Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr    
     
     
Les Analyses les plus Populaires



Cybermenaces financières en 2013. 2e partie : programmes malveillants



BitGuard : un système de recherche forcée



Evolution des menaces informatiques au 1er trimestre 2014



Cyber-menaces financières en 2013. 1ère partie : phishing



Bulletin Kaspersky Lab – prévisions 2014
 
 

  Page d'accueil / Analyses

Développement des menaces informatiques au troisième trimestre 2012

6.11.2012   |   comment

Yury Namestnikov

Sommaire

Chiffres du trimestre

  • Selon les données de KSN, les logiciels de Kaspersky Lab au troisième trimestre 2012 ont détecté et neutralisé 1 347 231 728 objets malveillants.
  • 28 % des périphériques nomades attaqués tournent sous la version 2.3.6 d'Android, sortie en septembre 2011.
  • 56 % des codes d'exploitation repoussés au troisième trimestre reposent sur des vulnérabilités dans Java.
  • Les programmes malveillants ont été diffusés depuis plus de 91,9 millions d'URL, soit 3 % de plus qu'au deuxième trimestre 2012.

Survol de la situation

Programmes malveillants pour appareils nomades et systèmes d'exploitation

La collection de nouveaux fichiers malveillants au troisième trimestre 2012 s'est enrichie de plus de 9 000 exemplaires. Soit 5 000 fichiers de moins qu'au deuxième trimestre, mais 3 500 fichiers de plus qu'au premier trimestre 2012.

Ceci s'explique par le fait qu'au deuxième trimestre, notre collection de fichiers malveillants s'est enrichie de fichiers qui avaient été détectés jusque là par les méthodes d'analyse heuristique. (pour rappel, l'analyse heuristique est capable de détecter une multitude de programmes différents). La situation au troisième trimestre peut être qualifiée de normale, et le nombre de nouveaux fichiers ajoutés s'inscrit dans la tendance observée depuis le début de l'année.


Répartition des programmes malveillants détectés en fonction des versions d'Android

Il est intéressant d'étudier les utilisateurs les plus souvent pris pour cible par les individus malintentionnés en fonction de la version du système d'exploitation Android.


Répartition des programmes malveillants détectés en fonction des versions d'Android
Troisième trimestre 2012

La première place revient à la version 2.3.6 "Gingerbread" dont les utilisateurs ont été victimes de 28 % des tentatives repoussées d'installation de programmes malveillants. Cette version est ancienne et remonte à septembre 2011. Toutefois, en raison de la segmentation marquée du marché des périphériques Android, cette version demeure à ce jour une des plus populaires.

Pour connaître exactement l'ampleur de l'équivalence entre la répartition des versions d'Android installées sur les périphériques mobiles et la répartition des versions des systèmes d'exploitation pour périphériques mobiles pris pour cible par les individus malintentionnés, il faut comparer nos données aux chiffres officiels sur la répartition des versions d'Android fourni sur le site developer.android.com. Voici le rapport en pourcentage des versions de système d'exploitation pour les deux dernières semaines du mois de septembre.

Source : http://developer.android.com/about/dashboards/index.html

Comparons-les à nos données pour la même période :


Répartition des programmes malveillants découverts au cours des 14 derniers jours du mois de septembre 2012, selon les versions d'Android

Comme nous le voyons, les deux diagrammes sont très différents : dans 48 % des cas, les victimes des individus malintentionnés sont des utilisateurs de Gingerbread, installé sur 55 % des périphériques et dans 43 % des cas, les utilisateurs d'Ice Cream Sandwich installé sur 23,7 % des périphériques.

Il est évident que les périphériques dotés des versions plus récentes d'un système d'exploitation sont mieux adaptés à une utilisation active sur Internet. Malheureusement, un tel niveau d'activité conduit souvent les utilisateurs sur des sites au contenu malveillant.

Pour pouvoir comprendre quels sont les programmes qui attaquent les périphériques des utilisateurs, nous utilisons les données de KSN pour les périphériques mobiles.


Répartition des programmes malveillants détectés sous Android par comportement Troisième trimestre 2012

Plus de la moitié des programmes malveillants détectés sur les smartphones des utilisateurs sont des chevaux de Troie SMS, à savoir des programmes malveillants qui retirent de l'argent des comptes mobiles des victimes en envoyant des SMS vers des numéros payants.


Répartition des programmes malveillants détectés sous Android par famille
Troisième trimestre 2012*

*verdicts du module d'analyse des fichiers de Kaspersky Mobile Security Informations transmises par les utilisateurs des logiciels de Kaspersky Lab ayant marqué leur accord à l'envoi des statistiques.

Parmi toutes les familles de programmes malveillants pour appareils nomades, la plus répandue est OpFake (38 % de tous les programmes détectés sous Android). Les programmes de cette famille se dissimulent sous les traits d'Opera Mini. La troisième place revient à la famille FakeInst, des programmes malveillants qui se présentent sous les traits de programmes d'installation d'applications très utilisées (17 %). Ces programmes malveillants sont diffusés via des magasins d'applications alternatifs créés par les cybercriminels.

Un cinquième des programmes détectés sont des chevaux de Troie multifonction appartenant pour la plupart à la famille Plangton. Une fois installés, ces chevaux de Troie collectent les informations de service relatives au téléphone, les envoient au serveur d'administration et attendent les instructions des individus malintentionnés. Les programmes de cette famille peuvent modifier les signets et la page d'accueil sans se faire remarquer.

5 % sont du type not-a-virus:RiskTool.AndroidOS.SMSreg, un programme qui abonne la victime à des services coûteux. Les programmes de cette famille visent les utilisateurs dans des pays comme les Etats-Unis, les Pays-Bas, la Grande-Bretagne ou la Malaisie. Nous les avons présentés en détail dans notre blog.

La famille Exploit.AndroidOS.Lotoor représente 4 % des menaces. Afin de pouvoir prendre les commandes du téléphone, les individus malintentionnés doivent le débrider (contourner la protection du téléphone afin d'obtenir l'accès total au système de fichiers). Les programmes de cette famille sont utilisés afin d'obtenir les privilèges root qui permettent de réaliser pratiquement n'importe quelle manipulation dans le système.

La part des différents logiciels publicitaire détectés dans la catégorie AdWare, parmi laquelle la famille Hamob est la plus populaire, représente 4 % également. Les programmes de cette famille affichent des publicités dans les applications.

Donc, au troisième trimestre, les individus malintentionnés ont le plus souvent visé les versions 2.3.6 (Gingerbreab) et 4.0.4 (Ice Cream Sandwich). Les individus malintentionnés contournent sans trop de peine les restrictions sur l'installation d'une application depuis des sources de confiance principalement grâce à l'ingénierie sociale. Dans la nature, les chevaux de Troie les plus répandus sont ceux qui, d'une manière ou d'une autre, volent de l'argent sur les comptes mobiles des utilisateurs. Mais tout indique qu'ils sont remplacés peu à peu par des chevaux de Troie plus complexes et multifonctionnels.

Codes d'exploitation : les erreurs dans Java sont exploitées dans plus de la moitié des attaques.

La problématique des attaques sur Internet est liée avant tout aux différents codes d'exploitation qui permettent aux individus malintentionnés de charger des programmes malveillants lors d'attaque par téléchargement à la dérobée (drive-by) sans devoir utiliser les réseaux sociaux. L'application de codes d'exploitation ne peut réussir que s'il existe des vulnérabilités dans le code d'applications populaires installées sur les ordinateurs des victimes.

Voyons qu'elles ont été les applications vulnérables ciblées par les codes d'exploitation au troisième trimestre. Pour ce trimestre, nous avons modifié notre méthodologie et inclus dans les statistiques les codes d'exploitation détectés par diverses méthodes d'analyse heuristique.


Applications dont les vulnérabilités ont été exploitées par des codes d'exploitation Internet.
Troisième trimestre 2012

Plus de 50 % des attaques reposaient sur l'exploitation d'une faille dans Java. Cette machine virtuelle, selon les données d'Oracle, est installée dans une version ou l'autre sur plus d'1,1 milliard d'ordinateurs. Il est important de souligner que cette application est mise à jour suite à la demande de l'utilisateur et non pas automatiquement, ce qui augmente la durée de vie de la vulnérabilité. De plus, les codes d'exploitation pour Java peuvent être aisément utilisés sous n'importe quelle version de Windows et qui plus est, après quelques modifications, comme ce fut le cas pour Flashfake, le code d'exploitation peut être utilisé sur plusieurs plateformes. Voilà pourquoi les cybercriminels s'intéressent tellement aux vulnérabilités Java. Bien sûr, la majorité des détections est composée de diverses collections de codes d'exploitation.

Au troisième trimestre, plusieurs vulnérabilités que les individus malintentionnés se sont empressés d'exploiter ont été détectées. La vulnérabilité CVE-2012-1723 détectée en juillet est une erreur dans le composant HotSpot qui permet aux individus malintentionnés d'exécuter sa classe pour contourner le bac à sable de la machine virtuelle Java. La deuxième vulnérabilité CVE-2012-4681 a été détectée à la fin du mois d'août. Les codes d'exploitation de cette vulnérabilité ont d'abord été utilisés dans des attaques ciblées, puis ils ont été vite intégrés à des paquets de codes d'exploitation très utilisés. Les logiciels de Kaspersky Lab ont réussi à détecter ces derniers à l'aide de la technologie Advanced Exploit Protection. Pour en savoir plus, nous vous invitons à lire notre blog.

En deuxième position, nous retrouvons les attaques réalisées via Adobe Reader, avec un quart de l'ensemble des attaques repoussées. La popularité des codes d'exploitation pour Adobe Reader diminue progressivement en raison de la simplicité de leur détection et du processus de mise à jour automatique introduit dans les dernières versions de Reader.

3 % des attaques étaient l'œuvre de codes d'exploitation de vulnérabilités dans le Centre d'aide et de support de Windows et de diverses vulnérabilités dans Internet Explorer. Ainsi, au troisième trimestre, la vulnérabilité CVE-2012-1876 a été détectée dans les versions 6 à 9 d'Internet Explorer. Cette vulnérabilité provoquait un traitement incorrect des objets dans la mémoire, ce qui permettait aux individus malintentionnés de solliciter un objet inexistant et de provoquer un débordement de pile. Il est intéressant de savoir que cette vulnérabilité avait été utilisée dans le cadre du concours Pwn2Own organisé lors de la conférence CanSecWest 2012 au mois de mars.

Nous conseillons aux utilisateurs de suivre les mises à jour des applications installées et d'utiliser des outils de protection modernes contre les codes d'exploitation. Quant aux sociétés, nous les encourageons à utiliser la technologie Patch Management.

Cyber-espionnage : Gauss, Madi et autres

Le troisième trimestre a été riche en incidents liés au cyber-espionnage. Les plus marquants auront été les analyses des programmes malveillants Madi, Gauss et Flame qui, d'après nos statistiques, ont été très actifs au Moyen-Orient.

Une des campagnes de pénétration dans les systèmes informatiques a duré près d'un an et visait surtout des utilisateurs en Iran, en Israël et en Afghanistan. En collaboration avec notre partenaire israélien Securlert, nous avons étudié cette opération en détails. Nous l'avons baptisée Madi sur la base des lignes et des identificateurs utilisés par les cybercriminels dans le programme malveillant. Cette opération a reposé sur des technologies simples et bien connues d'organisation d'attaques pour infiltrer les programmes malveillants, ce qui indique que les victimes étaient loin d'être conscientes des questions de sécurité informatique.

L'attaque visait à installer une porte dérobée écrite en Delphi. Cela aurait pu être le fruit des travaux d'un programmeur amateur ou d'un développeur professionnel en manque de temps. La campagne visait les infrastructures critiques de bureaux d'ingénieurs, d'organisations gouvernementales, de banques et d'universités au Moyen-Orient. Les victimes étaient des utilisateurs liés à ces différentes organisations et dont la communication avait été minutieusement observée pendant un certain temps.

Le programme Gauss fut découvert pendant une étude réalisée à l'initiative de l'Union internationale des télécommunications (UIT) suite à la découverte du programme malveillant Flame. Gauss est en réalité un cheval de Troie bancaire développé par un Etat. Outre le vol de diverses données sur les ordinateurs Windows infectés, ce programme contient également une fonctionnalité malveillante dont le code est crypté et dont la fonction n'a pas encore été identifiée. Le programme malveillant s'active uniquement dans les systèmes dotés d'une configuration particulière. Gauss a été développé à partir de la plateforme Flame et partage avec celle-ci quelques éléments fonctionnels tels qu'un sous-programme d'infection de clés USB.

Nos experts ont réussi également à obtenir de nouvelles informations sur les serveurs d'administration du programme malveillant Flame. L'étude que nous avons réalisée avec nos partenaires Symantec, ITU-IMPACT et CERT-Bund/BSI nous a permis de tirer plusieurs conclusions importantes. Tout d'abord, le développement du code des serveurs de commande dans le cadre de cette plateforme remonte au mois de décembre 2006 et, sur la base des commentaires repris dans le code, au moins quatre programmeurs ont été impliqués. Le code du serveur de commande prend en charge trois protocoles de transfert des données. Mais le plus intéressant, c'est qu'il traite les requêtes de quatre programmes malveillants distincts, désignés par les auteurs comme SP, SPE, FL et IP.

Sur ces quatre programmes malveillants, deux sont connus à l'heure actuelle : Flame et SPE (miniFlame).

Sur la base des données obtenues, nous pouvons affirmer que cette histoire de cyber-espionnage va connaître une suite dans un avenir proche. L'objectif de Kaspersky Lab est de réduire le risque lié à l'émergence des cyber-armes.

Statistiques

Nous présentons ci-dessous les statistiques obtenues suite au fonctionnement de divers composants chargés de la protection contre les programmes malveillants. Toutes les données statistiques citées dans ce rapport ont été obtenues  à l'aide du réseau antivirus distribué Kaspersky Security Network (KSN). Ces données proviennent des utilisateurs du KSN qui ont marqué leur accord pour l'utilisation des données. Des millions d'utilisateurs de logiciels de Kaspersky Lab répartis dans 213 pays et territoires participent à cet échange global d'informations sur l'activité des programmes malveillants.

Menaces sur Internet

Les données statistiques présentées dans ce chapitre ont été obtenues via l'antivirus Internet qui protège les utilisateurs au moment de télécharger un code malveillant depuis une page infectée. Ces pages infectées peuvent être des sites créés spécialement par les individus malintentionnés ou des sites légitimes compromis, dont des sites dont le contenu est fourni par les utilisateurs (par exemple, des forums).

Objets détectés sur Internet

511 269 302 attaques organisées depuis divers sites répartis à travers le monde ont été repoussées au troisième trimestre 2012. 165 732 modifications uniques de programmes malveillants ou potentiellement indésirables divers ont été recensées dans l'ensemble dans ces incidents.

Top 20 des objets détectés sur Internet

Classement Nom* % de l'ensemble des attaques
1 Malicious URL 90,70%
2 Trojan.Script.Generic 2,30%
3 Trojan.Script.Iframer 1,60%
4 Trojan-Downloader.SWF.Voleydaytor.h 0,40%
5 Trojan.Win32.Generic 0,40%
6 Exploit.Script.Blocker 0,30%
7 AdWare.Win32.IBryte.x 0,20%
8 Trojan-Downloader.JS.Iframe.cyq 0,20%
9 Exploit.Script.Generic 0,20%
10 Trojan-Downloader.JS.Agent.gsv 0,20%
11 Trojan-Downloader.JS.JScript.bp 0,20%
12 Hoax.HTML.FraudLoad.i 0,20%
13 Trojan-Downloader.Script.Generic 0,10%
14 Trojan.HTML.Redirector.am 0,10%
15 Trojan-Downloader.Win32.Generic 0,10%
16 Trojan-Downloader.JS.Iframe.czo 0,10%
17 AdWare.Win32.ScreenSaver.e 0,10%
18 Backdoor.MSIL.Agent.gtx 0,10%
19 Trojan.JS.Popupper.aw 0,10%
20 Exploit.Java.CVE-2012-4681.gen 0,10%


* Verdicts détectés du module Antivirus Internet. Informations transmises par les utilisateurs des logiciels de Kaspersky Lab ayant marqué leur accord à l'envoi des statistiques.
** Pourcentage de l'ensemble des attaques via Internet enregistrées sur les ordinateurs d'utilisateurs uniques.

La première place de ce classement revient une fois de plus aux liens malveillants de la liste noire. Par rapport au trimestre précédent, leur part a augmenté de 5 % et représentait 90 % de l'ensemble des détections de l'Antivirus Internet. Nous tenons à signaler que l'utilisation des technologies de mise à jour instantanée via le nuage a permis de bloquer 4 % des liens malveillants. Il s'agissait de liens vers des sites qui venaient d'être compromis ou créés par des individus malintentionnés et que les utilisateurs commençaient à visiter. Si l'utilisateur ne possède pas d'antivirus, il risque d'être la prochaine victime d'une attaque par téléchargement à la dérobée lorsqu'il visite un tel site.

La troisième place est occupée par Trojan-Downloader.SWF.Voleydaytor.h détecté sur divers sites pour adultes. Divers programmes malveillants sont installés sur l'ordinateur de la victime en prétextant la mise à jour du lecteur de vidéo.

Le logiciel publicitaire AdWare.Win32.IBryte.x qui se propage en tant que téléchargeur d'applications gratuites populaires occupe la 7e position. Une fois exécuté, il télécharge l'application gratuite que recherche l'utilisateur et installe en même temps un module de publicités. Cette même application peut être téléchargée depuis le site officielle, ce qui permet d'éviter l'installation du module de publicités. Sur la base des résultats de notre petite étude, nous pouvons affirmer que ce sont les utilisateurs d'Internet Explorer qui sont le plus souvent confrontés à ce programme.

Hoax.HTML.FraudLoad.i (12e place) est un cas intéressant. Cette menace touche principalement les utilisateurs qui aiment télécharger gratuitement des films et des applications. Elle propose de rechercher les pages sur lesquelles les utilisateurs peuvent télécharger du contenu, mais pour bénéficier de ce service, il faut envoyer un SMS payant. Quand l'utilisateur envoie ce SMS, il reçoit non pas le fichier recherché, mais un fichier txt reprenant le mode d'emploi du programme de recherche, ou un programme malveillant.

En queue du classement, nous retrouvons le code d'exploitation Exploit.Java.CVE-2012-4681.gen, découvert à la fin du mois d'août, qui vise deux vulnérabilités Java d'un coup. Les codes d'exploitation de vulnérabilités Java sont très appréciés par les individus malintentionnés car le nombre de périphériques sur lesquels ce moteur virtuel est installé s'élève à plus de 3 milliards. Ce qui distingue ce code d'exploitation, c'est son utilisation aussi bien dans des attaques ciblées que dans des packs de codes d'exploitation pour des infections en masse.

Des programmes malveillants et leurs composants développés pour livrer des chevaux de Troie sur les ordinateurs des victimes à l'aide de codes d'exploitation occupent 12 places du classement.

Top 20 des pays dont les ressources hébergent les programmes malveillants

Ces statistiques indiquent les pays dans lesquels se trouvent physiquement les sites d'où sont téléchargés les programmes malveillants. Pour définir la source géographique des attaques Internet, nous avons utilisé une technique de comparaison du nom de domaine et de l'adresse IP authentique sur laquelle se trouve ce domaine et la définition de l'emplacement géographique de cette adresse IP (GEOIP).

86 % des sites Internet utilisés pour la diffusion de programmes malveillants sont répartis entre 10 pays. Cela fait deux trimestres consécutifs que cet indice augmente d'1 %.


Répartition par pays des sites Internet qui hébergent les programmes malveillants,
troisième trimestre 2012.

Il y a eu un changement de leader dans le classement des pays en fonction du nombre d'hébergements malveillants : les Etats-Unis (20,3 %) ont cédé leur place à la Russie (23,2 %). Au cours des trois derniers mois, la part des hébergements malveillants sur le territoire de la Fédération de Russie a sensiblement augmenté (+8,6 %) tandis que cette catégorie a enregistré un recul marqué aux Etats-Unis (-9,7 %), ce qui explique ce changement de leader. On remarquera également la hausse du nombre d'hébergements malveillants aux Pays-Bas (+5,8 %) qui occupent toujours la troisième position, comme au trimestre précédent. Des sites Internet situés dans les pays du trio de tête, à savoir la Russie, les Etats-Unis et les Pays-Bas, hébergent 60 % du contenu malveillant. Si les autorités judiciaires et les hébergeurs n'agissent pas, il se peut que la situation se maintienne pendant quelques mois encore.

Le pourcentage de programmes malveillants diffusés depuis les sites Internet des autres pays est resté pratiquement inchangé dans tous les autres pays du Top 10, à l'exception de la Grande-Bretagne (-2,6 %).

Pays dont les internautes ont été le plus exposés au risque d'infection via Internet

Pour évaluer le risque d'infection via Internet auquel sont exposés les ordinateurs des utilisateurs dans différents pays, nous avons calculé la fréquence de déclenchement de l'Antivirus Internet chez les utilisateurs dans chacun des pays au cours du trimestre. Il faut signaler que cet indice ne dépend pas du nombre d'utilisateurs du Kaspersky Security Network dans le pays.


Top 20 des pays* où le risque d'infection des ordinateurs via Internet est le plus élevé**
Troisième trimestre 2012

*Pour les calculs, nous avons exclu les pays où le nombre d'utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.
**Pourcentage d'utilisateurs uniques soumis à des attaques via Internet par rapport à l'ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Au trimestre dernier, ce premier Top 20 reprenait exclusivement des pays de l'ex-URSS, d'Afrique et du Sud-Est asiatique. Il compte désormais deux pays d'Europe méridionale : l'Italie (36,5 %) et l'Espagne (37,4 %).

Nous pouvons répartir les pays en plusieurs groupes.

  1. Groupe à risque maximum. Pays où plus de 60 pour cent des utilisateurs ont été confronté au moins une fois à des programmes malveillants sur Internet. Au troisième trimestre, nous retrouvons dans ce groupe le Tadjikistan (61,1 %) qui détrône la Russie (58 %).
  2. Groupe à risque élevé. Ce groupe dont l'indice de risque est compris entre 41et 60 % reprend 10 pays du Top 20, soit 8 de moins qu'au deuxième trimestre. Autre la Russie (58 %), ce groupe réunit le Kazakhstan (54,9 %), la Bélarus (49,6 %) et l'Ukraine (46,1 %).
  3. Groupe à risque. Ce groupe où le risque est compris entre 21 et 40 % reprend 99 pays dont l'Inde (38,4 %), l'Espagne (37,4 %), l'Italie (36,5 %), la Lituanie (33,5 %), la Chine (33,4 %), la Turquie (33,3 %), les Etats-Unis (32,4 %), le Brésil (32,9 %), l'Angleterre (30,2 %), la Belgique (28,3 %) et la France (28,2 %).
  4. Groupe des pays les plus sûrs en terme de navigation sur Internet. Au troisième trimestre 2012, ce groupe reprenait 27 pays où l'indice de sécurité était compris entre 10,6 et 20 %.

Les pourcentages le plus faible d'internautes attaqués ont été enregistrés au Japon (13,6 %), au Danemark (17,7 %), à Taïwan (15,4 %), à Hong Kong (19,3 %), au Luxembourg (19,7 %), en Slovaquie (20,7 %) et à Singapour (20,9 %).


Risque d'infection des ordinateurs des utilisateurs via Internet dans divers pays
3e trimestre 2012

Le groupe des pays où la navigation sur Internet est la plus sûre reprend des pays d'Afrique. Nous supposons que le faible pourcentage d'utilisateurs attaqués via Internet est dû au développement réduit d'Internet dans ces pays. Notre hypothèse est confirmée par les chiffres des infections locales qui placent ces pays dans une mauvaise position (cf. ci-dessous).

En moyenne, 36,7 % des ordinateurs des participants au KSN ont été victimes au moins d'une attaque lors de la navigation sur Internet au cours du trimestre. Nous tenons à signaler que la part des ordinateurs attaqués par rapport au trimestre précédent a reculé de 3 %.

Menaces locales

Ce chapitre est consacré à l'analyse des données statistiques obtenues sur la base du fonctionnement de l'antivirus qui analyse les fichiers sur le disque dur lors de leur création ou lorsqu'ils sont sollicités ainsi que les données tirées de l'analyse de divers disques amovibles.

Objets découverts sur les ordinateurs

Au troisième trimestre 2012, nos solutions antivirus ont bloqué 882 545 490 tentatives d'infection locales sur les ordinateurs d'utilisateurs membres du Kaspersky Security Network.

Rien qu'au stade de la tentative d'exécution sur les ordinateurs des utilisateurs (analyse à l'accès), nous avons bloqué 328 804 modifications de programmes malveillants et potentiellement malveillants.

Top 20 des objets découverts sur les ordinateurs Top 20

Classement Nom % d'utilisateurs uniques attaqués*
1 Trojan.Win32.Generic 17,1%
2 DangerousObject.Multi.Generic 15,6%
3 Trojan.Win32.AutoRun.gen 14,5%
4 Trojan.Win32.Starter.yy 7,6%
5 Virus.Win32.Virut.ce 5,5%
6 Net-Worm.Win32.Kido.ih 4,8%
7 Virus.Win32.Sality.aa 3,9%
8 HiddenObject.Multi.Generic 3,9%
9 Virus.Win32.Generic 3,7%
10 Virus.Win32.Nimnul.a 3,2%
11 Trojan.WinLNK.Runner.bl 2,5%
12 Worm.Win32.AutoRun.hxw 1,8%
13 Virus.Win32.Sality.ag 1,5%
14 Trojan.Win32.Patched.dj 0,7%
15 Email-Worm.Win32.Runouce.b 0,5%
16 AdWare.Win32.BHO.awvu 0,4%
17 Trojan-Dropper.Script.Generic 0,4%
18 AdWare.Win32.GoonSearch.b 0,4%
19 Backdoor.Win64.Generic 0,3%
20 AdWare.Win32.RelevantKnowledge.a 0,3%


Ces statistiques sont les verdicts détectés par les modules OAS et ODS de l'Antivirus transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques.
* Pourcentage d'utilisateurs uniques sur les ordinateurs desquels l'Antivirus a détecté l'objet en question, par rapport à l'ensemble des utilisateurs uniques des produits de Kaspersky Lab chez qui l'Antivirus s'est déclenché.

La tête du classement est occupée par un verdict délivré par l'analyseur heuristique lors de la détection proactive d'une multitude de programmes malveillants (Trojan.Win32.Generic, 17,1 %).

Les programmes malveillants détectés à l'aide des technologies dans le nuage (DangerousObject.Multi.Generic) ont progressé d'une place (15,6 %) et ils occupent désormais la deuxième position du classement. Ces technologies interviennent lorsque les bases antivirus ne contiennent pas encore les définitions et qu'il n'est pas possible de détecter le programme malveillant à l'aide de l'analyse heuristique, mais l'éditeur de logiciels antivirus dispose déjà dans le « nuage » d'informations relatives à l'objet. En général, c'est ainsi que sont détectés les programmes malveillants les plus récents.

Des logiciels publicitaires occupent la 16e, la 18e et la 20e position. La nouveauté du troisième trimestre et la famille AdWare.Win32.RelevantKnowledge (0,3 %). Les programmes de cette famille s'intègrent au navigateur et affichent à intervalle régulier des fenêtres de sondage de l'utilisateur.

Pays où les ordinateurs des utilisateurs ont été le plus exposés au risque d'infection locale

Les chiffres fournis ci-dessous montrent le taux d'infection moyen des ordinateurs dans un pays ou l'autre. Au moins un ordinateur sur trois (32,5 %) des utilisateurs de KSN qui nous ont transmis ces données contenait un fichier malveillant, soit sur le disque dur ou su un disque amovible connecté. Ce chiffre est toutefois en recul de 3,9 % par rapport au trimestre précédent.


Degré d'infection des ordinateurs** - TOP 20 des pays*
Troisième trimestre 2012

* Pour les calculs, nous avons exclu les pays où le nombre d'utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.
* *Pourcentage d'utilisateurs uniques sur les ordinateurs desquels des menaces locales ont été bloquées, par rapport à l'ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Au trimestre dernier, ce premier Top 20 reprenait exclusivement des pays d'Afrique, du Moyen-Orient et du Sud-Est asiatique. Au Bangladesh, pays leader du classement, la part d'ordinateurs présentant un code malveillant qui a été bloqué a reculé de 7,3 % pour atteindre 90,9 %.

Dans le cas des infections locales, nous pouvons également regrouper les pays en fonction du niveau d'infection :

  1. Niveau maximum d'infection (supérieur à 60%) : Ce groupe a perdu 9 pays et compte désormais 11 pays d'Asie (Inde, Viet Nam, Népal, etc.), du Moyen-Orient (Afghanistan) et d'Afrique (Soudan, Mali, Tanzanie, etc.)
  2. Niveau d'infection élevé (41 à 60 %) : 39 pays dont l'Indonésie (53,5 %), l'Egypte (46 %), la Thaïlande (42,3 %), la Chine (41,4 %) et les Philippines (44,3 %).
  3. Niveau d'infection moyen (21 à 40 %) : 56 pays dont la Turquie, le Mexique, Israël, le Portugal, l'Italie, la Russie et l'Espagne.
  4. Niveau d'infection le plus bas : ce groupe accueille 8 nouveaux pays, ce qui porte son total à 31 dont les Etats-unis, l'Australie, le Canada, la Nouvelle-Zélande, Porto-Rico,19 pays européens (dont la Norvège, l'Estonie, la France) et deux pays d'Asie. Japon et Hong Kong

 

Risque d'infection locale des ordinateurs dans divers pays
Troisième trimestre 2012

Voici le Top 10 des pays les plus sûrs en matière d'infection locale :

Classement Pays % d'utilisateurs uniques**
1 Danemark 10,5
2 Japon 10,6
3 Luxembourg 13,8
4 Suisse 14,3
5 Suède 14,7
6 Allemagne 15
7 Finlande 15,1
8 Pays-Bas 15,1
9 République tchèque 15,2
10 Irlande 15,5

Un nouveau pays fait son entrée dans la liste : l'Irlande en 10e position avec 15,5 % d'ordinateurs sur lesquels des programmes malveillants ont été bloqués sur divers supports amovibles.

 

Vulnérabilités

Au cours du troisième trimestre 2012, 30 749 066 applications et fichiers vulnérables ont été recensés sur les ordinateurs des utilisateurs membres du KSN. Nous avons découvert en moyenne 8 vulnérabilités différentes pour chaque ordinateur vulnérable.

Le tableau ci-dessous reprend dix des vulnérabilités les plus souvent utilisées.

Secunia ID - identifiant unique de la vulnérabilit Nom de la vulnérabilité et lien vers sa description Possibilités offertes aux individus malintentionnés qui utilisent cette vulnérabilité Pourcentage d'utilisateurs chez qui une vulnérabilité a été découverte* Dernière modification Niveau de danger de la vulnérabilité
1 SA 49472 Oracle Java Multiple Vulnerabilities

Obtention de l'accès au système et exécution d'un code aléatoire sous les privilèges d'un utilisateur local

Programmation de script inter site

Accès aux données confidentielles

Manipulation des données

35,00% 20.08.2012 Highly Critical
2 SA 50133 Oracle Java Three Vulnerabilities

Obtention de l'accès au système et exécution d'un code aléatoire sous les privilèges d'un utilisateur local

21,70% 31.08.2012 Extremely Critical
3 SA 50354 Adobe Flash Player Multiple Vulnerabilities

Obtention de l'accès au système et exécution d'un code aléatoire sous les privilèges d'un utilisateur local

 

Accès aux données confidentielles

19,00% 25.09.2012 Highly Critical
4 SA 49388 Adobe Flash Player Multiple Vulnerabilities

Obtention de l'accès au système et exécution d'un code aléatoire sous les privilèges d'un utilisateur local

Contournement du système de protection

18,80% 18.06.2012 Highly Critical
5 SA 47133 Adobe Reader/Acrobat Multiple Vulnerabilities

Obtention de l'accès au système et exécution d'un code aléatoire sous les privilèges d'un utilisateur local

14,70% 11.01.2012 Extremely Critical
6 SA 47447 Apple QuickTime Multiple Vulnerabilities

Obtention de l'accès au système et exécution d'un code aléatoire sous les privilèges d'un utilisateur local

13,80% 23.08.2012 Highly Critical
7 SA 49489 Apple iTunes Multiple Vulnerabilities

Obtention de l'accès au système et exécution d'un code aléatoire sous les privilèges d'un utilisateur local

11,70% 10.07.2012 Highly Critical
8 SA 46624 Winamp AVI / IT File Processing Vulnerabilities

Obtention de l'accès au système et exécution d'un code aléatoire sous les privilèges d'un utilisateur local

10,90% 03.08.2012 Highly Critical
9 SA 50283 Adobe Shockwave Player Multiple Vulnerabilities

Obtention de l'accès au système et exécution d'un code aléatoire sous les privilèges d'un utilisateur local

10,80% 14.08.2012 Highly Critical
10 SA 41917 Adobe Flash Player Multiple Vulnerabilities

Obtention de l'accès au système et exécution d'un code aléatoire sous les privilèges d'un utilisateur local

Contournement du système de protection

 

Accès aux données confidentielles

9,70% 09.11.2010 Extremely Critical

*Pour 100 % des utilisateurs dont les ordinateurs présentaient ne serait-ce qu'une vulnérabilité.

Aux deux premières places du classement, nous retrouvons les vulnérabilités dans Java d'Oracle. Elles ont été détectées respectivement sur 35 et 21,7 % des ordinateurs vulnérables.

Des logiciels de l'éditeur Adobe occupent cinq places dans notre classement : les lecteurs Flash Reader et Shockware et l'application populaire de lecture de documents PDF Reader.

Le classement reprend également deux applications d'Apple : QuickTime player et iTunes ainsi que le lecteur Winamp de Nullsoft largement utilisé.


Editeurs de logiciels présentant des vulnérabilités du Top 10
Troisième trimestre 2012

Toutes les vulnérabilités du Top 10 ont un effet négatif sur la sécurité de l'ordinateur : elles permettent aux individus malintentionnés d'obtenir le contrôle total du système à l'aide de codes d'exploitation. Comme au deuxième trimestre, trois vulnérabilités permettent aux individus malintentionnés d'accéder aux données confidentielles. Deux vulnérabilités dans Flash Player permettent de déjouer les mécanismes de protection intégrés à l'application. Le classement reprend également des vulnérabilités qui permettent de manipuler les données et de réaliser des attaques XSS et DDoS.


Répartition des vulnérabilités du Top 10 par type d'effet sur le système
Troisième trimestre 2012

Signalons la disparition du Top 10 des logiciels vulnérables des produits de Microsoft. Ceci est dû au fait que le mécanisme de mise à jour automatique qui figure dans les dernières versions de Windows est bien au point.

Source:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com