Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
Oct    
Les Analyses les plus Populaires



Rapport de Kaspersky Lab sur les cybermenaces mobiles : les attaques visant Android sous stéroïdes



Courrier indésirable en août 2014



PAC et la problématique de la configuration automatique



10 astuces simples pour renforcer la sécurité de votre Mac



Enquête sur un incident : vol dans une banque électronique
 
 

  Page d'accueil / Analyses

Classement des programmes malveillants - septembre 2010

6.10.2010   |   comment

Vyacheslav Zakorzhevsky

Kaspersky Lab présente les classements des programmes malveillants du mois de septembre 2010.

Un nombre relativement faible de nouveaux programmes malveillants a fait son entrée dans les deux classements. Il convient toutefois de remarquer l'arrivée d'un nouveau « kit » : Trojan-Dropper.Win32.Sality.cx installe Virus.Win32.Sality.bh sur l'ordinateur. Le dropper se propage via une vulnérabilité dans les fichiers WinLNK (raccourcis). Notez par ailleurs le recul marqué du nombre de codes d'exploitation de la vulnérabilité CVE-2010-1885 du Centre d'aide et de support Windows très utilisée au mois d'août. Le mois de septembre se distingue également par le fait que le nombre de codes d'exploitation dans le Top 20 des programmes malveillants sur Internet est égal au nombre de logiciels publicitaires (7).

Les deux classements ne reprennent pas les données de la détection heuristique qui permet d'identifier,à l'heure actuelle, de 25 à 30 % de tous les programmes malveillants détectables. Nous avons l'intention à l'avenir de présenter des données plus détaillées sur les résultats de l'analyse heuristique.

Programmes malveillants découverts sur les ordinateurs des utilisateurs

Le premier tableau reprend les programmes malveillants et potentiellement indésirables découverts et neutralisés sur les ordinateurs des utilisateurs.


Rang Évolution Programme malveillant Nombre d'ordinateurs infectés
1   0 Net-Worm.Win32.Kido.ir   371564  
2   0 Virus.Win32.Sality.aa   166100  
3   0 Net-Worm.Win32.Kido.ih   150399  
4   1 Trojan.JS.Agent.bhr   95226  
5   1 Exploit.JS.Agent.bab   81681  
6   1 Worm.Win32.FlyStudio.cu   80829  
7   1 Virus.Win32.Virut.ce   76155  
8   -4 Net-Worm.Win32.Kido.iq   65730  
9   0 Exploit.Win32.CVE-2010-2568.d   59562  
10   0 Trojan-Downloader.Win32.VB.eql   53782  
11   new Virus.Win32.Sality.bh   44614  
12   0 Exploit.Win32.CVE-2010-2568.b   43665  
13   return Worm.Win32.Autoit.xl   40065  
14   -1 Worm.Win32.Mabezat.b   39239  
15   new Packed.Win32.Katusha.o   39051  
16   new Trojan-Dropper.Win32.Sality.cx   38150  
17   -3 Worm.Win32.VBNA.b   37236  
18   new P2P-Worm.Win32.Palevo.avag   36503  
19   -4 AdWare.WinLNK.Agent.a   32935  
20   return Trojan-Downloader.Win32.Geral.cnh   31997  

Au cours du mois dernier, quatre nouveaux programmes ont fait leur entrée dans le classement. Deux d'entre eux avaient déjà fait des apparitions dans des classements antérieurs.

Le Top 10 du classement n'a pas connu de grands bouleversements, si ce n'est le recul de la 4e à la 8e place d'une des modifications du ver de réseau Kido, à savoir la version « iq ».

Deux codes d'exploitation, Exploit.Win32.CVE-2010-2568.d (9e place) et Exploit.Win32.CVE-2010-2568.b (12e place), qui visent la vulnérabilité CVE-2010-2568 dans les raccourcis des systèmes d'exploitation Windows, ont maintenu leur position. Toutefois, le programme malveillant qui exploite activement ces codes d'exploitation a changé. Alors qu'il s'agissait de Trojan-Dropper.Win32.Sality.r dans le classement du mois d'août, il s'agit maintenant d'un représentant plus récent de cette même famille : Sality.cx (16e place). Sa structure évoque la modification « r », mais lorsqu'il est exécuté sur l'ordinateur infecté, il installe non pas Virus.Win32.Sality.ag, comme au mois d'août, mais une nouvelle modification du virus Sality.bh (11e place). Ainsi, un nouveau représentant de la famille du virus polymorphe Sality se propage à l'aide de codes d'exploitation de la vulnérabilité CVE-2010-2568. Nous tenons à signaler que le dropper de Sality.cx contient une URL avec des mots en russe. Cela peut vouloir dire que ses auteurs sont russophones.

 
Extrait de Trojan-Dropper.Win32.Sality.cx contenant un lien avec des mots en russe

La répartition géographique du nouveau dropper Sality.cx est identique à la répartition de Trojan-Dropper.Win32.Sality.r le mois dernier. Les leaders en terme de création sont l'Inde, le Viet-Nam et la Russie. Selon toute vraisemblance, la propagation de cette famille est étroitement liée au code d'exploitation CVE-2010-2568 dont la répartition correspond à ce qui été présenté ci-dessus.

 
Diffusion de Trojan-Dropper.Win32.Sality.cx

Packed.Win32.Katusha.o est un nouveau programme malveillant de la famille des compacteurs qui a fait son entrée en 15e place dans le classement du mois de septembre. Nous avions rencontré dans les classements antérieurs d'autres représentants de la famille Katusha, mais les auteurs de ce programme malveillant travaillent toujours à la création de nouvelles modifications du compacteur afin de déjouer sa détection par les logiciels antivirus. Un autre compacteur, à savoir Worm.Win32.VBNA.b (17e place) a cédé un peu de terrain, mais se maintient malgré tout dans le classement du mois de septembre.

Depuis le mois de mai, nous voyons apparaître chaque mois dans le classement une nouvelle version du ver P2P-Worm.Win32.Palevo qui se propage principalement via les réseaux Peer-To-Peer. En septembre, il s'agissait de la modification Palevo.avag (18e place). Deux vers, Worm.Win32.AutoIt.xl (13e place) et Trojan-Downloader.Win32.Geral.cnh (20e place), ont à nouveau fait leur entrée dans le Top 20. Leur dernière apparition dans le classement remonte à juillet et de mai respectivement. Deux autres programmes que nous avions recensés dans des classements antérieurs, à savoir Worm.Win32.Mabezat.b (14e place) et AdWare.WinLNK.Agent.a (19e place) ont enregistré un léger recul.

Programmes malveillants sur Internet

Le deuxième tableau décrit la situation sur Internet. Ce classement reprend les programmes malveillants découverts dans les pages Web ainsi que les programmes malveillants qui ont tenté de se télécharger depuis les pages Web sur les ordinateurs des utilisateurs.


Rang Évolution Programme malveillant Nombre de tentatives uniques de téléchargement
1   1 Exploit.JS.Agent.bab   127123  
2   -1 Trojan-Downloader.Java.Agent.ft   122752  
3   14 Exploit.HTML.CVE-2010-1885.d   75422  
4   3 AdWare.Win32.FunWeb.di   61515  
5   0 AdWare.Win32.FunWeb.ds   56754  
6   -2 Trojan.JS.Agent.bhr   51398  
7   new Exploit.SWF.Agent.du   43076  
8   3 Trojan-Downloader.VBS.Agent.zs   42021  
9   new AdWare.Win32.FunWeb.ge   41986  
10   9 AdWare.Win32.FunWeb.fb   37992  
11   -1 Exploit.Java.CVE-2010-0886.a   37707  
12   new Trojan-Downloader.Java.Agent.gr   36726  
13   -5 AdWare.Win32.FunWeb.q   31886  
14   2 Exploit.JS.Pdfka.cop   29025  
15   3 Exploit.JS.CVE-2010-0806.b   28366  
16   -2 AdWare.Win32.FunWeb.ci   26254  
17   new Trojan-Downloader.Java.OpenStream.ap   21592  
18   return AdWare.Win32.Boran.z   20639  
19   new Trojan-Clicker.HTML.IFrame.fh   19799  
20   new Exploit.Win32.Pidief.ddd   19167  

Le classement du mois de septembre des programmes malveillants présents sur Internet diffère beaucoup des classements antérieurs : il ne compte que 6 nouvelles entrées. Normalement, le nombre de nouveautés est bien plus élevé.

Commençons par sept codes d'exploitation présents dans le classement. Exploit.JS.Agent.bab (1re place), Trojan.JS.Agent.bhr (6e place) et Exploit.JS.CVE-2010-0806.b (15e place) exploitent la vulnérabilité CVE-2010-0806 et cela fait plusieurs mois maintenant qu'ils occupent le haut du classement. Tout indique que cette vulnérabilité dans Internet Explorer va être exploitée par les cybercriminels pendant longtemps encore. Le nombre de codes d'exploitation pour la vulnérabilité CVE-2010-1885 est en recul et est passé de cinq au mois d'août à un seul au mois de septembre : Exploit.HTML.CVE-2010-1885.d (3e position). Trojan-Downloader.Java.Agent.ft (2e place) et Trojan-Downloader.Java.Agent.gr (12e place) sont deux autres codes d'exploitation dans le classement qui visent une vulnérabilité de la fonction getSoundBank(). Et Exploit.Java.CVE-2010-0886.a (11e place), le dernier représentant des codes d'exploitation, figure dans chaque classement depuis le mois de mai.

Pour la première fois, au mois de septembre, le nombre de codes d'exploitation était égal à celui des logiciels publicitaires. Sept logiciels publicitaires apparaissent dans le Top 20, dont FunWeb. ge (9e place) qui n'avait jamais figuré au classement. Le reste avait déjà fait une apparition dans les classements antérieurs : FunWeb.di (4e place, FunWeb.ds (5e place), FunWeb.fb (10e place), FunWeb.q (13e place), FunWeb.ci (16e place) et Boran.z (18e place) présent dans le classement du mois de juillet.

Penchons-nous maintenant sur les nouveautés du Top 20 du mois de septembre. Le programme malveillant Exploit.SWF.Agent.du (7e place), qui est un fichier Flash vulnérable, est très intéressant. Avant lui, nous avions rarement observé l'exploitation des vulnérabilités dans la technologie Flash. Le nouveau représentant de la catégorie Trojan-Downloader, Trojan-Downloader.Java.OpenStream.ap (17e position), utilise les classes standard du langage Java pour télécharger un objet malveillant. L'obfuscation est employée dans la création de cette application.

 
Extrait de Trojan-Downloader.Java.OpenStream.ap

La capture d'écran montre les caractères répétés qui n'ont aucune utilité, si ce n'est empêcher la détection par le logiciel antivirus.

L'autre nouveauté, Trojan-Clicker.HTML.IFrame.fh (19e), est une simple page HTML dont la tâche consiste à assurer l'accès à un lien malveillant.

Le programme malveillant Exploit.Win32.Pidief.ddd qui occupe la 20e place est très intriguant. Il s'agit d'un fichier PDF qui renferme un script qui exécute la commande d'écriture d'un script VBS sur le disque dur et qui affiche le message « This file is encrypted. If you want to decrypt and read this file press "Open" » (Ce fichier est crypté. Si vous voulez le déchiffrer et le lire, cliquez sur "Ouvrir" ». Ensuite, ce script Visual Basic s'exécute et commence à télécharger un autre script malveillant. La capture d'écran ci-dessous présente un extrait du fichier PDF malveillant avec une partie du script et cette phrase.

 
Extrait du programme malveillant Exploit.Win32.Pidief.ddd

Stuxnet

Avant de tirer les conclusions pour ce mois, il faut citer le ver Stuxnet, même s'il n'est pas entré dans le Top 20 en raison de sa spécialisation très étroite.

La presse a beaucoup parlé de Stuxnet au mois de septembre, même si sa découverte remonte au début du mois de juillet. Pour rappel, ce programme malveillant exploite quatre vulnérabilités zero-day et utilise deux certificats authentiques des sociétés Realtek et JMicron. Toutefois, la particularité de Stuxnet qui lui a valu tant d'attention, c'est son objectif. La principale tâche de ce programme malveillant n'est pas la diffusion de messages non sollicités ou le vol des données confidentielles de l'utilisateur, mais bien le contrôle des systèmes industriels. Il s'agit d'un programme de nouvelle génération dont l'émergence relance le débat du cyberterrorisme et de la cyberguerre.

L'Inde, l'Indonésie et l'Iran ont été les principaux pays victimes de ce programme malveillant. Voici une carte illustrant la propagation de Stuxnet à la fin du mois de septembre :

 

Source:
Kaspersky Lab
Related links
Analysis
Statistiques mensuelles sur les programmes malveillants : avril 2012
Aperçu de l'activité virale, mars 2012
Aperçu de l'activité virale, février 2012
Aperçu de l'activité virale, novembre 2011
Aperçu de l'activité virale, octobre 2011
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com