Aperçu de l’activité virale : Janvier 2011

Janvier en chiffres

Voici le bilan de l’activité des logiciels de Kaspersky Lab sur les ordinateurs des utilisateurs :

• 213 915 256 attaques de réseau ont été déjouées ;
• 68 956 183 tentatives d’infections via des sites Web ont été bloquées ;
• 187 234 527 programmes malveillants ont été détectés et neutralisés (tentatives d’infection locale) ;
• 70 179 070 verdicts heuristiques ont été recensés.

Escroquerie sur Internet

La majorité des programmes malveillants, surtout les plus complexes, dissimulent leur présence dans le système et agissent à l’insu de l’utilisateur. Toutefois, dans le cas de la cyber escroquerie, le plan requiert l’intervention de l’utilisateur. Il est très important de connaître les trucs et astuces que les individus malintentionnés emploient afin de ne pas se laisser prendre au piège.

Cadeaux empoisonnés

Les individus malintentionnés exploitent souvent la popularité d’un service ou d’un produit Internet quelconque. La popularité des logiciels de Kaspersky Lab n’est pas passée inaperçue aux yeux des escrocs, ce qui a été confirmé au mois de janvier.

Nous avons vu apparaître sur Internet des utilitaires qui permettent d’utiliser certains logiciels de Kaspersky Lab sans devoir les activer. Nous les avons détectés en tant que membre de la famille de programmes potentiellement indésirables Kiser. Au mois de janvier, deux représentants de cette famille ont même fait leur entrée dans le Top 20 des verdicts les plus fréquents sur les ordinateurs des utilisateurs (9e et 11e place).

Après les fêtes de fin d’année, nous avons découvert un trojan-dropper sous les traits d’un générateur de clés de licence pour les logiciels de Kaspersky Lab. Ce dropper installe et exécute deux programmes malveillants dangereux sur les ordinateurs de ceux qui cherchent à avoir le beurre et l’argent du beurre. Un de ces programmes vole les données d’enregistrement d’applications et les mots de passe d’accès à des jeux en ligne. La deuxième porte dérobée remplit également les fonctions d’enregistreur de frappes.

Au début du mois de janvier, nos experts ont découvert un faux site de Kaspersky Lab dont l’adresse se différenciait par une seule lettre. Ce site proposait aux internautes de télécharger un « cadeau de Noël », à savoir une version gratuite de Kaspersky Internet Security 2011.

IE « gratuit » pour 300 roubles

Internet Explorer est une autre application dont la popularité est exploitée par les escrocs. Au mois de janvier, dans l’Internet russophone, des pages proposant aux internautes de « mettre à jour Internet Explorer » ont fait leur apparition. Tout d’abord, il fallait sélectionner les « mises à jour » requises, ensuite l’installation de ces mises à jour était imitée à l’écran, suivie de la demande « d’activer application déjà installée » en envoyant un SMS vers un numéro surfacturé.

Archives vides

Les fausses archives sont un autre moyen toujours apprécié des escrocs sur Internet pour gagner de l’argent. Ce mois-ci, une nouvelle version de Hoax.Win32.ArchSMS.mvr a fait son entrée directement dans les 2 Top 20 : en 11e position dans le classement des programmes malveillants sur Internet et en 17e position, dans le classement des programmes malveillants découverts sur les ordinateurs des utilisateurs.

Dans la synthèse du mois passé, nous évoquions la diffusion, via Twitter, de liens introduits via le service goo.gl. Au milieu du mois de janvier, la diffusion massive de liens malveillants s’est poursuivie. Tout comme au mois de décembre, quand l’utilisateur cliquait sur le lien, il arrivait, après plusieurs redirection, sur la page d’un « antivirus en ligne ». Ce faux antivirus suivait le même scénario qu’au mois de décembre : une fenêtre, évoquant la fenêtre Poste de travail, s’ouvrait, l’analyse de l’ordinateur était imitée et à l’issue de celle-ci, l’utilisateur était invité à payer pour la suppression des programmes malveillants « détectés ».

Logiciels publicitaires

La diffusion des logiciels publicitaires est toujours aussi active. À la 12e place du classement des programmes malveillants sur Internet, nous retrouvons AdWare.Win32.WhiteSmoke.a qui ajoute le raccourci « Improve your PC » (améliorer votre PC) sur le Bureau de l’ordinateur à l’insu de l’utilisateur. Une fois que l’utilisateur a cliqué sur ce raccourci, une page proposant de « supprimer les erreurs dans l’ordinateur » s’ouvre. Si le propriétaire de l’ordinateur accepte la proposition, l’application RegistryBooster2011 est installée sur l’ordinateur. Elle analyse celui-ci et demande à l’utilisateur de payer pour supprimer les erreurs détectées.

Vulnérabilités et mises à jour

Une fois de plus, nous appelons les utilisateurs à ne pas négliger les mises à jour critiques. Dans le Top 20 des menaces les plus répandues bloquées sur les ordinateurs des utilisateurs, nous retrouvons au mois de janvier Exploit.JS.Agent.bbk (20e position) qui exploite la vulnérabilité CVE-2010-0806. Bien que cette vulnérabilité ait été corrigée dès la fin du mois de mars 2010 (le correctif est accessible via www.microsoft.com/rus/technet/security/bulletin/ms10-018.mspx), elle est exploitée par Agent.bbk et par d’autres programmes malveillants du TOP 20 (6e et 13e position). Cela signifie que la vulnérabilité dans l’application est toujours présente sur une multitude d’ordinateurs et qu’elle est exploitée avec efficacité par les individus malintentionnés.

Téléchargement de fichiers malveillants à l’aide de programmes malveillants Java

Le téléchargement de fichiers malveillants à l’aide de programmes malveillants Java via la méthode OpenConnection, utilisée au début par les individus malintentionnés en octobre de l’année passée, est une des méthodes de téléchargement les plus répandues. Deux nouveaux membres de la famille Trojan-Downloader.Java.OpenConnection ont fait leur entrée dans le Top 20 du mois de janvier des programmes malveillants sur Internet (9e et 20e position).

Programmes malfaisants complexes : nouveau ver de messagerie

Le nouveau ver de messagerie Email-Worm.Win32.Hlux est apparu au mois de janvier. Il se diffuse à l’ aide de messages qui indiquent à l’utilisateur qu’il a reçu une carte de félicitations, électronique et contient un lien vers une page proposant d’installer Flash Player pour une bonne représentation de la carte. Le lien ouvre une boîte de dialogue qui demande à l’utilisateur d’accepter ou non le téléchargement d’un fichier. Quelle que soit la réponse de l’utilisateur, le ver tente de s’introduire dans l’ordinateur : dans les cinq secondes qui suivent l’ouverture de la boîte de dialogue, l’utilisateur est redirigé vers une page contenant un ensemble de codes d’exploitation ainsi que des programmes de la famille Trojan-Downloader.Java.OpenConnection, qui commencent à télécharger Hlux sur l’ordinateur.

Trojan-SMS : encore une méthode pour voler de l’argent

En janvier , les individus malintentionnés ont commencé à utiliser une nouvelle méthode d’extorsion d’argent de propriétaires de téléphones portables. Le nouveau cheval de Troie Trojan-SMS.J2ME.Smmer.f se diffuse via la méthode standard pour les programmes malveillants Java, à savoir via des SMS contenant un lien vers une « carte virtuelle ». Une fois installé sur le téléphone, le cheval de Troie envoie un SMS à deux numéros surfacturés différents. Le SMS vers ces numéros est gratuit. Comment les individus malintentionnés gagnent-ils leur argent ? Le fait est que les deux numéros sont utilisés par un des opérateurs de téléphonie mobile pour transférer de l’argent d’un compte à un autre. Le premier message envoyé par le cheval de Troie indique la somme qui sera retirée du compte de l’utilisateur du téléphone infecté (200 roubles, soit environ 5 euros) ainsi que le numéro utilisé par les escrocs pour obtenir l’argent. Le deuxième message est envoyé pour confirmer le transfert.

Nous avions déjà rencontré ce type d’escroquerie il y a deux ans. Elle avait touché principalement les utilisateurs en Indonésie. Elle fait désormais partie de l’arsenal des escrocs en Russie.

TOP 20 des programmes malveillants sur Internet

Rang	Evolution	Programme malveillant	Nombre d’attaques uniques *
1	0	AdWare.Win32.HotBar.dh	169173
2	0	Trojan-Downloader.Java.OpenConnection.cf	165576
3	New	Exploit.HTML.CVE-2010-1885.aa	140474
4	New	AdWare.Win32.FunWeb.gq	114022
5	-2	Trojan.HTML.Iframe.dl	112239
6	New	Trojan.JS.Redirector.os	83291
7	7	Trojan-Clicker.JS.Agent.op	82793
8	-4	Trojan.JS.Popupper.aw	80981
9	New	Trojan-Downloader.Java.OpenConnection.cg	66005
10	2	Trojan.JS.Agent.bhr	53698
11	New	Hoax.Win32.ArchSMS.mvr	47251
12	New	AdWare.Win32.WhiteSmoke.a	44889
13	5	Trojan.JS.Fraud.ba	44561
14	-4	Exploit.JS.Agent.bab	42800
15	-7	Trojan.JS.Redirector.lc	42231
16	-8	Exploit.Java.CVE-2010-0886.a	41232
17	New	Hoax.HTML.Fraud.e	37658
18	New	Trojan-Clicker.JS.Agent.om	36634
19	-6	Trojan-Downloader.JS.Small.os	35857
20	New	Trojan-Downloader.Java.OpenConnection.cx	35629

*Total des incidents uniques enregistrés par l’Antivirus Internet sur les ordinateurs des utilisateurs.

Top 20 des programmes malveillants découverts sur les ordinateurs des utilisateurs

Rang	Evolution	Programme malveillant	Nombre d’utilisateurs uniques*
1	0	Net-Worm.Win32.Kido.ir	466686
2	1	Virus.Win32.Sality.aa	210635
3	-1	Net-Worm.Win32.Kido.ih	171640
4	New	Hoax.Win32.Screensaver.b	135083
5	0	AdWare.Win32.HotBar.dh	134649
6	-2	Trojan.JS.Agent.bhr	131466
7	-1	Virus.Win32.Sality.bh	128206
8	-1	Virus.Win32.Virut.ce	114286
9	New	HackTool.Win32.Kiser.zv	104673
10	-2	Packed.Win32.Katusha.o	90870
11	New	HackTool.Win32.Kiser.il	90499
12	-2	Worm.Win32.FlyStudio.cu	85184
13	-1	Exploit.JS.Agent.bab	77302
14	-1	Trojan-Downloader.Win32.Geral.cnh	62426
15	-1	Trojan-Downloader.Win32.VB.eql	58715
16	0	Worm.Win32.Mabezat.b	58579
17	New	Hoax.Win32.ArchSMS.mvr	50981
18	-1	Packed.Win32.Klone.bq	50185
19	Returned	Worm.Win32.Autoit.xl	43454
20	New	Exploit.JS.Agent.bbk	41193

*Nombre d’utilisateurs uniques sur l’ordinateur desquels l’antivirus a détecté des objets