure à 1,2 %. A l'exception de Trojan-Clicker, le taux de croissance des représentants de ces groupes n'est pas significatif.
    Certes, le nombre de programmes d'un de ces comportements pourraient augmenter et atteindre le niveau du deuxième groupe (Trojan-Clicker) mais selon toute vraisemblance, la part des programmes malveillants de ce groupe va diminuer sous l'effet de la poussée des représentants du premier groupe.

    Parmi les comportements du troisième groupe, Trojan-SMS, dont le nombre a augmenté de 422 % au cours du premier semestre 2008 pour s'approcher de la cinquantaine, représente un intérêt particulier. Bien évident, ce résultat est modeste si on le compare aux 100 000 nouvelles portes dérobées, mais ce qui distingue le comportement Trojan-SMS de tous les autres programmes malveillants, c'est le fait que ces membres fonctionnent sur les téléphones mobiles et qu'ils représentent peut-être la menace la plus présente pour les dispositifs nomades.

    Menaces sur les appareils nomades : début de la commercialisation

    Le premier semestre 2008 a été intéressant du point de vue des menaces qui planent sur les appareils nomades et principalement une tendance particulière : les chevaux de Troie qui envoient, à l'insu de l'utilisateur, des SMS vers des numéros payants.

    Dans ce contexte, il convient de noter :

    1. L'augmentation du nombre de programmes malveillants appartenant au comportement Trojan-SMS.
    2. La compatibilité inter-plateforme des chevaux de Troie pour appareils nomades : tout téléphone compatible avec les applications Java ou doté de l'interprète du langage Python est menacé.
    3. L'augmentation du nombre de sites WAP qui hébergent ce genre de chevaux de Troie.
    4. L'émergence de messages ICQ non sollicités qui assurent la promotion des sites WAP et des programmes malveillants qu'ils hébergent.
    5. La diversité des méthodes d'ingénierie sociale employées pour diffuser et dissimuler les programmes malveillants.
    6. Le nombre fixe de numéros payants vers lesquels les SMS sont envoyés à l'insu de l'utilisateur.

    Ces différentes tendances, ainsi que d'autres, sont abordées en détails ci-après.

    Commençons par l'augmentation du nombre de programmes malveillants appartenant au comportement Trojan-SMS. Au cours du premier semestre 2008, nous avons découvert plus de programmes de cette catégorie que tout au long de leur existence. Nous vous rappelons que nous avons décelé le premier programme malveillant de cette catégorie le 27 février 2006 (Trojan-SMS.J2ME.RedBrowser.a).


    Nombre de nouveaux programmes de la catégorie Trojan-SMS découverts par les analystes de Kaspersky Lab (1er semestre 2008)

    Au cours des six premiers mois de l'année 2008, nous avons recensé une augmentation de 422 % de nouveaux Trojan-SMS par rapport au deuxième semestre 2007.

    A l'heure actuelle, il existe 9 familles pour la plateforme J2ME, 3 pour Symbian et 1 pour Python.

    A quoi ressemblent ces chevaux de Troie ? En réalité, ces programmes malveillants sont des copies assez primitives.

    S'agissant des chevaux de Troie qui ciblent la plateforme J2ME, la majorité d'entre eux possède la structure suivante : une archive jar contenant plusieurs fichiers class. Un de ces fichiers envoie le SMS vers le numéro payant (bien entendu, sans demander l'autorisation de l'utilisateur et sans signaler à ce dernier le coût du message). Les autres fichiers class visent simplement à dissimuler le programme. L'archive peut contenir quelques images (dans la majorité des cas, des photos érotiques) ainsi qu'un fichier manifest qui, dans certains cas, est également utilisé par le programme malveillant pour envoyer des messages.

    S'agissant de la famille Trojan-SMS.Python.Flocker, la seule différence ici se situe au niveau de la plateforme ciblée par le programme malveillant. Sa raison d'être (et le côté primitif du programme et de l'objectif) sont identiques. L'archive sis contient un script principal écrit dans le langage Python. Ce script envoie le SMS vers un numéro payant. Elle contient également d'autres scripts qui servent à dissimuler l'activité principale du programme malveillant.

    Un des aspects les plus dangereux du comportement Trojan-SMS est sa capacité à infecter diverses plateformes. Si le téléphone (et pas nécessairement un téléphone intelligent) est doté d'un moteur Java, alors Trojan-SMS.J2ME peut fonctionner sans problème sur l'appareil. S'agissant de Trojan-SMS.Python, nous sommes en présence ici d'une compatibilité interplateforme pour les téléphones intelligents sous Symbian. Si le téléphone (doté de n'importe quelle version du système d'exploitation) possède l'interprète Python, alors Trojan-SMS.Python peut fonctionner sur n'importe lequel de ces modèles.

    Le moyen le plus populaire (parmi une sélection réduite) pour diffuser ces programmes malveillants consiste à utiliser divers portails WAP où l'utilisateur est invité à télécharger diverses chansons, images, jeux ou applications pour son téléphone portable. La majorité absolue des chevaux de Troie se dissimule sous les traits d'une application capable d'envoyer des SMS gratuits, qui propose d'utiliser gratuitement une connexion Internet mobile ou sous la forme d'une application à caractère érotique ou pornographique.

    Il arrive que les auteurs de virus fassent preuves d'une certaine originalité dans leurs tentatives de masquer les actions malveillantes du programme. Ainsi, Trojan-SMS.J2ME.Swapi.g, une fois qu'il a été lancé par l'utilisateur, propose d'afficher des images pornographiques. Pour ce faire, il faut parvenir à cliquer sur "OUI" avant la fin d'un signal sonore. (l'archive jar contient une photo au format png et une mélodie au format midi.) L'utilisateur, trop occupé à cliquer sur le bouton dans le temps imparti, ne se doute pas que chaque pression (dans les temps ou pas) entraîne l'envoi d'un SMS vers un numéro payant et le retrait d'une somme déterminée de son compte.

    La majorité des sites où sont hébergés les programmes malveillants offre aux internautes la possibilité de stocker leurs fichiers. La simplicité de l'enregistrement (en quelques clics seulement) et la gratuité de ces services permettent aux auteurs de virus de diffuser leurs créations primitives sans aucun problème. L'individu mal intentionné doit simplement trouver le nom le plus attrayant possible pour les victimes potentielles (free_gprs_internet, envoi_sms_gratuit, jeune_fille_nue, etc.), écrire une description toute aussi attrayante et attendre qu'un utilisateur décide "d'envoyer des SMS gratuits" ou de "regarder des photos érotiques".

    Une fois que le programme malveillant a été mis en place, l'individu mal intentionné doit en faire la publicité. C'est ici qu'interviennent les diffusions en masse de messages ICQ ou les messages non sollicités dans divers forums. Pourquoi ICQ ? Ce service de messagerie instantanée est très répandu en Russie et dans les pays de la CEI. De nombreux utilisateurs qui veulent pouvoir communiquer instantanément utilisent les clients ICQ. Pour les individus mal intentionnés, ces personnes sont des victimes potentielles.

    Nous obtenons ainsi une chaîne intéressante : création d'un programme malveillant  chargement sur un site WAP avec un nom et une description attrayante  diffusion de messages non sollicités qui peuvent atteindre les utilisateurs du système de messagerie instantanée ICQ.

    Il nous reste une question à aborder. Elle porte sur les numéros payants utilisés par les chevaux de Troie pour appareils nomades. Parmi tous les programmes malveillants qui ont été découverts par Kaspersky Lab, 3 numéros payant semblent avoir les faveurs des auteurs de virus : 1171, 1161, 3649. Ces numéros ne sont pas utilisés exclusivement par des individus mal intentionnés mais également par diverses sociétés légitimes qui offrent divers services. Le montant à payer pour le SMS dépend du préfixe du numéro qui l'envoie. Dans divers programmes de la catégorie Trojan-SMS, ces préfixes changent mais parfois ils se répètent.

    La popularité de ce type de cybercriminalité, particulièrement en Russie, repose sur la grande simplicité des modes de paiement par SMS.

    Nous savons que les opérateurs de téléphonie mobile louent des numéros payants. Le coût d'une telle location pour un particulier est trop élevé. Il existe cependant des fournisseurs de contenu qui possèdent de tels numéros et qui les sous-louent en ajoutant un préfixe déterminé.

    Ainsi, le numéro 1171 appartient à un de ces fournisseurs mais quand un message commençant par "S1" est envoyé à ce numéro, le système du fournisseur transfère une partie du montant du SMS sur le compte du sous-loueur "S1".

    L'opérateur de téléphonie mobile se réserve une part de 45 à 49 % du coût du SMS envoyé vers le numéro payant tandis que 10% environ sont destinés au fournisseur de contenu. Le reste est envoyé au sous-locataire, dans ce cas-ci un escroc « mobile ».

    Conclusion : le premier semestre 2008 aura été marqué par la croissance sensible pour la première fois de leur histoire des programmes malveillants pour téléphones portables qui envoient des SMS vers des numéros payants à l'insu du propriétaire du téléphone. Il est évident que tous ces programmes ont été créés dans un seul but : gagner de l'argent à l'aide de numéros payants, et plus particulièrement grâce aux messages SMS envoyés vers ces numéros. La simplicité de la création et de la diffusion de ces applications pourraient entraîner une poursuite de la croissance des programmes malveillants de la catégorie Trojan-SMS au cours du deuxième semestre 2008. Nous allons suivre la situation.

    Chevaux de Troie pour jeux : les jeux ne sont pas encore faits

    Une des tendances les plus marquantes de l'année dernière fut la croissance soutenue du nombre de nouveaux programmes malveillants développés pour dérober les mots de passe d'accès aux jeux en ligne. Elle s'est maintenue au cours du premier semestre 2008. En six mois, nous avons recensé 49 094 nouveaux chevaux de Troie pour les jeux. Soit 1,5 fois plus que le nombre de chevaux de Troie découverts en 2007 et en augmentation de 264,6 % par rapport aux résultats du semestre précédent.


    Nombre de nouveaux chevaux de Troie qui volent les mots de passe d'accès aux jeux en ligne découverts par les analystes de Kaspersky Lab


    Nombre de nouveaux programmes de la catégorie de chevaux de Troie de jeux découverts par les analystes de Kaspersky Lab (juillet 2007 - juin 2008)


    95 % de tous les nouveaux chevaux de Troie de jeux découverts au cours du premier semestre 2008 volent les mots de passe de plusieurs jeux en ligne. Ces programmes regroupent des représentants des familles Trojan-PSW.Win32.OnLineGames et Trojan-PSW.Win32.Magania.

    La famille OnLineGames est la plus nombreuse et représente 57,6 % de l'ensemble des chevaux de Troie de jeux. Le nombre de programmes malveillants appartenant à cette catégorie n'a cessé d'augmenter au cours des six premiers mois de 2008 et a considérablement devancé le nombre de chevaux de Troie qui volent le mot de passe d'accès à un seul jeu en ligne.

    Les chevaux de Troie de la famille Magania sont intéressants car ils ciblent uniquement les utilisateurs d'un portail de jeux très fréquenté (pour de plus amples informations, consultez http://en.wikipedia.org/wiki/Gamania). Bien que depuis le mois de mai cette famille enregistre une perte de popularité suite à la fermeture sur le portail de quelques mondes en ligne (y compris "MapleStory"), elle regroupait à la fin du premier semestre 37,4 % de tous les nouveaux chevaux de Troie de jeux.

     
    Nombre de nouveaux programmes malveillants parmi les familles de chevaux de Troie de jeux les plus populaires (pour les 6 premiers mois de 2008)


    Trojan-PSW.Win32.OnLineGames – vole le mot de passe d'accès à plusieurs jeux en ligne
    Trojan-PSW.Win32.Magania – attaque le portail de jeux Gamania
    Trojan-PSW.Win32.Ganhame – attaque le jeu Hangame Online
    Trojan-PSW.Win32.Lmir – Legend of Mir
    Trojan-PSW.Win32.Nilage – Lineage
    Trojan-PSW.Win32.WOW – World of Warcraft

    L'intérêt porté par les auteurs de virus à un jeu en particulier dépend directement du succès de ce jeu auprès des joueurs et du niveau de développement du marché des valeurs virtuelles dans tel ou tel jeu. La majeure partie des chevaux de Troie de jeu développés pour voler le mot de passe d'accès à un jeu en ligne s'en prend aux joueurs de quatre jeux : les jeux Legend of Mir et Hangame populaires en Chine ainsi que Lineage et World of Warcraft qui ont des adeptes dans le monde entier.


    Répartition des chevaux de Troie de jeux les plus répandus et ciblant un seul jeu

    Comme nous le voyons dans le diagramme, la majorité des chevaux de Troie vise à voler le mot de passe d'accès au jeu Lineage. A en croire les statistiques du site mmogchart.com (cf. ci-après), Lineage, un des pionniers des jeux en ligne apparu en 1999, a occupé une position dominante en termes d'abonnés pendant quatre ans. A l'heure actuelle, l'économie du jeu Lineage est la plus développée parmi tous les jeux en ligne et il possède également un marché parfaitement établi des biens virtuels qui s'échangent pour des sommes d'argent bien réelles.

    World of Warcraft, leader actuel des jeux en ligne, occupe la deuxième place en termes de popularité chez les auteurs de virus. C'est toutefois pour ce jeu que l'on a enregistré le record mensuel de nouveaux chevaux de Troie : au mois de mai, ce sont 290 chevaux de Troie prenant pour cible les joueurs de World of Warcraft qui ont été découverts, soit entre 6 et 7 nouveaux chevaux de Troie par jour.

     
    Répartition des joueurs aux jeux en ligne populaires



    Source : mmogchart.com

    La méthode principale utilisée pour diffuser les programmes malveillants développés pour voler les mots de passe d'accès aux jeux en ligne a changé au cours du premier semestre 2008. En 2007, les individus mal intentionnés privilégiaient des programmes porteurs à diffusion automatique (vers et virus). De nos jours, la méthode privilégiée pour introduire les chevaux de Troie de jeux dans les ordinateurs des ordinateurs consiste à forcer l'entrée dans un site (par exemple, à l'aide d'une injection sql) et à recourir aux codes d'exploitation afin de télécharger les chevaux de Troie sur les ordinateurs des visiteurs de ces sites.

    C'est précisément depuis un site russe compromis qu'un cheval de Troie de la famille OnlineGame a pu s'introduire dans l'ordinateur d'un utilisateur qui a publié le message repris ci-après dans un forum.

     

    La méthode de diffusion utilisée était pour le moins une réussite. Mais dans la majorité des cas, l'attaque n'est pas ciblée : le cheval de Troie de jeux peut infecter n'importe quel visiteur du site compromis et pas uniquement les adeptes de jeux en ligne. Les individus mal intentionnés décidèrent d'exploiter l'avantage de ce mode d'infection efficace et ils élargirent les fonctions des chevaux de Troie de jeux : au cours du premier semestre 2008, les auteurs de virus ont commencé à ajouter aux programmes de vol de mot de passe d'accès aux jeux en ligne des modules de porte dérobée qui permettent d'unir les machines infectées au sein de réseaux de zombies.

    Ainsi, le premier semestre 2008 a été le témoin de la poursuite du développement des activités criminelles liées au vol de personnages et aux biens virtuels des jeux en ligne. Kaspersky Lab a découvert en moyenne chaque jour 273 nouveaux chevaux de Troie de jeux dont 259 capables de voler les mots de passe d'accès à plusieurs jeux en ligne. En termes de nouveaux programmes malveillants, la famille Trojan-PSW.Win32.OnLinesGames occupe la deuxième position parmi les membres de la famille TrojWare, devancé uniquement par Backdoor.Win32.Hupigon.

    Les auteurs de virus ont optimisé le mode d'attaque développé antérieurement. Pour diffuser leurs oeuvres, ils ont commencé à exploiter des sites compromis. Et alors que par le passé, les chevaux de Troie qui volaient le mot de passe d'accès aux jeux en ligne ne menaçaient que les joueurs, de nos jours ils sont dangereux pour tout le monde : la grande majorité des chevaux de Troie de jeux découverts au cours des derniers mois possède également une fonction de porte dérobée.

    A court terme, le développement de programmes malveillants ciblant les adeptes des jeux en ligne se poursuivra.

    Vers et virus

    Parmi les trois catégories de programmes malveillants, VirWare est celle qui a connu la croissance la plus modeste, "seulement" 129 %. Toutefois, même un résultat aussi maigre se traduit, dans la pratique, par plus de deux milles nouveaux virus et vers par mois.

    Le graphique nú10 représente le nombre de nouveaux programmes de la catégorie VirWare découverts chaque mois par les analystes de Kaspersky Lab :


    Nombre de nouveaux programmes de la catégorie VirWare découverts par les analystes de Kaspersky Lab (juillet 2007 - juin 2008)

    A première vue, la dynamique de la croissance du nombre de nouveaux programmes malveillants dans cette catégorie est identique à celle de la catégorie TrojWare : on retrouve les mêmes périodes de croissance et de recul. Toutefois, la catégorie VirWare n'a enregistré que deux pics en 2008 contre trois pour la catégorie TrojWare. Ceci signifie que cette catégorie de programmes malveillants vit et se développe selon ses propres lois. Le taux de croissance bien plus lent que celui des autres catégories de programmes malveillants n'est que de 129 % pour la catégorie VirWare, ce qui témoigne de la différence qui existe entre les vers et les virus d'une part et les autres catégories de programmes malveillants d'autre part. Cela s'est traduit, au premier semestre 2008, par une nouvelle réduction de leur part de plus d'un pour cent.

    Si cette dynamique se maintient au cours du deuxième semestre 2008, il se pourrait que cette catégorie se retrouve à la troisième place parmi les programmes malveillants tandis que la catégorie Other Malware accèderait à la deuxième position.

    Au sein de la catégorie VirWare, le semestre a réservé des modifications notables. Le graphique suivant illustre la répartition des différents comportements de la catégorie VirWare :


    VirWare : répartition des comportements (en %) au sein de la catégorie

    Afin de mieux comprendre les changements qui touchent les programmes malveillants à diffusion automatique, nous allons voir comment le nombre de programmes malveillants par comportement a augmenté.


    Nombre de nouveaux programmes malveillants de la catégorie Other MalWare (par comportement)


    Croissance des nouveaux programmes malveillants de la catégorie VirWare



    VirWare Total pour 2008 2007-2 Croissance 2008% "+/-"
    Worm 6386 1413 351,95% 43,857 21,63%
    Net-Worm 3393 258 1215,12% 23,302 19,24%
    Email-Worm 2757 1629 69,24% 18,934 -6,69%
    IM-Worm 755 431 75,17% 5,185 -1,59%
    Virus 666 2468 -73,01% 4,574 -34,24%
    P2P-Worm 516 126 309,52% 3,544 1,56%
    IRC-Worm 88 33 166,67% 0,604 0,09%
    Total 14561 6358 129,02% 100  

    Les principales métamorphoses dans la catégorie VirWare ont touché les virus de fichier classiques. Ce qui leur est arrivé au premier semestre 2008 est difficile à expliquer. En 2007, les virus occupaient la première place en terme de taux de croissance (390 %) parmi tous les programmes malveillants. Ala fin du semestre précédent, ils étaient les plus répandus dans la catégorie VirWare avec 38,8 %. Au cours du premier semestre 2008, les virus ont enregistré une croissance négative (-73 %) et leur part n'est plus que de 4,5 % à la fin de cette période.

    Nous nous attendions à une augmentation progressive du nombre de virus plus complexes et au développement des technologies polymorphes. Toutefois, il semblerait que les cybercriminels soient attirés par la "création de chevaux de Troie" et qu'ils ne possèdent pas les connaissances suffisantes pour l'intégration en masse des technologies de virus. Ceci est un excellent signe pour les éditeurs de logiciels antivirus.

    Les représentants du comportement Worm sont devenus les leaders de la catégorie. Leur taux de croissance de 352 % a multiplié par deux leur part dans la catégorie VirWare et leur a permis de décrocher la première place avec un résultat proche de 44 %. C'est précisément à cause de ces vers qui se propagent via les disques amovibles et les réseaux locaux qu'il est difficile de nettoyer les ordinateurs des utilisateurs.

    Les vers de réseau (Net-Worm) sont le comportement qui a connu la croissance la plus rapide au premier semestre 2008. Cette croissance est tout simplement inégalée : nous avons recensé une augmentation de plus de 1 200 % de nouveaux membres de la catégorie Net-Worm par rapport au semestre précédent. Ce comportement, qui avait presque disparu en 2007, a été propulsé à la deuxième place. La raison de cette croissance fulgurante se cache dans le développement continu des vers traditionnels qui sont entrés dans une nouvelle étape. Leurs auteurs tentent d'assimiler de nouveaux moyens de diffusion et commencent à exploiter d'anciennes méthodes, mais à un nouveau niveau. Etant donné l'absence de vulnérabilités critiques qui constituaient la base du travail de vers tels que Lovesan et Sasser, les vers de réseau contemporains se diffusent de plus en plus souvent via des sites compromis ou des réseaux sociaux.

    La croissance stable depuis plusieurs années du nombre de vers de messagerie se poursuit mais en 2008, elle n'a pas été suffisante pour garantir la deuxième place. Au premier semestre 2008, la part des vers de messagerie a reculé de 6,7 % et ils ont décroché la troisième position avec 19 %. Néanmoins, cela signifie que sur cinq nouveau membres de la catégorie VirWare, l’un d’eux est un ver qui se diffuse via le courrier électronique. La croissance de ces vers se poursuit principalement grâce à trois familles : Warezov, Zhelatin et Bagle. Il en était de même en 2007.

    Nous pouvons identifier deux groupes principaux de comportements dans la catégorie VirWare :

    1. Email-Worm, Worm et Net-Worm. La part de chacun de ces comportements dépasse les 18% du nombre total de VirWare. Stagnation du développement du leader (Email-Worm) et taux de croissance explosif des catégories Worm et Net-Worm.
    2. IM-Worm, Virus, P2P-Worm et IRC-Worm. La part de chacun de ces comportements dans le nombre total VirWar est inférieure à 6%. Les taux de croissance diffèrent énormément : depuis des taux négatifs jusqu'à des taux dignes des leaders (plus de 300 %). Toutefois, la probabilité d'une augmentation sensible existe uniquement pour la catégorie Virus. Les autres comportements dépendent de services Internet connexes (IM, IRC, P2P).

    Autres programmes malveillants

    Cette catégorie est toujours la moins représentée en terme de programmes malveillants découverts, mais la plus importante en terme de comportements.

    Il est pour le moins difficile de réaliser des pronostics sur le nombre de programmes malveillants de la catégorie Other MalWare : la dynamique de cette catégorie se caractérise par une période de faible croissance entre 2004 et 2005, un léger recul en 2006 et une croissance de 27 % en 2007. Dans ce contexte, le premier semestre 2008 a été plus que réussi pour la catégorie Other MalWare : nous avons recensé une augmentation de 249,3 % des programmes malveillants de cette catégorie par rapport au semestre précédent.


    Nombre de nouveaux programmes de la catégorie Other Malware découverts par les analystes de Kaspersky Lab (juillet 2007 - juin 2008)

    Voici les répartitions des différents comportements de la catégorie Other MalWare présentées sous la forme de camemberts :


    Other MalWare : répartition des comportements (en %) au sein de la catégorie

    Afin de mieux comprendre les changements qui touchent les programmes malveillants de cette catégorie, nous allons voir comment le nombre de programmes malveillants par comportement a augmenté.


    Nombre de nouveaux programmes malveillants de la catégorie Other MalWare (par comportement)


    Croissance des nouveaux programmes malveillants de la catégorie Other MalWare

    MalWare Total pour 2008 2007-2 Croissance 2008% "+/-"
    Hoax 3371 1085 210,69% 26,367 -3,28%
    FraudTool 3339 387 762,79% 26,117 15,54%
    Exploit 1975 711 177,78% 15,448 -3,98%
    HackTool 1377 306 350,00% 10,77 2,41%
    Constructor 731 292 150,34% 5,718 -2,26%
    Packed 509 403 26,30% 3,981 -7,03%
    SpamTool 431 184 134,24% 3,371 -1,66%
    IM-Flooder 287 55 421,82% 2,245 0,74%
    Flooder 196 51 284,31% 1,533 0,14%
    BadJoke 174 69 152,17% 1,361 -0,52%
    VirTool 153 50 206,00% 1,197 -0,17%
    Email-Flooder 77 8 862,50% 0,602 0,38%
    DoS 75 37 102,70% 0,587 -0,42%
    Spoofer 36 6 500,00% 0,282 0,12%
    Sniffer 24 10 140,00% 0,188 -0,09%
    SMS-Flooder 15 4 275,00% 0,117 0,01%
    Nuker 15 2 650,00% 0,117 0,06%
    Total 12785 3660 249,32% 100%  

    Le comportement Hoax est toujours le plus répandu au sein de cette catégorie. Pour la troisième année consécutive, ils affichent une croissance explosive : de 150 à 286 %. Malgré cela, leur part entre tous les programmes de la catégorie OtherMalware est en recul de plus de 3 % à l'issue du premier semestre 2008.

    La catégorie Exploit, qui occupait à une certaine époque la première place au niveau du nombre, continue à perdre du terrain. Malgré une augmentation de 178 %, elle n'a pas pu conserver sa deuxième place. Maintenant, elle occupe la troisième place en terme de popularité mais ne représente que 15,5% du nombre total des représentants de la catégorie OtherMalware.

    Deux nouveaux comportements, apparus seulement dans notre classement en 2007, à savoir Packed et FraudTool, se comportent différemment.

    La croissance sensible qu'avait enregistré Packed l'année dernière s'est presque arrêtée au premier semestre 2008 (26 % au total). Par conséquent, la part de Packed parmi les programmes de la catégorie Other Malware a diminué de plus de 7 %.

    Tandis que FraudTool est presque devenu un leader, avec Hoax. Et ce, grâce à une augmentation de près de 760 %. La popularité de ce comportement de programme malveillant ne cesse d'augmenter parmi les auteurs de virus. Le principal élément distinctif de FraudTool sont les "rogues antivirus", ces programmes qui se présentent comme des logiciels antivirus à part entière. Une fois installé sur l'ordinateur, ils trouveront obligatoirement un virus quelconque, même si le système est sain, et proposeront à l'utilisateur d'acheter une version payante pour procéder à la "réparation". Outre l'escroquerie manifeste, ces programmes contiennent également une fonction de logiciel publicitaire.

    Programmes potentiellement indésirables (PUP)

    Ce n'est que l'année dernière que les programmes potentiellement indésirables (potentially unwanted programs ou PUP) ont fait leur entrée dans nos rapports. Ces programmes, développés et diffusés par des sociétés légales, contiennent des fonctions qui permettent aux individus mal intentionnés de les employer contre les utilisateurs. Ces programmes ne peuvent être classés comme sûrs ou dangereux : tout dépend de qui les utilisent.

    Selon le classement de Kaspersky Lab, les programmes potentiellement indésirables sont scindés en trois catégories.

    1. AdWare : logiciel développé pour afficher des messages publicitaires, réorienter les recherches sur Internet vers des pages Internet publicitaire ou récolter des données marketing sur l'utilisateur (par exemple, les types de sites qu'il visite).
    2. RiskWare : programmes légitimes que les individus mal intentionnés pourraient utiliser afin de nuire à l'utilisateur et à ses données (destruction, blocage, modification ou copie des informations, perturbation du fonctionnement de l'ordinateur ou des réseaux informatiques).
    3. PornWare : utilitaires liés à l'affichage d'une forme quelconque de pornographie (cette catégorie reprend en tout trois comportements : Porn-Tool, Porn-Dialer et Porn-Downloader).

    Logiciels publicitaires

    Il s'agit de la catégorie de programmes la plus stable. Pour la deuxième année consécutive, la catégorie Adware affiche un taux de croissance identique supérieur à 450 %. La moyenne mensuelle de nouveaux exemplaires est déjà proche de 8 000 unités, ce qui a permis aux logiciels publicitaires de décrocher la deuxième place parmi les programmes détectés par notre logiciel antivirus.

    Voici un graphique reprenant le nombre de nouveaux logiciels de la catégorie AdWare identifiés chaque mois par les experts de Kaspersky Lab :


    Nombre de nouveaux programmes de la catégorie AdWare (juillet 2007 – juin 2008)



    AdWare Total pour 2008 2007-2 Croissance
    AdWare 46134 8168 464,81%


    Le diagramme indique clairement une explosion de l'apparition de ce genre de programmes depuis le début de l'année 2008. Nous constatons une fois de plus que tous les efforts législatifs déployés par de nombreux pays au monde dans le but d'interdire ce genre de programmes et de leur donner un aspect plus "légal" n'ont toujours rien donné. Bien évidemment, de nombreux développeurs de programmes de cette catégorie en ont modifié les fonctions et le comportement. C'est ce qui explique l'augmentation du nombre de programmes AdTool dont il sera question ci-après. Mais cela ne suffit pas pour aider les utilisateurs à lutter contre les adeptes de la publicité fixe.

    Il est encore plus décevant de constater que de nombreux logiciels publicitaires intègrent de véritables fonctions de chevaux de Troie, y compris des technologies de dissimulation de l'activité pour se cacher dans le système. Virtumonde est un excellent exemple de ce genre de programme. Il y a quelques années, ce programme était un logiciel publicitaire "ordinaire" mais nous le considérons désormais comme un cheval de Troie diffusé selon les méthodes les plus "sales".

    Programmes de la catégorie Riskware et Pornware

    Dans la mesure où il n'y a que trois comportements dans la catégorie PornWare et que la part de nouveaux programmes de cette catégorie découverts par les experts de Kaspersky Lab au premier semestre 2008 représente 11,7 % de l'ensemble des programmes potentiellement indésirables, nous avons décidé, pour l'analyse, de les regrouper avec les programmes de la catégorie RiskWare.

    Le graphique suivant représente le nombre total de nouveaux programmes des catégories RiskWare et PornWare découverts chaque mois par les analystes de Kaspersky Lab :


    Nombre de nouveaux programmes des catégories RiskWare et PornWare (juillet 2007 – juin 2008)

    En 2008, le nombre de programmes identifiés comme représentants des catégories Riskware et Pornware par Kaspersky Anti-Virus dépassait 26 000 et la croissance générale de nombre de programmes des deux catégories était supérieure à 1 700 %.

    Ceci s'explique par le fait que plusieurs milliers de programmes proches du comportement AdTool ont été ajoutés aux bases antivirus. On le voit clairement grâce au pic enregistré au mois de mars. Par la suite, les statistiques des catégories Riskware et PornWare se sont stabilisées et sont redevenues conformes aux attentes.

    Voici les répartitions des différents programmes des catégories RiskWare et PornWare en fonction du comportement présentées sous la forme de camemberts :


    RiskWare et PornWare : pourcentage

    RiskWare et PornWare : pourcentage

    Nombre de nouveaux programmes des catégories RiskWare et PornWare (en fonction des comportements) :

    RiskWare&PornWare Total pour 2008 2007-2 Croissance 2008% "+/-"
    AdTool 13555 50 27010,00% 51,33 47,90%
    Porn-Dialer 8311 130 6293,08% 31,48 22,60%
    Monitor 1491 611 144,03% 5,65 -36,20%
    PSW-Tool 719 131 448,85% 2,72 -6,20%
    Downloader 688 104 561,54% 2,61 -4,50%
    Server-FTP 396 36 1000,00% 1,5 -1,00%
    Divers 246 47 423,40% 0,93 -2,30%
    RemoteAdmin 228 107 113,08% 0,86 -6,50%
    Net-Tool 200 73 173,97% 0,76 -4,20%
    Porn-Tool 165 13 1169,23% 0,62 -0,30%
    RiskTool 139 51 172,55% 0,53 -3,00%
    Dialer 113 46 145,65% 0,43 -2,70%
    Server-Proxy 67 17 294,12% 0,25 -0,90%
    Porn-Downloader 35 15 133,33% 0,13 -0,90%
    Tool 26 15 73,33% 0,1 -0,90%
    Client-IRC 11 7 57,14% 0,04 -0,40%
    Server-Web 7 5 40,00% 0,03 -0,30%
    Server-Telnet 5 0   0,02  
    WebToolbar 2 0   0,01  
    Client-SMTP 1 2 -50,00% 0 -0,10%
    Total 26405 1460 1708,56% 100%  

    Parmi les comportements de ces deux catégories, on identifie deux leaders incontestés : AdTool (51,33 %) et Porn-Dialer (31,48 %).

    AdTool regroupe divers modules de publicité qui ne peuvent être considérés comme des membres du groupe AdWare car ils possèdent tous les attributs légaux requis : ils proposent un contrat de licence, ils ne cachent pas leur présence sur l'ordinateur et ils signalent leurs actions à l'utilisateur. La position dominante de AdTool était tout à fait prévisible si l'on tient compte du nombre de programmes de cette catégorie ajoutés simultanément aux bases (cf. ci-dessus).

    Les représentants du comportement Porn-Dialers établissent des connexions téléphoniques avec des numéros payants, ce qui entraîne souvent des procès entre les abonnés au service téléphonique et les compagnies de téléphone.

    Monitor, le programme leader dans ce comportement en 2007, a enregistré un fort recul. Monitor est également en rapport avec les enregistreurs de frappes légitimes qui sont développés et diffusés officiellement mais lorsqu'ils sont dotés de fonctions capables de dissimuler leur activité dans le système, ils peuvent éventuellement être utilisés en tant que chevaux de Troie espions. Au cours du premier semestre 2008, ils ont perdu plus de 35 % et n'occupaient que la troisième position parmi tous les programmes potentiellement indésirables.

    Comme par le passé, les comportements tels que PSW-Tool et Downloader sont largement répandus. Les premiers servent à récupérer les mots de passe oubliés mais ils peuvent être facilement détournés par des individus mal intentionnés pour extraire ces mots de passe de l'ordinateur sans que la victime ne se rende compte de quoi que ce soit. Les deuxièmes peuvent être utilisés par les individus mal intentionnés pour télécharger du contenu malveillant sur l'ordinateur de la victime.

    Il convient de noter également la réduction sensible de la part des programmes du comportement RemoteAdmin (-6,5 %).

    Plateformes et systèmes d'exploitation: 41 OS différents

    L'année dernière, nous avions publié pour la première fois des statistiques détaillées sur la répartition des programmes malveillants et potentiellement indésirables en fonction du système d'exploitation et de la plate-forme.

    Le système d'exploitation ou l'application peut être attaqué par des programmes malveillants si il peut lancer le programme sans qu'il ne fasse partie du système. Tous les systèmes d'exploitation, de nombreuses applications de bureautique, des éditeurs d'images, des logiciels de gestion de projet et d'autres applications possédant des langages de script intégrés répondent à cette condition.

    Sur l'ensemble du premier semestre 2008, Kaspersky Lab a recensé des programmes malveillants et des programmes présentant un risque potentiel sur plus de 41 plate-formes et systèmes d'exploitation différents.

    La majorité des programmes existants est bien entendu développée pour le milieu Win32 et il s'agit de fichiers exécutables binaires. Ils représentent 98,31 %.

    Les programmes ciblant d'autres systèmes d'exploitation ou plateformes ne représentent que 2% du nombre total de programmes détectés. Au premier semestre 2008, le nombre de programmes malveillants et potentiellement indésirables pour Win32 a augmenté de 233 % par rapport au deuxième semestre 2007. Pour les autres plateformes et applications, cette croissance n'a été que de 39 %, un chiffre inférieur au résultat de 2007 (63 %). Ainsi, le déplacement de l'intérêt des auteurs de virus depuis Win32 vers d'autres plateformes n'a pas eu lieu. Au contraire, l'augmentation du nombre de menaces "non Windows" qui s'était amorcé a arrêté et le nombre de ces menaces a commencé à diminuer. (Pour rappel, elles représentaient, au deuxième semestre 2007, 4 % du total des menaces.)


    Nombre de nouveaux programmes malveillants et potentiellement indésirables pour diverses plateformes



      2007-2 2008-1 progression 2007% 2008% "+/-"
    Win32 130131 432862 232,60% 96,00% 98,30% -2,27
    Divers 5362 7449 38,90% 4,00% 1,70% 2,27
    Total 135493 440311 225,00%      


      I 2008 II 2007 Croissance
    Acad 6 5 20%
    ALS 1 3 -67%
    ASP 39 135 -71%
    BAT 765 553 38%
    DOS 45 44 2%
    HTML 1103 930 19%
    HWP 1 0 0%
    Ichitaro 1 0 0%
    IIS 1 0 0%
    IRC 51 86 -41%
    J2ME 41 6 583%
    Java 17 25 -32%
    JS 3311 2240 48%
    Linux 28 45 -38%
    Mac 14 33 -58%
    MSAccess 14 4 250%
    MSExcel 94 10 840%
    MSIL 327 31 955%
    MSOffice 7 3 133%
    MSPPoint 42 16 163%
    MSWord 135 83 63%
    Multi 4 11 -64%
    MySQL 1 0 0%
    NSIS 27 17 59%
    OLE2 1 0 0%
    OSX 6 0 0%
    Perl 39 37 5%
    PHP 155 186 -17%
    Python 10 9 11%
    RAR 7 12 -42%
    Ruby 3 5 -40%
    Shell 5 0 0%
    SWF 260 3 8567%
    SymbOS 34 30 13%
    VBS 820 748 10%
    Win16 6 7 -14%
    Win32 432862 130131 233%
    Win9x 5 3 67%
    WinCE 3 0 0%
    WinREG 15 39 -62%
    WMA 5 3 67%
    Total 440311 135493 225%

    Comme on le voit clairement, la croissance du nombre de nouveaux programmes pour divers systèmes d'exploitation varie Voici les modifications les plus marquantes de ces six derniers mois :

    • Les langages de script VBS et JS, qui faisaient partie du groupe de tête l'année dernière, ont enregistré un ralentissement de leur développement en tant que plateforme de virus.
    • Le nombre de programmes malveillants pour J2ME a augmenté de 583 %. Nous avons déjà évoqué l'augmentation du nombre de Trojan-SMS dont la grande majorité fonctionne principalement sur cette plateforme.
    • Le nombre de programmes malveillants présentés sous la forme de fichiers XLS a augmenté de 840 % et en règle générale, ils exploitent les vulnérabilités de MS Excel. Au cours des douze derniers mois, plusieurs dizaines de vulnérabilités de ce genre ont été découvertes et elles ont toutes été largement exploitées par les auteurs de virus, principalement en Chine.
    • Le nombre de programmes pour .NET a augmenté de 955%. Nous nous y attendions depuis longtemps et 2008 marque le début de ce processus. A l'avenir, nous nous attendons à ce que cette plateforme occupe la deuxième place en termes de popularité, loin devant Java Script. Une des particularité de .NET qui est intéressante pour les auteurs de virus, c'est la possibilité d'exécuter des fichiers non seulement sur les ordinateurs Windows mais également sur les appareils nomades qui tournent sous Windows Mobile.
    • Le nombre de programmes malveillants sous les traits de fichiers SWF a augmenté de plus de 8 500 %(!). Cette augmentation trouve son origine dans la découverte d'une vulnérabilité particulièrement dangereuse dans le traitement de ces fichiers. Le milieu criminel informatique a réagi instantanément et a utilisé SWF comme une nouvelle méthode pour livrer les programmes malveillants sur l'ordinateur des victimes. Ainsi, plus de 250 versions de fichiers SWF malveillants sont apparus sur Internet au printemps.

    Nous regroupons tous les systèmes d'exploitation et plateformes attaqués au premier semestre 2008, selon une caractéristique commune, à savoir le système d'exploitation cible de l'attaque. Par exemple JS et VBS sont associés à Windows et Ruby et Perl à *nix, etc.

    Ainsi, *Nix reprend Linux, Perl, PHP, Ruby et Shell ; Mobile réunit J2ME, Symbian, WinCE et Python ; "divers" désigne DOS, IIS, Multi et MySQL ; Mac : OSX et Mac.

      Qté %
    Nix 230 0,052
    Mac 20 0,005
    Mobile 88 0,02
    Divers 51 0,012
    Windows 439922 99,912

    Conclusion

    Le développement des menaces en 2008 se poursuit toujours selon le scénario ébauché en 2007 : les auteurs de virus ne cherchent pas à développer des technologies compliquées et préfèrent la quantité des programmes à leur qualité.

    La croissance des nouvelles menaces est pratiquement « géométrique ».

    Ce processus s'accompagne d'une réduction de la durée de vie des programmes malveillants dans la nature. Sur 1 000 chevaux de Troie découverts en un jour, seuls quelques dizaines continueront à menacer les utilisateurs une semaine ou un mois plus tard. Tous les autres disparaissent petit à petit et sont sans cesse remplacés par de nouvelles versions créées pour contourner les défenses mises en place par les logiciels antivirus.

    Nous pensons que cette hausse marquée du nombre de nouveaux programmes malveillants devra s'arrêter un jour et il n'est pas exclu qu'un ralentissement ou une stabilisation de la croissance soit déjà à l'ordre du jour pour cette année. Les volumes atteints (près de 500 000 nouveaux programmes malveillants en six mois) seront maintenus mais la majorité des éditeurs de logiciels antivirus sera capable de lutter efficacement contre ces problèmes.

    Le secteur de la lutte contre les virus doit résoudre un problème qui diffère quelque peu des problèmes antérieurs. Les efforts doivent se concentrer sur la mise au point d'outils d'identification précoce des menaces et sur leur neutralisation dans les plus brefs délais. Alors que par le passé une vitesse de réaction qui se mesurait en heures, voire en jours, était acceptable, désormais il faut compter en minutes. Dans ce bref laps de temps, les experts de la lutte contre les virus doivent découvrir le nouveau code malveillant sur Internet n'importe où dans le monde, l'analyser, produire un moyen de protection et diffuser celui-ci auprès de l'utilisateur final.

    Source:
    Kaspersky Lab
    Related links
    Analysis
    Bulletin de Kaspersky sur la sécurité en 2012 Cyberarme
    Bulletin de Kaspersky sur la sécurité en 2012 Principales statistiques pour 2012
    Bulletin de Kaspersky sur la securite 2012. Developpement des menaces en 2012
    Développement des menaces informatiques au premier trimestre 2012
    Bulletin de Kaspersky sur la sécurité 2011. Développement des menaces en 2011
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com