Bulletin de sécurité de Kaspersky Lab sur les programmes malveillants dans le courrier électronique en 2007 : ne pas baisser la garde !

  1. La cyber-sécurité en 2007
  2. Le développement des programmes malicieux pour les jeux en ligne en 2007
  3. Le courrier indésirable en 2007
  4. Les programmes malveillants dans le courrier électronique en 2007 : ne pas baisser la garde !

Comme vous le savez, le courrier électronique est un des moyens les plus fréquemment utilisés pour diffuser des programmes malveillants. Le phishing ou « hameçonnage », qui se présente sous la forme de messages contenant des liens vers des pages Web infectées, le courrier indésirable qui exploite à grande échelle les méthodes de l’ingénierie sociale dans le but de pousser l’utilisateur à réaliser une action déterminée ou les diffusions qui apportent un « bénéfice » à leur auteur sont autant de problèmes graves liés à l’utilisation du courrier électronique.

Pays d’origine des messages malveillants

Nous allons tenter d’identifier les pays qui sont les sources les plus importantes de messages électroniques infectés. Le diagramme représente le rapport, en pour cent, des fichiers malveillants par région où sont enregistrés les serveurs qui envoient le courrier infecté.



Répartition du nombre de programmes malveillants par pays source des messages infectés

Le Top 5 réunit les Etats-Unis, l’Allemagne, la Suède, l’Espagne et la Malaisie. Signalons que les messages infectés ne franchissent pas nécessairement les frontières du pays. Par conséquent, ces données ne nous permettent pas d’affirmer que les pays qui appartiennent au groupe de tête sont les plus dangereux en tant que source de trafic de courrier malveillant.

Nature des programmes malveillants diffusés par courrier électronique

Les statistiques recueillies par les copies de Kaspersky Anti-Virus installées sur des serveurs de messagerie dans le monde entier permettent de dégager 10 comportements parmi les plus répandus parmi les programmes malveillants diffusés par courrier électronique en pièce jointe. Les comportements qui ne figurent pas dans ce Top 10 ne représentent que 1 % du volume total des pièces jointes détectées



Composition du trafic de courrier électronique malveillant mondial (regroupement par comportement)

Voici une présentation des comportements qui figurent dans le Top 10.

Vers de messagerie (Email-Worm)

Plus de la moitié des programmes malveillants diffusés par courrier électronique sont des vers de messagerie (55 %). La domination de la catégorie Email-Worm sur les autres programmes malveillants de messagerie est incontestable : non seulement ces programmes malveillants sont largement diffusés par les individus mal intentionnés mais ils sont en plus capables de se propager par leur propres moyens.

Conformément aux règles de classification définies, les programmes qui disposent, en plus de la fonction de ver de messagerie, d’une fonction plus dangereuse (par exemple, Net-Worm et Worm) appartiennent à un comportement plus dangereux. Dans un tel cas de figure, la fonction du ver de messagerie (diffusion automatique) est considérée simplement comme une fonction complémentaire du programme malveillant. Ainsi, nous pouvons affirmer sans crainte que les représentants des catégories Net-Worm (6%) et Worm (0,56%) identifiés dans le courrier sont des programmes à diffusion automatique. Ceci signifie que la part des programmes possédant une fonction de ver de messagerie est en réalité supérieure à 55 %. Parmi les programmes malveillants diffusés via courrier électronique, plus de 61 % sont capables de se diffuser par leurs propres moyens.

Au cours de l’année 2007, nous avons pu observer des pics et des dégringolades dans le nombre de vers de messagerie.



Number Nombre de nouveaux programmes malveillants appartenant au comportement Email-Worm

Trois pics sont clairement visibles sur ce graphique qui illustre les variations du nombre de nouveaux programmes malveillants de type Email-Worm détectés au cours de l’année. Ils sont tous imputables à l’activation du célèbre ver Email-Worm.Win32.Zhelatin connu également sous le nom de « Storm Worm » (ver de la tempête) sur Internet. En 2007, la famille Zhelatin a occupé une position dominante parmi les vers de messagerie en termes de nouvelles variantes de fichiers malveillants.



Répartition des programmes malveillants du comportement Email-Worm par famille

Zhelatin (Storm Worm)

Les auteurs du ver Zhelatin ont opté pour une nouvelle stratégie qui devait garantir la « survie » de leur création. Afin de pouvoir diffuser de nouvelles versions plus souvent que la publication des bases antivirus actualisées, les individus mal intentionnés ont mis sur pied une « usine » pour la production automatique du programme malveillant. Cette usine produisait en permanence de nouveaux programmes malveillants chargés de tester les logiciels antivirus. Les exemplaires défectueux (détectés) étaient retirés de la production tandis que ceux qui réussissaient le test étaient copiés automatiquement sur plusieurs sites Web préparés spécialement sur Internet et qui se chargeaient de la diffusion des nouvelles versions du programme. Cette tactique pose un problème grave aux éditeurs de logiciels antivirus : le code qui génère les nouvelles versions des programmes malveillants est physiquement hors de leur portée et ils ne peuvent pas l’analyser et mettre au point un sous-programme de détection comme c’est normalement le cas pour la détection des virus polymorphes.

Zhelatin a marqué une étape dans le développement des programmes malveillants. Ses auteurs ont intégré la quasi-totalité des réalisations de la création de virus de ces dernières années. A l’origine, le payload (charge utile en français) du ver Zhelatin était la collecte d’adresses de courrier électronique sur l’ordinateur des victimes et leur transfert vers les serveurs de l’individu mal intentionné (ces adresses étaient recueillies afin de les revendre à des spammeurs). Ensuite, les auteurs du virus ont décidé de construire un réseau de zombies sur la base d’une version actualisée de Zhelatin. Les réseaux de zombies créés à l’aide de Zhelatin sont uniques dans le sens où il s’agit de réseau de zombies P2P. Dans ce genre de réseau, les zombies se connectent au centre d’administration uniquement s’il est disponible et lorsque le serveur est introuvable ou s’il ne fonctionne pas, ils peuvent fonctionner de manière indépendante en se connectant les uns aux autres et en transmettant les messages le long de la chaîne. Chaque zombie possède une petite liste que reprennent les coordonnées des voisins les plus proches avec lesquels il peut établir la communication. Le corps de Zhelatin ne contient pas de fonctions véritablement destructrices, toutefois les auteurs ont prévu la possibilité de le cacher et ils ont intégré au ver un mécanisme de dissimulation de l’activité.

Un an avant l’apparition du ver de messagerie, nous soupçonnions l’émergence prochaine d’une « usine » à vers. Nous ne nous étions pas étendus sur le sujet car la technologie devait être particulièrement dangereuse et nous nous préparions à donner une riposte adéquate à la nouvelle menace.

Il faut signaler que l’auteur de Zhelatin n’est pas le premier à utiliser la production automatisée de nouvelles versions de son programme. En 2006, le ver Email-Worm.Win32.Warezov commença à se diffuser activement en septembre et en octobre. Nous recevions chaque jour des dizaines de nouvelles modifications. Nous avions d’ores et déjà compris que l’heure des vers de messagerie était arrivée. Ce sont précisément deux de ces vers, à savoir Warezov et Zhelatin, qui ont été en 2007 les principales causes des variations du nombre de nouveaux programmes malveillants de la catégorie Email-Worm détectés. Le graphique suivant l’illustre particulièrement bien.



Nombre de nouveaux programmes malveillants des familles Warezov et Zhelatin

Les courbes qui représentent le nombre de nouveaux fichiers malveillants Zhelatin et Warezov sont presque identiques à la courbe des programmes de la catégorie Email-Worm dans son ensemble.

La situation des vers de messagerie est on ne peut plus claire : ils sont présents et rien n’indique qu’ils vont disparaître bien qu’il n’existe pas de tendance univoque en faveur d’une augmentation sensible du nombre de versions différentes des vers de messagerie. Cette augmentation va se produire progressivement, ce que montre le graphique ci-dessus.

Programmes malveillants des autres comportements

La deuxième position de la liste des comportements les plus diffusés dans le courrier malveillant est occupée par la catégorie Trojan-Dowloader (15 %). Il s’agit de programmes universels de téléchargement de code malveillant aléatoire depuis Internet. L’envoi de Trojan-Downloader au lieu d’un programme malveillant particulier permet aux créateurs du code malveillant d’augmenter leur chance d’infection du système distant. Au début Trojan-Downloader désactive le service de la protection antivirus puis télécharge depuis Internet un autre programme malveillant qu’il exécute immédiatement. Si Trojan-Downloader parvient à désactiver le logiciel antivirus sur l’ordinateur infecté, alors le programme qu’il télécharge peut être n’importe lequel, y compris un programme qui est détecté normalement depuis longtemps par tous les logiciels antivirus. Ainsi, le développeur du code malveillant ne doit pas lancer une nouvelle version d’un programme malveillant particulier une fois qu’il est détecté par les logiciels antivirus. Il suffit simplement d’utiliser un Trojan-Downloader compact et simple dont le développement ne requiert que très peu d’efforts. Ceci explique la popularité du comportement Trojan-Downloader.

Derrière Trojan-Downloader, nous retrouvons le comportement Trojan-Spy (13 %). Il s’agit de programmes conçus pour voler des informations confidentielles aussi bien d’ordinateurs dans les entreprises afin de pouvoir pénétrer dans le réseau informatique de celles-ci que d’ordinateurs particuliers afin que l’escroc puisse exploiter les données volées à son avantage.

Les trois comportements suivant dans la liste sont loin derrière le trio de tête en termes de pourcentage : la part de chacun d’entre eux dans le courrier indésirable n’est que de 3 %.

Trojan-Dropper. Le but poursuivi par les programmes de ce comportement est identique à celui des programmes appartenant à la catégorie Trojan-Downloader : installation d’un autre programme malveillant sur l’ordinateur. La seule différence entre ces deux comportements est que Trojan-Dropper porte l’autre programme malveillant en lui tandis que Trojan-Downloader le télécharge depuis Internet. A en croire les statistiques, les individus mal intentionnés préfèrent utiliser les avantages du téléchargement du code malveillant. C’est pourquoi ils utilisent Trojan-Downloader.

Exploit. Il est intéressant de constater que ce comportement était auparavant très rare dans le courrier indésirable. Les messages qui contiennent des codes d’exploitation sont en général diffusés lors d’attaques ciblées de pirates informatiques. De nos jours, le nombre d’utilisateurs inexpérimentés qui ouvrent un fichier exécutable depuis la pièce jointe est de plus en plus réduit et les codes d’exploitation gagnent en popularité car ils permettent à l’individu mal intentionné d’exécuter le code sur l’ordinateur de la victime dès l’ouverture du message. L’utilisateur n’a pas besoin d’enregistrer le fichier exécutable et de l’ouvrir depuis le disque. Tout se passe en mode automatique, à l’insu de l’utilisateur. Nous supposons que la part des codes d’exploitation dans le trafic de messagerie malveillante va augmenter et il est probable qu’ils occupent, d’ici quelques années, la première place parmi les programmes malveillants diffusés via le courrier électronique.

Il est intéressant de constater que Password-protected-EXE se retrouve dans le Top 10 des comportements les plus répandus. Le « repérage » de Password-protected-EXE n’évoque pas en lui-même le côté malveillant du fichier. Le logiciel antivirus se contente de signaler à l’utilisateur que ce fichier peut présenter un danger. Password-protected-EXE sont les archives auto-extractibles protégées par mot de passe. De nombreux programmes malveillants sont diffusés dans des archives auto-extractibles de ce genre avec indication du mot de passe dans le corps du message. Cette technique est employée pour empêcher que les logiciels antivirus qui analysent le trafic puissent ouvrir l’archive et découvrir le programme malveillant qu’elle contient. Lorsqu’un programme de ce genre est lancé, l’utilisateur est invité à saisir le mot de passe et dès que cela a été fait, le programme extrait un ou plusieurs fichiers qu’il peut exécuter.

Les comportements Trojan (1,51 %) et Virus (1,15 %) clôturent le Top 10 des programmes malveillants les plus répandus dans le courrier. Le comportement Trojan regroupe divers chevaux de Troie aux fonctions les plus diverses qui empêchent le classement du programme dans une catégorie particulière et qui ne présente pas un grand intérêt. S’agissant du comportement Virus, il s’agit, en règle générale, de fichiers infectés par un virus sur l’ordinateur infecté de l’utilisateur. Par conséquent, ces fichiers sont envoyés par l’utilisateur lui-même qui ne soupçonne pas l’infection.

Familles de programmes malveillants les plus répandues dans le courrier électronique

Un autre diagramme qui représente le Top 10 des familles de programmes malveillants (sans regroupement par comportement) n’est pas dépourvu d’intérêt.



Trafic mondial des messages malveillants (par famille)

Il est intéressant de constater que malgré la présence en première place de Zhelatin pour le nombre de modifications en 2007, le nombre total de messages proposant Zhelatin en pièce jointe ne figure même pas dans le Top 10 ! En première position, nous retrouvons notre vétéran Email-Worm.Win32.Netsky. Viennent ensuite les diffusions de messages bancaires frauduleux classés comme Trojan-Spy.HTML.Bankfraud.

S’agissant des deux vers de messagerie qui ont fait le plus parler d’eux (Zhelatin et Warezov), nous retrouvons seulement Warezov, en cinquième position uniquement.

Zhelatin n’a pas réussi à devancer Warezov en termes de diffusion dans le courrier. Il est tout à fait probable que les auteurs du ver Zhelatin n’ont pas cherché à imposer leur création dans le trafic de messagerie. Toutefois, nous pouvons considérer que la réalisation de la fonction de ver de messagerie a été un échec par rapport à la réalisation d’autres fonctions du programme malveillant.

Conclusion

Les éléments suivants sont à retenir :

Tout d’abord, surveiller tout particulièrement l’approche de la création de code malveillant apparue en 2006, à savoir l’idée de la production de programmes en mode automatique avec une fréquence définie. Nous n’avions pas pensé qu’une telle usine puisse fonctionner longtemps et pourtant, elle existe toujours à ce jour et le mécanisme qui donne naissance sans cesse à de nouvelles versions de Warezov continue à fonctionner quelque part. En 2007, Warezov a eu un successeur : le ver Zhelatin créé selon une méthode similaire. Ceci étant dit, les épidémies de Zhelatin et Warezov ont tendance à se calmer, ce qui veut dire que les éditeurs de logiciels antivirus parviennent à les neutraliser.

L’autre modification digne d’attention est l’intérêt croissant porté aux codes d’exploitation. La part des codes d’exploitation diffusés par courrier augmente et ceci est inquiétant car, s’ils sont appliqués en masse, les codes d’exploitation constituent une grave menace pour les utilisateurs quel que soit leur niveau d’expertise : ils permettent d’infecter rapidement les ordinateurs des utilisateurs débutants comme ceux des experts.

L’intérêt manifesté pour le trafic de messagerie recule. Cela s’explique par la hausse du nombre de nouveaux services Internet : un nombre croissant de programmes malveillants envahissent les espaces de la Toile. Cela ne signifie pas pour autant que nous pouvons oublier les programmes malveillants dans le courrier : il suffirait de baisser un tant soit peu sa garde pour que la situation change radicalement !

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *