Aperçu de l’activité virale : Janvier 2011

Janvier en chiffres

Voici le bilan de l’activité des logiciels de Kaspersky Lab sur les ordinateurs des utilisateurs :

  • 213 915 256 attaques de réseau ont été déjouées ;
  • 68 956 183 tentatives d’infections via des sites Web ont été bloquées ;
  • 187 234 527 programmes malveillants ont été détectés et neutralisés (tentatives d’infection locale) ;
  • 70 179 070 verdicts heuristiques ont été recensés.

Escroquerie sur Internet

La majorité des programmes malveillants, surtout les plus complexes, dissimulent leur présence dans le système et agissent à l’insu de l’utilisateur. Toutefois, dans le cas de la cyber escroquerie, le plan requiert l’intervention de l’utilisateur. Il est très important de connaître les trucs et astuces que les individus malintentionnés emploient afin de ne pas se laisser prendre au piège.

Cadeaux empoisonnés

Les individus malintentionnés exploitent souvent la popularité d’un service ou d’un produit Internet quelconque. La popularité des logiciels de Kaspersky Lab n’est pas passée inaperçue aux yeux des escrocs, ce qui a été confirmé au mois de janvier.

Nous avons vu apparaître sur Internet des utilitaires qui permettent d’utiliser certains logiciels de Kaspersky Lab sans devoir les activer. Nous les avons détectés en tant que membre de la famille de programmes potentiellement indésirables Kiser. Au mois de janvier, deux représentants de cette famille ont même fait leur entrée dans le Top 20 des verdicts les plus fréquents sur les ordinateurs des utilisateurs (9e et 11e place).

Après les fêtes de fin d’année, nous avons découvert un trojan-dropper sous les traits d’un générateur de clés de licence pour les logiciels de Kaspersky Lab. Ce dropper installe et exécute deux programmes malveillants dangereux sur les ordinateurs de ceux qui cherchent à avoir le beurre et l’argent du beurre. Un de ces programmes vole les données d’enregistrement d’applications et les mots de passe d’accès à des jeux en ligne. La deuxième porte dérobée remplit également les fonctions d’enregistreur de frappes.

Au début du mois de janvier, nos experts ont découvert un faux site de Kaspersky Lab dont l’adresse se différenciait par une seule lettre. Ce site proposait aux internautes de télécharger un « cadeau de Noël », à savoir une version gratuite de Kaspersky Internet Security 2011.

IE « gratuit » pour 300 roubles

Internet Explorer est une autre application dont la popularité est exploitée par les escrocs. Au mois de janvier, dans l’Internet russophone, des pages proposant aux internautes de « mettre à jour Internet Explorer » ont fait leur apparition. Tout d’abord, il fallait sélectionner les « mises à jour » requises, ensuite l’installation de ces mises à jour était imitée à l’écran, suivie de la demande « d’activer application déjà installée » en envoyant un SMS vers un numéro surfacturé.

Archives vides

Les fausses archives sont un autre moyen toujours apprécié des escrocs sur Internet pour gagner de l’argent. Ce mois-ci, une nouvelle version de Hoax.Win32.ArchSMS.mvr a fait son entrée directement dans les 2 Top 20 : en 11e position dans le classement des programmes malveillants sur Internet et en 17e position, dans le classement des programmes malveillants découverts sur les ordinateurs des utilisateurs.

Attaques via Twitter

Dans la synthèse du mois passé, nous évoquions la diffusion, via Twitter, de liens introduits via le service goo.gl. Au milieu du mois de janvier, la diffusion massive de liens malveillants s’est poursuivie. Tout comme au mois de décembre, quand l’utilisateur cliquait sur le lien, il arrivait, après plusieurs redirection, sur la page d’un « antivirus en ligne ». Ce faux antivirus suivait le même scénario qu’au mois de décembre : une fenêtre, évoquant la fenêtre Poste de travail, s’ouvrait, l’analyse de l’ordinateur était imitée et à l’issue de celle-ci, l’utilisateur était invité à payer pour la suppression des programmes malveillants « détectés ».

Logiciels publicitaires

La diffusion des logiciels publicitaires est toujours aussi active. À la 12e place du classement des programmes malveillants sur Internet, nous retrouvons AdWare.Win32.WhiteSmoke.a qui ajoute le raccourci « Improve your PC » (améliorer votre PC) sur le Bureau de l’ordinateur à l’insu de l’utilisateur. Une fois que l’utilisateur a cliqué sur ce raccourci, une page proposant de « supprimer les erreurs dans l’ordinateur » s’ouvre. Si le propriétaire de l’ordinateur accepte la proposition, l’application RegistryBooster2011 est installée sur l’ordinateur. Elle analyse celui-ci et demande à l’utilisateur de payer pour supprimer les erreurs détectées.

Vulnérabilités et mises à jour

Une fois de plus, nous appelons les utilisateurs à ne pas négliger les mises à jour critiques. Dans le Top 20 des menaces les plus répandues bloquées sur les ordinateurs des utilisateurs, nous retrouvons au mois de janvier Exploit.JS.Agent.bbk (20e position) qui exploite la vulnérabilité CVE-2010-0806. Bien que cette vulnérabilité ait été corrigée dès la fin du mois de mars 2010 (le correctif est accessible via www.microsoft.com/rus/technet/security/bulletin/ms10-018.mspx), elle est exploitée par Agent.bbk et par d’autres programmes malveillants du TOP 20 (6e et 13e position). Cela signifie que la vulnérabilité dans l’application est toujours présente sur une multitude d’ordinateurs et qu’elle est exploitée avec efficacité par les individus malintentionnés.

Téléchargement de fichiers malveillants à l’aide de programmes malveillants Java

Le téléchargement de fichiers malveillants à l’aide de programmes malveillants Java via la méthode OpenConnection, utilisée au début par les individus malintentionnés en octobre de l’année passée, est une des méthodes de téléchargement les plus répandues. Deux nouveaux membres de la famille Trojan-Downloader.Java.OpenConnection ont fait leur entrée dans le Top 20 du mois de janvier des programmes malveillants sur Internet (9e et 20e position).

Programmes malfaisants complexes : nouveau ver de messagerie

Le nouveau ver de messagerie Email-Worm.Win32.Hlux est apparu au mois de janvier. Il se diffuse à l’ aide de messages qui indiquent à l’utilisateur qu’il a reçu une carte de félicitations, électronique et contient un lien vers une page proposant d’installer Flash Player pour une bonne représentation de la carte. Le lien ouvre une boîte de dialogue qui demande à l’utilisateur d’accepter ou non le téléchargement d’un fichier. Quelle que soit la réponse de l’utilisateur, le ver tente de s’introduire dans l’ordinateur : dans les cinq secondes qui suivent l’ouverture de la boîte de dialogue, l’utilisateur est redirigé vers une page contenant un ensemble de codes d’exploitation ainsi que des programmes de la famille Trojan-Downloader.Java.OpenConnection, qui commencent à télécharger Hlux sur l’ordinateur.

Le ver, outre la capacité de se propager automatiquement via courrier électronique, remplit la fonction de bot et intègre l’ordinateur infecté dans un réseau de zombies. Hlux établit la connexion avec le centre de commande du réseau de zombies et exécute les instructions de celui-ci, à savoir la diffusion de courrier indésirable faisant la publicité de médicaments. Le bot communique avec le centre de commande via les serveurs proxy du réseau de type fast-flux. Si l’ordinateur infecté possède une adresse IP externe, alors il peut être utilisé en tant que maillon du réseau de type fast-flux. Grâce au nombre élevé d’ordinateurs infectés, les individus malintentionnés peuvent changer très souvent l’adresse IP des domaines dans lesquels se trouvent les centres de commande du réseau de zombies.

Trojan-SMS : encore une méthode pour voler de l’argent

En janvier , les individus malintentionnés ont commencé à utiliser une nouvelle méthode d’extorsion d’argent de propriétaires de téléphones portables. Le nouveau cheval de Troie Trojan-SMS.J2ME.Smmer.f se diffuse via la méthode standard pour les programmes malveillants Java, à savoir via des SMS contenant un lien vers une « carte virtuelle ». Une fois installé sur le téléphone, le cheval de Troie envoie un SMS à deux numéros surfacturés différents. Le SMS vers ces numéros est gratuit. Comment les individus malintentionnés gagnent-ils leur argent ? Le fait est que les deux numéros sont utilisés par un des opérateurs de téléphonie mobile pour transférer de l’argent d’un compte à un autre. Le premier message envoyé par le cheval de Troie indique la somme qui sera retirée du compte de l’utilisateur du téléphone infecté (200 roubles, soit environ 5 euros) ainsi que le numéro utilisé par les escrocs pour obtenir l’argent. Le deuxième message est envoyé pour confirmer le transfert.

Nous avions déjà rencontré ce type d’escroquerie il y a deux ans. Elle avait touché principalement les utilisateurs en Indonésie. Elle fait désormais partie de l’arsenal des escrocs en Russie.

TOP 20 des programmes malveillants sur Internet

Rang Evolution Programme malveillant Nombre d’attaques uniques *
1   0 AdWare.Win32.HotBar.dh   169173  
2   0 Trojan-Downloader.Java.OpenConnection.cf   165576  
3   New Exploit.HTML.CVE-2010-1885.aa   140474  
4   New AdWare.Win32.FunWeb.gq   114022  
5   -2 Trojan.HTML.Iframe.dl   112239  
6   New Trojan.JS.Redirector.os   83291  
7   7 Trojan-Clicker.JS.Agent.op   82793  
8   -4 Trojan.JS.Popupper.aw   80981  
9   New Trojan-Downloader.Java.OpenConnection.cg   66005  
10   2 Trojan.JS.Agent.bhr   53698  
11   New Hoax.Win32.ArchSMS.mvr   47251  
12   New AdWare.Win32.WhiteSmoke.a   44889  
13   5 Trojan.JS.Fraud.ba   44561  
14   -4 Exploit.JS.Agent.bab   42800  
15   -7 Trojan.JS.Redirector.lc   42231  
16   -8 Exploit.Java.CVE-2010-0886.a   41232  
17   New Hoax.HTML.Fraud.e   37658  
18   New Trojan-Clicker.JS.Agent.om   36634  
19   -6 Trojan-Downloader.JS.Small.os   35857  
20   New Trojan-Downloader.Java.OpenConnection.cx   35629  

*Total des incidents uniques enregistrés par l’Antivirus Internet sur les ordinateurs des utilisateurs.

Top 20 des programmes malveillants découverts sur les ordinateurs des utilisateurs

Rang Evolution Programme malveillant Nombre d’utilisateurs uniques*
1   0 Net-Worm.Win32.Kido.ir   466686  
2   1 Virus.Win32.Sality.aa   210635  
3   -1 Net-Worm.Win32.Kido.ih   171640  
4   New Hoax.Win32.Screensaver.b   135083  
5   0 AdWare.Win32.HotBar.dh   134649  
6   -2 Trojan.JS.Agent.bhr   131466  
7   -1 Virus.Win32.Sality.bh   128206  
8   -1 Virus.Win32.Virut.ce   114286  
9   New HackTool.Win32.Kiser.zv   104673  
10   -2 Packed.Win32.Katusha.o   90870  
11   New HackTool.Win32.Kiser.il   90499  
12   -2 Worm.Win32.FlyStudio.cu   85184  
13   -1 Exploit.JS.Agent.bab   77302  
14   -1 Trojan-Downloader.Win32.Geral.cnh   62426  
15   -1 Trojan-Downloader.Win32.VB.eql   58715  
16   0 Worm.Win32.Mabezat.b   58579  
17   New Hoax.Win32.ArchSMS.mvr   50981  
18   -1 Packed.Win32.Klone.bq   50185  
19   Returned Worm.Win32.Autoit.xl   43454  
20   New Exploit.JS.Agent.bbk   41193  

*Nombre d’utilisateurs uniques sur l’ordinateur desquels l’antivirus a détecté des objets

Share post on:

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *