Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr    
     
     
Les Analyses les plus Populaires



Evolution des menaces informatiques au 1er trimestre 2014



Cybermenaces financières en 2013. 2e partie : programmes malveillants



BitGuard : un système de recherche forcée



Cyber-menaces financières en 2013. 1ère partie : phishing



Bulletin Kaspersky Lab – prévisions 2014
 
 

  Page d'accueil / Analyses

Aperçu de l'activité virale : Janvier 2011

18.02.2011   |   comment

Vyacheslav Zakorzhevsky

Janvier en chiffres

Voici le bilan de l'activité des logiciels de Kaspersky Lab sur les ordinateurs des utilisateurs :

  • 213 915 256 attaques de réseau ont été déjouées ;
  • 68 956 183 tentatives d'infections via des sites Web ont été bloquées ;
  • 187 234 527 programmes malveillants ont été détectés et neutralisés (tentatives d'infection locale) ;
  • 70 179 070 verdicts heuristiques ont été recensés.

Escroquerie sur Internet

La majorité des programmes malveillants, surtout les plus complexes, dissimulent leur présence dans le système et agissent à l'insu de l'utilisateur. Toutefois, dans le cas de la cyber escroquerie, le plan requiert l'intervention de l'utilisateur. Il est très important de connaître les trucs et astuces que les individus malintentionnés emploient afin de ne pas se laisser prendre au piège.

Cadeaux empoisonnés

Les individus malintentionnés exploitent souvent la popularité d'un service ou d'un produit Internet quelconque. La popularité des logiciels de Kaspersky Lab n'est pas passée inaperçue aux yeux des escrocs, ce qui a été confirmé au mois de janvier.

Nous avons vu apparaître sur Internet des utilitaires qui permettent d'utiliser certains logiciels de Kaspersky Lab sans devoir les activer. Nous les avons détectés en tant que membre de la famille de programmes potentiellement indésirables Kiser. Au mois de janvier, deux représentants de cette famille ont même fait leur entrée dans le Top 20 des verdicts les plus fréquents sur les ordinateurs des utilisateurs (9e et 11e place).

Après les fêtes de fin d'année, nous avons découvert un trojan-dropper sous les traits d'un générateur de clés de licence pour les logiciels de Kaspersky Lab. Ce dropper installe et exécute deux programmes malveillants dangereux sur les ordinateurs de ceux qui cherchent à avoir le beurre et l'argent du beurre. Un de ces programmes vole les données d'enregistrement d'applications et les mots de passe d'accès à des jeux en ligne. La deuxième porte dérobée remplit également les fonctions d'enregistreur de frappes.

Au début du mois de janvier, nos experts ont découvert un faux site de Kaspersky Lab dont l'adresse se différenciait par une seule lettre. Ce site proposait aux internautes de télécharger un « cadeau de Noël », à savoir une version gratuite de Kaspersky Internet Security 2011.

 

Au lieu de KIS2011, c'est le programme malveillant Trojan-Ransom.MSIL.FakeInstaller.e qui était téléchargé et dont l'installation entraînait le redémarrage de l'ordinateur. Après le redémarrage, le cheval de Troie affichait, pour une raison inconnue, une fausse page d'accueil du site du réseau social Odnoklassniki qui annonçait à l'utilisateur qu'il avait gagné le téléphone Samsung Galaxy S au prix de 1 200 roubles (environ 30 euros). Pour confirmer le « gain », il fallait envoyer un SMS à un numéro surfacturé. Une somme définie était retirée du compte de l'utilisateur après l'envoi du SMS et cet utilisateur n'entendait plus jamais parler de son gain.

Nous conseillons aux utilisateurs d'être vigilants et d'utiliser les services et les produits qui sont uniquement proposés sur les sites officiels de notre société.

IE « gratuit » pour 300 roubles

Internet Explorer est une autre application dont la popularité est exploitée par les escrocs. Au mois de janvier, dans l'Internet russophone, des pages proposant aux internautes de « mettre à jour Internet Explorer » ont fait leur apparition. Tout d'abord, il fallait sélectionner les « mises à jour » requises, ensuite l'installation de ces mises à jour était imitée à l'écran, suivie de la demande « d'activer application déjà installée » en envoyant un SMS vers un numéro surfacturé.

 
Extrait de Hoax.HTML.Fraud.e avec la demande d'activation

Après avoir envoyé le SMS payant, l'utilisateur recevait un lien vers le programme d'installation d'Internet Explorer 8, accessible gratuitement pour toutes les personnes intéressées et vers des… « articles sur la sécurité informatique ».

Ces pages frauduleuses sont détectées sous le nom Hoax.HTML.Fraud.e : ce verdict occupe la 17e place du TOP 20 des programmes malveillants sur Internet.

Archives vides

Les fausses archives sont un autre moyen toujours apprécié des escrocs sur Internet pour gagner de l'argent. Ce mois-ci, une nouvelle version de Hoax.Win32.ArchSMS.mvr a fait son entrée directement dans les 2 Top 20 : en 11e position dans le classement des programmes malveillants sur Internet et en 17e position, dans le classement des programmes malveillants découverts sur les ordinateurs des utilisateurs.

Attaques via Twitter

Dans la synthèse du mois passé, nous évoquions la diffusion, via Twitter, de liens introduits via le service goo.gl. Au milieu du mois de janvier, la diffusion massive de liens malveillants s'est poursuivie. Tout comme au mois de décembre, quand l'utilisateur cliquait sur le lien, il arrivait, après plusieurs redirection, sur la page d'un « antivirus en ligne ». Ce faux antivirus suivait le même scénario qu'au mois de décembre : une fenêtre, évoquant la fenêtre Poste de travail, s'ouvrait, l'analyse de l'ordinateur était imitée et à l'issue de celle-ci, l'utilisateur était invité à payer pour la suppression des programmes malveillants « détectés ».

Logiciels publicitaires

La diffusion des logiciels publicitaires est toujours aussi active. À la 12e place du classement des programmes malveillants sur Internet, nous retrouvons AdWare.Win32.WhiteSmoke.a qui ajoute le raccourci « Improve your PC » (améliorer votre PC) sur le Bureau de l'ordinateur à l'insu de l'utilisateur. Une fois que l'utilisateur a cliqué sur ce raccourci, une page proposant de « supprimer les erreurs dans l'ordinateur » s'ouvre. Si le propriétaire de l'ordinateur accepte la proposition, l'application RegistryBooster2011 est installée sur l'ordinateur. Elle analyse celui-ci et demande à l'utilisateur de payer pour supprimer les erreurs détectées.

 
RegistryBooster 2011 à l'action

Le composant du populaire logiciel de publicité FunWeb Hoax.Win32.ScreenSaver.b fait son entrée en 4e position directement pour la première fois dans le TOP 20 des programmes malveillants bloqués sur les ordinateurs des utilisateurs. Pour rappel, FunWeb est une des familles répandues de logiciels publicitaires dont les représentants apparaissent régulièrement au fil de l'année dans le classement des programmes malveillants les plus fréquents. Ces logiciels publicitaires sont surtout présents dans les pays anglo-saxons : États-Unis, Canada, Grande-Bretagne, ainsi qu'en Inde.

 

Vulnérabilités et mises à jour

Une fois de plus, nous appelons les utilisateurs à ne pas négliger les mises à jour critiques. Dans le Top 20 des menaces les plus répandues bloquées sur les ordinateurs des utilisateurs, nous retrouvons au mois de janvier Exploit.JS.Agent.bbk (20e position) qui exploite la vulnérabilité CVE-2010-0806. Bien que cette vulnérabilité ait été corrigée dès la fin du mois de mars 2010 (le correctif est accessible via www.microsoft.com/rus/technet/security/bulletin/ms10-018.mspx), elle est exploitée par Agent.bbk et par d'autres programmes malveillants du TOP 20 (6e et 13e position). Cela signifie que la vulnérabilité dans l'application est toujours présente sur une multitude d'ordinateurs et qu'elle est exploitée avec efficacité par les individus malintentionnés.

Téléchargement de fichiers malveillants à l'aide de programmes malveillants Java

Le téléchargement de fichiers malveillants à l'aide de programmes malveillants Java via la méthode OpenConnection, utilisée au début par les individus malintentionnés en octobre de l'année passée, est une des méthodes de téléchargement les plus répandues. Deux nouveaux membres de la famille Trojan-Downloader.Java.OpenConnection ont fait leur entrée dans le Top 20 du mois de janvier des programmes malveillants sur Internet (9e et 20e position).

 
Dynamique de la détection de Trojan-Downloader.Java.OpenConnection (nombre
d'utilisateurs uniques) : octobre-janvier 2011

Nous tenons à signaler que si l'utilisateur possède les versions les plus récentes du JRE (moteur de Java), un avertissement signalera l'exécution d'un applet Java dangereux. Il suffit alors de refuser l'exécution pour empêcher l'infection de l'ordinateur.

Programmes malfaisants complexes : nouveau ver de messagerie

Le nouveau ver de messagerie Email-Worm.Win32.Hlux est apparu au mois de janvier. Il se diffuse à l' aide de messages qui indiquent à l'utilisateur qu'il a reçu une carte de félicitations, électronique et contient un lien vers une page proposant d'installer Flash Player pour une bonne représentation de la carte. Le lien ouvre une boîte de dialogue qui demande à l'utilisateur d'accepter ou non le téléchargement d'un fichier. Quelle que soit la réponse de l'utilisateur, le ver tente de s'introduire dans l'ordinateur : dans les cinq secondes qui suivent l'ouverture de la boîte de dialogue, l'utilisateur est redirigé vers une page contenant un ensemble de codes d'exploitation ainsi que des programmes de la famille Trojan-Downloader.Java.OpenConnection, qui commencent à télécharger Hlux sur l'ordinateur.

Le ver, outre la capacité de se propager automatiquement via courrier électronique, remplit la fonction de bot et intègre l'ordinateur infecté dans un réseau de zombies. Hlux établit la connexion avec le centre de commande du réseau de zombies et exécute les instructions de celui-ci, à savoir la diffusion de courrier indésirable faisant la publicité de médicaments. Le bot communique avec le centre de commande via les serveurs proxy du réseau de type fast-flux. Si l'ordinateur infecté possède une adresse IP externe, alors il peut être utilisé en tant que maillon du réseau de type fast-flux. Grâce au nombre élevé d'ordinateurs infectés, les individus malintentionnés peuvent changer très souvent l'adresse IP des domaines dans lesquels se trouvent les centres de commande du réseau de zombies.

 
Fréquence de modification des adresses IP des domaines des centres
de commande des réseaux de zombies Hlux.

Trojan-SMS : encore une méthode pour voler de l'argent

En janvier , les individus malintentionnés ont commencé à utiliser une nouvelle méthode d'extorsion d'argent de propriétaires de téléphones portables. Le nouveau cheval de Troie Trojan-SMS.J2ME.Smmer.f se diffuse via la méthode standard pour les programmes malveillants Java, à savoir via des SMS contenant un lien vers une « carte virtuelle ». Une fois installé sur le téléphone, le cheval de Troie envoie un SMS à deux numéros surfacturés différents. Le SMS vers ces numéros est gratuit. Comment les individus malintentionnés gagnent-ils leur argent ? Le fait est que les deux numéros sont utilisés par un des opérateurs de téléphonie mobile pour transférer de l'argent d'un compte à un autre. Le premier message envoyé par le cheval de Troie indique la somme qui sera retirée du compte de l'utilisateur du téléphone infecté (200 roubles, soit environ 5 euros) ainsi que le numéro utilisé par les escrocs pour obtenir l'argent. Le deuxième message est envoyé pour confirmer le transfert.

Nous avions déjà rencontré ce type d'escroquerie il y a deux ans. Elle avait touché principalement les utilisateurs en Indonésie. Elle fait désormais partie de l'arsenal des escrocs en Russie.

TOP 20 des programmes malveillants sur Internet

Rang Evolution Programme malveillant Nombre d'attaques uniques *
1   0 AdWare.Win32.HotBar.dh   169173  
2   0 Trojan-Downloader.Java.OpenConnection.cf   165576  
3   New Exploit.HTML.CVE-2010-1885.aa   140474  
4   New AdWare.Win32.FunWeb.gq   114022  
5   -2 Trojan.HTML.Iframe.dl   112239  
6   New Trojan.JS.Redirector.os   83291  
7   7 Trojan-Clicker.JS.Agent.op   82793  
8   -4 Trojan.JS.Popupper.aw   80981  
9   New Trojan-Downloader.Java.OpenConnection.cg   66005  
10   2 Trojan.JS.Agent.bhr   53698  
11   New Hoax.Win32.ArchSMS.mvr   47251  
12   New AdWare.Win32.WhiteSmoke.a   44889  
13   5 Trojan.JS.Fraud.ba   44561  
14   -4 Exploit.JS.Agent.bab   42800  
15   -7 Trojan.JS.Redirector.lc   42231  
16   -8 Exploit.Java.CVE-2010-0886.a   41232  
17   New Hoax.HTML.Fraud.e   37658  
18   New Trojan-Clicker.JS.Agent.om   36634  
19   -6 Trojan-Downloader.JS.Small.os   35857  
20   New Trojan-Downloader.Java.OpenConnection.cx   35629  

*Total des incidents uniques enregistrés par l'Antivirus Internet sur les ordinateurs des utilisateurs.


Top 20 des programmes malveillants découverts sur les ordinateurs des utilisateurs


Rang Evolution Programme malveillant Nombre d'utilisateurs uniques*
1   0 Net-Worm.Win32.Kido.ir   466686  
2   1 Virus.Win32.Sality.aa   210635  
3   -1 Net-Worm.Win32.Kido.ih   171640  
4   New Hoax.Win32.Screensaver.b   135083  
5   0 AdWare.Win32.HotBar.dh   134649  
6   -2 Trojan.JS.Agent.bhr   131466  
7   -1 Virus.Win32.Sality.bh   128206  
8   -1 Virus.Win32.Virut.ce   114286  
9   New HackTool.Win32.Kiser.zv   104673  
10   -2 Packed.Win32.Katusha.o   90870  
11   New HackTool.Win32.Kiser.il   90499  
12   -2 Worm.Win32.FlyStudio.cu   85184  
13   -1 Exploit.JS.Agent.bab   77302  
14   -1 Trojan-Downloader.Win32.Geral.cnh   62426  
15   -1 Trojan-Downloader.Win32.VB.eql   58715  
16   0 Worm.Win32.Mabezat.b   58579  
17   New Hoax.Win32.ArchSMS.mvr   50981  
18   -1 Packed.Win32.Klone.bq   50185  
19   Returned Worm.Win32.Autoit.xl   43454  
20   New Exploit.JS.Agent.bbk   41193  

*Nombre d'utilisateurs uniques sur l'ordinateur desquels l'antivirus a détecté des objets

Source:
Kaspersky Lab
Related links
Analysis
Statistiques mensuelles sur les programmes malveillants : avril 2012
Aperçu de l'activité virale, mars 2012
Aperçu de l'activité virale, février 2012
Aperçu de l'activité virale, novembre 2011
Aperçu de l'activité virale, octobre 2011
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com