Classement des programmes malveillants – septembre 2010

Kaspersky Lab présente les classements des programmes malveillants du mois de septembre 2010.

Un nombre relativement faible de nouveaux programmes malveillants a fait son entrée dans les deux classements. Il convient toutefois de remarquer l’arrivée d’un nouveau « kit » : Trojan-Dropper.Win32.Sality.cx installe Virus.Win32.Sality.bh sur l’ordinateur. Le dropper se propage via une vulnérabilité dans les fichiers WinLNK (raccourcis). Notez par ailleurs le recul marqué du nombre de codes d’exploitation de la vulnérabilité CVE-2010-1885 du Centre d’aide et de support Windows très utilisée au mois d’août. Le mois de septembre se distingue également par le fait que le nombre de codes d’exploitation dans le Top 20 des programmes malveillants sur Internet est égal au nombre de logiciels publicitaires (7).

Les deux classements ne reprennent pas les données de la détection heuristique qui permet d’identifier,à l’heure actuelle, de 25 à 30 % de tous les programmes malveillants détectables. Nous avons l’intention à l’avenir de présenter des données plus détaillées sur les résultats de l’analyse heuristique.

Programmes malveillants découverts sur les ordinateurs des utilisateurs

Le premier tableau reprend les programmes malveillants et potentiellement indésirables découverts et neutralisés sur les ordinateurs des utilisateurs.

Rang Évolution Programme malveillant Nombre d’ordinateurs infectés
1   0 Net-Worm.Win32.Kido.ir   371564  
2   0 Virus.Win32.Sality.aa   166100  
3   0 Net-Worm.Win32.Kido.ih   150399  
4   1 Trojan.JS.Agent.bhr   95226  
5   1 Exploit.JS.Agent.bab   81681  
6   1 Worm.Win32.FlyStudio.cu   80829  
7   1 Virus.Win32.Virut.ce   76155  
8   -4 Net-Worm.Win32.Kido.iq   65730  
9   0 Exploit.Win32.CVE-2010-2568.d   59562  
10   0 Trojan-Downloader.Win32.VB.eql   53782  
11   new Virus.Win32.Sality.bh   44614  
12   0 Exploit.Win32.CVE-2010-2568.b   43665  
13   return Worm.Win32.Autoit.xl   40065  
14   -1 Worm.Win32.Mabezat.b   39239  
15   new Packed.Win32.Katusha.o   39051  
16   new Trojan-Dropper.Win32.Sality.cx   38150  
17   -3 Worm.Win32.VBNA.b   37236  
18   new P2P-Worm.Win32.Palevo.avag   36503  
19   -4 AdWare.WinLNK.Agent.a   32935  
20   return Trojan-Downloader.Win32.Geral.cnh   31997  

Au cours du mois dernier, quatre nouveaux programmes ont fait leur entrée dans le classement. Deux d’entre eux avaient déjà fait des apparitions dans des classements antérieurs.

Le Top 10 du classement n’a pas connu de grands bouleversements, si ce n’est le recul de la 4e à la 8e place d’une des modifications du ver de réseau Kido, à savoir la version « iq ».

Deux codes d’exploitation, Exploit.Win32.CVE-2010-2568.d (9e place) et Exploit.Win32.CVE-2010-2568.b (12e place), qui visent la vulnérabilité CVE-2010-2568 dans les raccourcis des systèmes d’exploitation Windows, ont maintenu leur position. Toutefois, le programme malveillant qui exploite activement ces codes d’exploitation a changé. Alors qu’il s’agissait de Trojan-Dropper.Win32.Sality.r dans le classement du mois d’août, il s’agit maintenant d’un représentant plus récent de cette même famille : Sality.cx (16e place). Sa structure évoque la modification « r », mais lorsqu’il est exécuté sur l’ordinateur infecté, il installe non pas Virus.Win32.Sality.ag, comme au mois d’août, mais une nouvelle modification du virus Sality.bh (11e place). Ainsi, un nouveau représentant de la famille du virus polymorphe Sality se propage à l’aide de codes d’exploitation de la vulnérabilité CVE-2010-2568. Nous tenons à signaler que le dropper de Sality.cx contient une URL avec des mots en russe. Cela peut vouloir dire que ses auteurs sont russophones.

Programmes malveillants sur Internet

Le deuxième tableau décrit la situation sur Internet. Ce classement reprend les programmes malveillants découverts dans les pages Web ainsi que les programmes malveillants qui ont tenté de se télécharger depuis les pages Web sur les ordinateurs des utilisateurs.

Rang Évolution Programme malveillant Nombre de tentatives uniques de téléchargement
1   1 Exploit.JS.Agent.bab   127123  
2   -1 Trojan-Downloader.Java.Agent.ft   122752  
3   14 Exploit.HTML.CVE-2010-1885.d   75422  
4   3 AdWare.Win32.FunWeb.di   61515  
5   0 AdWare.Win32.FunWeb.ds   56754  
6   -2 Trojan.JS.Agent.bhr   51398  
7   new Exploit.SWF.Agent.du   43076  
8   3 Trojan-Downloader.VBS.Agent.zs   42021  
9   new AdWare.Win32.FunWeb.ge   41986  
10   9 AdWare.Win32.FunWeb.fb   37992  
11   -1 Exploit.Java.CVE-2010-0886.a   37707  
12   new Trojan-Downloader.Java.Agent.gr   36726  
13   -5 AdWare.Win32.FunWeb.q   31886  
14   2 Exploit.JS.Pdfka.cop   29025  
15   3 Exploit.JS.CVE-2010-0806.b   28366  
16   -2 AdWare.Win32.FunWeb.ci   26254  
17   new Trojan-Downloader.Java.OpenStream.ap   21592  
18   return AdWare.Win32.Boran.z   20639  
19   new Trojan-Clicker.HTML.IFrame.fh   19799  
20   new Exploit.Win32.Pidief.ddd   19167  

Le classement du mois de septembre des programmes malveillants présents sur Internet diffère beaucoup des classements antérieurs : il ne compte que 6 nouvelles entrées. Normalement, le nombre de nouveautés est bien plus élevé.

Commençons par sept codes d’exploitation présents dans le classement. Exploit.JS.Agent.bab (1re place), Trojan.JS.Agent.bhr (6e place) et Exploit.JS.CVE-2010-0806.b (15e place) exploitent la vulnérabilité CVE-2010-0806 et cela fait plusieurs mois maintenant qu’ils occupent le haut du classement. Tout indique que cette vulnérabilité dans Internet Explorer va être exploitée par les cybercriminels pendant longtemps encore. Le nombre de codes d’exploitation pour la vulnérabilité CVE-2010-1885 est en recul et est passé de cinq au mois d’août à un seul au mois de septembre : Exploit.HTML.CVE-2010-1885.d (3e position). Trojan-Downloader.Java.Agent.ft (2e place) et Trojan-Downloader.Java.Agent.gr (12e place) sont deux autres codes d’exploitation dans le classement qui visent une vulnérabilité de la fonction getSoundBank(). Et Exploit.Java.CVE-2010-0886.a (11e place), le dernier représentant des codes d’exploitation, figure dans chaque classement depuis le mois de mai.

Pour la première fois, au mois de septembre, le nombre de codes d’exploitation était égal à celui des logiciels publicitaires. Sept logiciels publicitaires apparaissent dans le Top 20, dont FunWeb. ge (9e place) qui n’avait jamais figuré au classement. Le reste avait déjà fait une apparition dans les classements antérieurs : FunWeb.di (4e place, FunWeb.ds (5e place), FunWeb.fb (10e place), FunWeb.q (13e place), FunWeb.ci (16e place) et Boran.z (18e place) présent dans le classement du mois de juillet.

Penchons-nous maintenant sur les nouveautés du Top 20 du mois de septembre. Le programme malveillant Exploit.SWF.Agent.du (7e place), qui est un fichier Flash vulnérable, est très intéressant. Avant lui, nous avions rarement observé l’exploitation des vulnérabilités dans la technologie Flash. Le nouveau représentant de la catégorie Trojan-Downloader, Trojan-Downloader.Java.OpenStream.ap (17e position), utilise les classes standard du langage Java pour télécharger un objet malveillant. L’obfuscation est employée dans la création de cette application.

Stuxnet

Avant de tirer les conclusions pour ce mois, il faut citer le ver Stuxnet, même s’il n’est pas entré dans le Top 20 en raison de sa spécialisation très étroite.

La presse a beaucoup parlé de Stuxnet au mois de septembre, même si sa découverte remonte au début du mois de juillet. Pour rappel, ce programme malveillant exploite quatre vulnérabilités zero-day et utilise deux certificats authentiques des sociétés Realtek et JMicron. Toutefois, la particularité de Stuxnet qui lui a valu tant d’attention, c’est son objectif. La principale tâche de ce programme malveillant n’est pas la diffusion de messages non sollicités ou le vol des données confidentielles de l’utilisateur, mais bien le contrôle des systèmes industriels. Il s’agit d’un programme de nouvelle génération dont l’émergence relance le débat du cyberterrorisme et de la cyberguerre.

L’Inde, l’Indonésie et l’Iran ont été les principaux pays victimes de ce programme malveillant. Voici une carte illustrant la propagation de Stuxnet à la fin du mois de septembre :

Share post on:

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *