Classement des programmes malveillants – août 2010

Le mois dernier avait été marqué par l’augmentation sensible de l’activité de l’exploitation de la vulnérabilité CVE-2010-2568. Elle est exploitée par le ver de réseau Worm.Win32.Stuxnet qui a fait beaucoup parler de lui à la fin du mois de juillet, ainsi que par le cheval de Troie de type dropper qui installe sur l’ordinateur infecté la dernière version du virus Sality (Virus.Win32.Sality.ag). Comme il fallait s’y attendre, les individus malintentionnés s’en sont tout de suite prix à la nouvelle faille dans la version la plus populaire à l’heure actuelle du système d’exploitation Microsoft Windows. Mais dès le 2 août, Microsoft publiait le correctif MS10-046 qui éliminait cette vulnérabilité. Cette mise à jour est qualifiée de critique, ce qui signifie que son installation est obligatoire pour tous les utilisateurs du système.

Programmes malveillants découverts sur les ordinateurs des utilisateurs

Le premier tableau reprend le Top 20 des programmes malveillants et potentiellement indésirables découverts et neutralisés sur les ordinateurs des utilisateurs.

Rang Evolution Programme malicieux Nombre d’ordinateurs infectés
1   0 Net-Worm.Win32.Kido.ir   280087  
2   0 Virus.Win32.Sality.aa   172770  
3   0 Net-Worm.Win32.Kido.ih   153825  
4   0 Net-Worm.Win32.Kido.iq   107156  
5   1 Trojan.JS.Agent.bhr   106796  
6   -1 Exploit.JS.Agent.bab   90465  
7   0 Worm.Win32.FlyStudio.cu   75394  
8   0 Virus.Win32.Virut.ce   68010  
9   new Exploit.Win32.CVE-2010-2568.d   52193  
10   -1 Trojan-Downloader.Win32.VB.eql   48440  
11   new P2P-Worm.Win32.Palevo.arxz   42145  
12   new Exploit.Win32.CVE-2010-2568.b   40385  
13   -3 Worm.Win32.Mabezat.b   38252  
14   new Worm.Win32.VBNA.b   37461  
15   new AdWare.WinLNK.Agent.a   37240  
16   new Virus.Win32.Sality.ag   36144  
17   new Trojan-Dropper.Win32.Sality.r   32352  
18   new Trojan.Win32.Autoit.ci   31391  
19   -8 Trojan-Dropper.Win32.Flystud.yo   29475  
20   new Packed.Win32.Krap.ao   29309  

La première moitié du classement est pratiquement inchangée par rapport au mois précédent, si ce n’est quelques permutations.

Le ver de réseau Kido (1e, 3e et 4e position) et les virus Virus.Win32.Virut.ce (8e place), Virus.Win32.Sality.aa (2e place) maintiennent fermement leurs positions. Cela concerne également les codes d’exploitation qui exploitent la vulnérabilité CVE-2010-0806, à savoir Trojan.JS.Agent.bhr (5e place) et Exploit.JS.Agent.bab (6e place).

Nous avions signalé, dans le classement du mois de juillet la nouvelle vulnérabilité des raccourcis LNK de Windows qui fut désignée plus tard en tant que CVE-2010-2568. Comme nous l’avions deviné, cette vulnérabilité a joui d’une certaine popularité auprès des individus malintentionnés : le classement du mois d’août contient trois programmes malveillants en rapport d’une manière ou d’une autre avec CVE-2010-2568. Deux d’entre eux (les codes d’exploitation Exploit.Win32.CVE-2010-2568.d (9e place) et Exploit.Win32.CVE-2010-2568.b (12e place), utilisent directement cette vulnérabilité. Le troisième, Trojan-Dropper.Win32.Sality.r (17e place), exploite cette vulnérabilité pour ce diffuser. Il génère des raccourcis LNK vulnérables portant des noms attrayants pour les utilisateurs et les diffuse sur le réseau local. Quand l’utilisateur ouvre le dossier contenant ce lien, le programme malveillant est exécuté. La fonction principale de Trojan-Dropper.Win32.Sality.r consiste à installer dans le système la dernière modification du virus Sality – Virus.Win32.Sality.ag (16e place).

Programmes malveillants sur Internet

Le deuxième tableau décrit la situation sur Internet. Ce classement reprend les programmes malveillants découverts dans les pages Web ainsi que les programmes malveillants qui ont tenté de se télécharger depuis les pages Web sur les ordinateurs des utilisateurs.

Rang Evolution Programme malicieux Nombre de tentatives uniques de téléchargement
1   new Trojan-Downloader.Java.Agent.ft   135755  
2   -1 Exploit.JS.Agent.bab   127561  
3   9 Exploit.HTML.CVE-2010-1885.a   85502  
4   2 Trojan.JS.Agent.bhr   67061  
5   4 AdWare.Win32.FunWeb.ds   60129  
6   new Exploit.HTML.CVE-2010-1885.c   57988  
7   new AdWare.Win32.FunWeb.di   50928  
8   -4 AdWare.Win32.FunWeb.q   50504  
9   new Exploit.HTML.HCP.b   46874  
10   -6 Exploit.Java.CVE-2010-0886.a   45844  
11   -5 Trojan-Downloader.VBS.Agent.zs   37578  
12   8 Trojan.JS.Redirector.cq   37479  
13   new Trojan-Clicker.JS.Iframe.fq   35181  
14   5 AdWare.Win32.FunWeb.ci   33073  
15   new Exploit.Java.CVE-2010-0094.a   30062  
16   new Exploit.JS.Pdfka.cop   29588  
17   new Exploit.HTML.CVE-2010-1885.d   28396  
18   new Exploit.JS.CVE-2010-0806.b   26990  
19   new AdWare.Win32.FunWeb.fb   26350  
20   new Exploit.HTML.CVE-2010-1885.b   25820  

Par rapport aux mois précédents, le classement du mois d’août compte très peu de nouveautés (10 seulement) et la majorité d’entre elles sont des modifications de codes d’exploitations de vulnérabilités déjà connues. Le Top 20 compte un total de 12 codes d’exploitation en rapport avec six vulnérabilités différentes.

C’est la vulnérabilité CVE-2010-1885 qui a été la plus populaire ce mois-ci auprès des individus malintentionnés. Elle est utilisée par cinq codes d’exploitation du Top 20 : Exploit.HTML.CVE-2010-1885.a (3e place), Exploit.HTML.CVE-2010-1885.c (6e place), Exploit.HTML.HCP.b (9e place), Exploit.HTML.CVE-2010-1885.d (17e place) et Exploit.HTML.CVE-2010-1885.b (20e place). À titre de comparaison, le classement du mois de juillet contenait un seul code d’exploitation de cette vulnérabilité. La vulnérabilité CVE-2010-1885 utilise une lacune dans le centre d’aide et d’assistance de Windows et permet d’exécuter un code malveillant sur les systèmes Windows XP et Windows 2003. Il semblerait que la popularité de ces systèmes a entraîné l’augmentation du nombre de codes d’exploitation de cette faille dans MS Windows.

En terme de popularité, CVE-2010-1885 est suivi par CVE-2010-0806 qui n’est pas près d’abandonner sa position. Elle est utilisée par trois codes d’exploitation différents dans le TOP 20 : deux scripts, présents dans le classement des mois antérieurs, Exploit.JS.Agent.bab (2e place) et Trojan.JS.Agent.bhr (4e place) et une nouveauté du classement Exploit.JS.CVE-2010-0806.b (18e place).

Trois autres codes d’exploitation du Top 20 utilisent des vulnérabilités dans des applications Java. La première place du classement du mois d’octobre est occupée par le code d’exploitation Trojan-Downloader.Java.Agent.ft qui utilise une vulnérabilité assez ancienne et que nous avions déjà étudiée: la vulnérabilité CVE-2009-3867. Exploit.Java.CVE-2010-0886.a (10e place), qui exploiteCVE-2010-0886, n’a pas quitté le classement depuis le mois dernier. Il est intéressant de noter l’apparition du premier code d’exploitation pour la vulnérabilité CVE-2010-0094, découverte pourtant au début du mois d’avril 2010. Exploit.Java.CVE-2010-0094.a (15e place) contient plusieurs appels de fonctions qui entraînent finalement l’exécution du code malveillant.

Share post on:

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *