Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
     
Les Analyses les plus Populaires



Les prédateurs sur Internet



Enquête sur un incident : vol dans une banque électronique



Courrier indésirable en juillet 2014



Livraison des diffuseurs de spam : danger garanti



IoT : comment j'ai piraté ma maison
 
 

  Page d'accueil / Analyses

Aperçu de l'activité virale en juin 2011

22.07.2011   |   comments (1)

Vyacheslav Zakorzhevsky

Voici le bilan de l'activité des logiciels de Kaspersky Lab sur les ordinateurs des utilisateurs :

  • 249 345 057 attaques de réseau ont été déjouées ;
  • 68 894 639 tentatives d'infection via des sites Web ont été bloquées ;
  • 216 177 223 programmes malveillants ont été détectés et neutralisés (tentatives d'infection locale) ;
  • 83 601 457 détections virales ont été recensées.

Evénements marquants du mois :

Le premier mois de l'été a été relativement calme : aucun événement marquant ne s'est produit. L'activité cybercriminelle du mois de juin peut être considérée comme « classique ». Dans les pays en voie de développement, les individus malintentionnés ont exploité le manque de connaissances des utilisateurs en matière de sécurité informatique pour diffuser leurs programmes. Dans les pays développés, ce sont les programmes malveillants chargés d'obtenir les informations et l'argent des utilisateurs qui ont été les plus répandus. Les programmes malveillants de type banker ont comme toujours été diffusés au Brésil tandis qu'en Russie, ce sont des programmes malveillants plus traditionnels qui ont été exploités dans le cadre d’escroqueries diverses.

Ces derniers temps, on évoque beaucoup les services de « cloud computing » proposés par de nombreuses sociétés. En juin, le service de cloud computing du réseau Amazon a été exploité par des individus malintentionnés pour héberger et diffuser un programme malveillant. Il visait les internautes brésiliens dont il devait voler les données dans 9 banques du pays. Pour améliorer ses chances de réussite, le programme malveillant bloque le fonctionnement des logiciels antivirus et des modules externes spéciaux qui garantissent la sécurité des services de transaction bancaire en ligne. Ses fonctions incluent également le vol de certificats chiffrés et d’informations d'identifications pour Microsoft Live Messenger.

En plus des fausses archives typiques et des chevaux de Troie qui exigent l'envoi d'un SMS à un numéro surtaxé pour débloquer les données, les escrocs russes ont tenté d’utiliser le système d'argent virtuel BitCoins afin d’en tirer profit. Dans le cadre de ce système, pour émettre de l'argent, il suffit simplement d'exploiter la puissance du processeur pendant une période définie. Les experts de Kaspersky Lab ont découvert un programme malveillant qui, pour créer la cyberdevise, lance le fichier légitime bcm.exe de BitCoins sur l'ordinateur des victimes. Ce fichier est intégré au programme malveillant et s'enregistre sur le disque dur après le lancement. Dans la mesure où les administrateurs du site réussissent rapidement à bloquer le compte de l'individu malintentionné où l'argent « gagné » était envoyé, l'escroc n’a en général pas le temps de faire fortune.

Les individus malintentionnés ne laissent pas la plateforme Mac OS X de coté. Alors qu'en mai, de faux antivirus pour cette plateforme avaient été détectés, les escrocs diffusent maintenant la porte dérobée Backdoor.OSX.Olyx.a Ce programme malveillant a été développé pour l'administration à distance des ordinateurs : les individus malintentionnés peuvent utiliser le système infecté à leur fins, qu'il s'agisse de télécharger d'autres programmes malveillants, de lancer une application ou d'exécuter un interprète d'instructions.

Le mois de juin aura été marqué par plusieurs victoires dans la lutte des autorités judiciaires contre la cybercriminalité, et ce dans plusieurs pays. Dans de nombreux cas, ces réussites sont le fruit d'une coopération entre ces autorités. Ainsi, aux Etats-Unis, c'est l'activité criminelle de deux groupes internationaux spécialisés dans la vente de faux antivirus qui a été démantelée. D'après les premières estimations, ces groupes ont provoqué des dommages à hauteur de 74 millions de dollars. Cette opération a impliqué les autorités américaines, allemandes, françaises, hollandaises, suédoises, anglaises, roumaines, canadiennes, ukrainiennes, lituaniennes, lettonnes et chypriotes. Près de 600 personnes soupçonnées d'escroquerie sur Internet ont été arrêtées dans plusieurs pays d'Asie du Sud-Est. L'opération s'est déroulée avec la participation des polices chinoise, taïwanaise, cambodgienne, indonésienne, malaise et thaïlandaise. Les autorités russes ont arrêté Pavel Vrubliovsky, propriétaire de ChronoPay, le plus important centre de traitement de Russie, ce dernier étant accusé d'avoir organisé des attaques DDoS et offert les services associés. Il convient de citer un autre événement important en matière de lutte contre la cybercriminalité sur le plan législatif : le parlement japonais a adopté en juin plusieurs amendements aux lois existantes qui prévoient des peines d'emprisonnement pour la création et la diffusion de programmes malveillants.

Classement des programmes malveillants

A l'instar des mois précédents, le Top 20 des programmes malveillants du mois de juin sur Internet compte de nombreuses nouveautés tandis que le classement des programmes malveillants détectés sur les ordinateurs des utilisateurs n'a pratiquement pas changé.

Programmes malveillants sur Internet

Le Top 20 des programmes malveillants sur Internet est toujours dominé par des programmes utilisés pour réaliser des attaques par téléchargement à la dérobée : redirigeurs, téléchargeurs de scripts et codes d'exploitation. Ces programmes malveillants occupent 14 des 20 places du classement.

Redirigeurs

Le Top 20 compte quatre redirigeurs : Trojan-Downloader.JS.Agent.fzn (12ème position), Trojan-Downloader.JS.Agent.gay (13e position), Trojan-Downloader.JS.IFrame.cfw (14ème position) et Trojan.JS.IFrame.tm (15ème position).

Alors que les deux derniers peuvent être considérés comme primitifs et qu'ils se contentent d'utiliser une balise “<iframe>” pour rediriger l'internaute vers les pages des individus malintentionnés, les deux premiers exploitent une technique plus sophistiquée. Outre le fait qu'ils infectent des fichiers js légitimes, ils entraînent également le téléchargement d'un autres script JavaScript, même si cela se produit uniquement en cas d'événement de type “mousemove” de l'objet“window” (à savoir, quand le curseur de la souris se déplace dans les limites de la fenêtre active). Il semblerait que cette technique a été développée pour déjouer certains sandboxs (bacs à sable) et autres émulateurs.

 
Extrait de script infecté par Trojan-Downloader.JS.Agent.gay

Téléchargeurs

Les téléchageurs de script apparaissent dans le classement en deux groupes. Premier groupe : Trojan.JS.Redirector.pz (5eme position), Trojan.JS.Redirector.qa (7ème position), Trojan.JS.Redirector.py (8ème position) et Trojan.JS.Redirector.qb (9ème position). Deuxième groupe : Trojan-Downloader.JS.Agent.gbj (11e position) et Trojan-Downloader.JS.Agent.gaf (19e position).

L'ensemble de ces téléchargeurs utilise des balises HTML pour conserver les données du script dans le champ “alt” de la balise“<img>” pour le premier groupe et dans la balise “<div>” pour le deuxième groupe. Cette méthode vise probablement à contourner divers émulateurs et sandboxs qui n'offrent pas une intégration suffisante de JavaScript et HTML. Pour les codes d'exploitation Java, ces téléchargeurs utilisent les vulnérabilités CVE-2010-4452 et CVE-2010-0886. Pour s'intégrer aux documents PDF ou aux pages HTLM, c'est la balise “iframe” qui est utilisée tandis que le téléchargement et l'exécution du fichier EXE reposent sur l'exploitation d'anciennes vulnérabilités dans les applications Microsoft : Adodb.Stream et MDAC, que de nombreux utilisateurs, semble-t-il, n'ont pas encore corrigées à l'aide des correctifs.

 
Extrait du téléchargeur malveillant Trojan.JS.Redirector.qa

Codes d'exploitation

Il est intéressant de remarquer l'entrée dans le classement du code d'exploitation Trojan-Downloader.SWF.Small.dj (20ème position) dans les fichiers SWF. Il sert à masquer le lancement d'un autre fichier SWF malveillant qui se trouve dans le même répertoire, sur le serveur.

Deux codes d'exploitation pour fichier PDF, à savoir Exploit.JS.Pdfka.dyi (16ème position) et Exploit.JS.Pdfka.duj (17ème position) utilisent la vulnérabilité CVE-2010-1885 du format TIFF. Dans les fichiers PDF, les individus malintentionnés placent le code d'exploitation à l’intérieur de plusieurs objets pour compliquer l'analyse. L’un des objets contient le début du script JavaScript, un deuxième contient la fin tandis qu'un troisième abrite la partie principale. Le code est également obfusqué : tous les noms des variables sont aléatoires et une partie des noms des objets et des fonctions est formée au hasard.


Extrait du script JavaScript Exploit.JS.Pdfka.duj obfusqué

Le dernier code d'exploitation à faire son entrée au Top 20 en juin est Exploit.HTML.CVE-2010-4452.bc (10ème position). Il utilise la vulnérabilité élémentaire CVE-2010-4452 pour télécharger et lancer un code d'exploitation Java en transmettant les paramètres spéciaux à l'applet Java via la balise “<param>”. Les individus malintentionnés ont décidé de masquer Exploit.HTML.CVE-2010-4452.bc : la majorité des caractères dans les balises “<param>” sont remplacés par une série “&#number”, tandis que la casse est modifiée pour les autres caractères.

 
Code d'exploitation Exploit.HTML.CVE-2010-4452.bc

Programmes malveillants sur les ordinateurs des utilisateurs

Comme nous l'avons dit plus haut, le classement des programmes malveillants découverts sur les ordinateurs des utilisateurs n'a que très peu changé. Toutefois, aux côtés des habitués du Top 20, nous retrouvons un représentant inhabituel des programmes malveillants : le virus Virus.Win32.Nimnul.a.

Nimnul

Ce programme malveillant est apparu pour la première fois dans le Top 20 en mai et est passé en deux mois de la 20ème à la 11ème position. Ceci est particulièrement étonnant car les virus de fichiers ont tendance à disparaître. A l'heure actuelle, les individus malintentionnés préfèrent les programmes malveillants protégés par des compacteurs (ce qui garantit l'unicité du programme malveillant compacté). Il n'est tout simplement plus rentable d'utiliser des virus de fichiers : leur développement et leur maintenance sont compliqués et ils sont relativement faciles à détecter dans le système.

Le virus Nimnul.a infecte les fichiers exécutables en ajoutant la section « .text » et en modifiant le point d'entrée. Après avoir été exécuté, tout fichier infecté recherche la présence de l'identificateur unique du virus dans le système d'exploitation (Mutex). La présence de l'objet Mutex signifie qu'un autre fichier infecté a déjà été lancé dans le système. Dans ce cas, le virus se contente de lancer l'application d'origine. Si le code Mutex est introuvable, un objet de synchronisation est créé puis la partie principale du composant Nimnul est placée sur le disque. Ce composant enregistre sur le disque quelques autres fichiers malveillants.

Le programme malveillant vole les fichiers de configuration personnelle de navigateurs populaires, établit une connexion à un serveur à distance et est en mesure de remplacer les pages Web.

Ce virus se propage via les supports amovibles à l'aide d'autorun.inf et de fichiers infectés. La région où se manifeste ce virus est intéressante : Inde, Indonésie, Bangladesh et Viet Nam. Ces pays comptent le plus grand nombre de participants au KSN sur les ordinateurs où ce programme malveillant a été détecté : Bangladesh : 85,76%, Inde : 65,27%, Indonésie : 59,51% et Viet Nam : 54,16%. De toute évidence les utilisateurs dans ces pays ne sont pas assez attentifs aux questions de sécurité informatique et ils utilisent des versions de Windows qui ne sont pas à jour. Et pourtant, la société Microsoft avait, dès le 8 février 2011, diffusé des mises à jour qui désactivaient l'exécution automatique depuis des supports amovibles.

 

TOP 20 des programmes malveillants sur Internet

Classement actuel Écart Verdict
1   2 AdWare.Win32.FunWeb.kd  
2   4 Trojan-Downloader.JS.Agent.fxq  
3   2 AdWare.Win32.FunWeb.jp  
4   -2 Trojan.JS.Popupper.aw  
5   New Trojan.JS.Redirector.pz  
6   5 Trojan.HTML.Iframe.dl  
7   New Trojan.JS.Redirector.qa  
8   New Trojan.JS.Redirector.py  
9   New Trojan.JS.Redirector.qb  
10   New Exploit.HTML.CVE-2010-4452.bc  
11   New Trojan-Downloader.JS.Agent.gbj  
12   New Trojan-Downloader.JS.Agent.fzn  
13   New Trojan-Downloader.JS.Agent.gay  
14   New Trojan-Downloader.JS.Iframe.cfw  
15   New Trojan.JS.Iframe.tm  
16   New Exploit.JS.Pdfka.dyi  
17   New Exploit.JS.Pdfka.duj  
18   New Trojan-Ransom.JS.SMSer.id  
19   New Trojan-Downloader.JS.Agent.gaf  
20   -1 Hoax.Win32.Screensaver.b  

Top 20 des programmes malveillants découverts sur les ordinateurs des utilisateurs

Classement actuel Écart Verdict
1   0 Net-Worm.Win32.Kido.ir  
2   2 AdWare.Win32.FunWeb.kd  
3   -1 Virus.Win32.Sality.aa  
4   -1 Net-Worm.Win32.Kido.ih  
5   0 Trojan.Win32.Starter.yy  
6   0 Virus.Win32.Sality.bh  
7   1 Virus.Win32.Sality.ag  
8   -1 Trojan-Downloader.Win32.Geral.cnh  
9   0 HackTool.Win32.Kiser.il  
10   Return AdWare.Win32.HotBar.dh  
11   1 Virus.Win32.Nimnul.a  
12   -2 Trojan-Downloader.Win32.FlyStudio.kx  
13   5 Trojan.JS.Agent.bhr  
14   0 Worm.Win32.FlyStudio.cu  
15   1 Worm.Win32.Mabezat.b  
16   -3 HackTool.Win32.Kiser.zv  
17   0 Hoax.Win32.Screensaver.b  
18   1 Trojan-Downloader.Win32.VB.eql  
19   -4 Hoax.Win32.ArchSMS.pxm  
20   New Trojan-Downloader.SWF.Small.dj  
Source:
Kaspersky Lab
Related links
Analysis
Statistiques mensuelles sur les programmes malveillants : avril 2012
Aperçu de l'activité virale, mars 2012
Aperçu de l'activité virale, février 2012
Aperçu de l'activité virale, novembre 2011
Aperçu de l'activité virale, octobre 2011
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com