
Kaspersky Lab présente les classements des programmes malveillants du mois de septembre 2010.
Un nombre relativement faible de nouveaux programmes malveillants a fait son entrée dans les deux classements. Il convient toutefois de remarquer l’arrivée d’un nouveau « kit » : Trojan-Dropper.Win32.Sality.cx installe Virus.Win32.Sality.bh sur l’ordinateur. Le dropper se propage via une vulnérabilité dans les fichiers WinLNK (raccourcis). Notez par ailleurs le recul marqué du nombre de codes d’exploitation de la vulnérabilité CVE-2010-1885 du Centre d’aide et de support Windows très utilisée au mois d’août. Le mois de septembre se distingue également par le fait que le nombre de codes d’exploitation dans le Top 20 des programmes malveillants sur Internet est égal au nombre de logiciels publicitaires (7).
Les deux classements ne reprennent pas les données de la détection heuristique qui permet d’identifier,à l’heure actuelle, de 25 à 30 % de tous les programmes malveillants détectables. Nous avons l’intention à l’avenir de présenter des données plus détaillées sur les résultats de l’analyse heuristique.
Programmes malveillants découverts sur les ordinateurs des utilisateurs
Le premier tableau reprend les programmes malveillants et potentiellement indésirables découverts et neutralisés sur les ordinateurs des utilisateurs.
Rang | Évolution | Programme malveillant | Nombre d’ordinateurs infectés |
1 | ![]() |
Net-Worm.Win32.Kido.ir | 371564 |
2 | ![]() |
Virus.Win32.Sality.aa | 166100 |
3 | ![]() |
Net-Worm.Win32.Kido.ih | 150399 |
4 | ![]() |
Trojan.JS.Agent.bhr | 95226 |
5 | ![]() |
Exploit.JS.Agent.bab | 81681 |
6 | ![]() |
Worm.Win32.FlyStudio.cu | 80829 |
7 | ![]() |
Virus.Win32.Virut.ce | 76155 |
8 | ![]() |
Net-Worm.Win32.Kido.iq | 65730 |
9 | ![]() |
Exploit.Win32.CVE-2010-2568.d | 59562 |
10 | ![]() |
Trojan-Downloader.Win32.VB.eql | 53782 |
11 | ![]() |
Virus.Win32.Sality.bh | 44614 |
12 | ![]() |
Exploit.Win32.CVE-2010-2568.b | 43665 |
13 | ![]() |
Worm.Win32.Autoit.xl | 40065 |
14 | ![]() |
Worm.Win32.Mabezat.b | 39239 |
15 | ![]() |
Packed.Win32.Katusha.o | 39051 |
16 | ![]() |
Trojan-Dropper.Win32.Sality.cx | 38150 |
17 | ![]() |
Worm.Win32.VBNA.b | 37236 |
18 | ![]() |
P2P-Worm.Win32.Palevo.avag | 36503 |
19 | ![]() |
AdWare.WinLNK.Agent.a | 32935 |
20 | ![]() |
Trojan-Downloader.Win32.Geral.cnh | 31997 |
Au cours du mois dernier, quatre nouveaux programmes ont fait leur entrée dans le classement. Deux d’entre eux avaient déjà fait des apparitions dans des classements antérieurs.
Le Top 10 du classement n’a pas connu de grands bouleversements, si ce n’est le recul de la 4e à la 8e place d’une des modifications du ver de réseau Kido, à savoir la version « iq ».
Deux codes d’exploitation, Exploit.Win32.CVE-2010-2568.d (9e place) et Exploit.Win32.CVE-2010-2568.b (12e place), qui visent la vulnérabilité CVE-2010-2568 dans les raccourcis des systèmes d’exploitation Windows, ont maintenu leur position. Toutefois, le programme malveillant qui exploite activement ces codes d’exploitation a changé. Alors qu’il s’agissait de Trojan-Dropper.Win32.Sality.r dans le classement du mois d’août, il s’agit maintenant d’un représentant plus récent de cette même famille : Sality.cx (16e place). Sa structure évoque la modification « r », mais lorsqu’il est exécuté sur l’ordinateur infecté, il installe non pas Virus.Win32.Sality.ag, comme au mois d’août, mais une nouvelle modification du virus Sality.bh (11e place). Ainsi, un nouveau représentant de la famille du virus polymorphe Sality se propage à l’aide de codes d’exploitation de la vulnérabilité CVE-2010-2568. Nous tenons à signaler que le dropper de Sality.cx contient une URL avec des mots en russe. Cela peut vouloir dire que ses auteurs sont russophones.
Le deuxième tableau décrit la situation sur Internet. Ce classement reprend les programmes malveillants découverts dans les pages Web ainsi que les programmes malveillants qui ont tenté de se télécharger depuis les pages Web sur les ordinateurs des utilisateurs. Le classement du mois de septembre des programmes malveillants présents sur Internet diffère beaucoup des classements antérieurs : il ne compte que 6 nouvelles entrées. Normalement, le nombre de nouveautés est bien plus élevé. Commençons par sept codes d’exploitation présents dans le classement. Exploit.JS.Agent.bab (1re place), Trojan.JS.Agent.bhr (6e place) et Exploit.JS.CVE-2010-0806.b (15e place) exploitent la vulnérabilité CVE-2010-0806 et cela fait plusieurs mois maintenant qu’ils occupent le haut du classement. Tout indique que cette vulnérabilité dans Internet Explorer va être exploitée par les cybercriminels pendant longtemps encore. Le nombre de codes d’exploitation pour la vulnérabilité CVE-2010-1885 est en recul et est passé de cinq au mois d’août à un seul au mois de septembre : Exploit.HTML.CVE-2010-1885.d (3e position). Trojan-Downloader.Java.Agent.ft (2e place) et Trojan-Downloader.Java.Agent.gr (12e place) sont deux autres codes d’exploitation dans le classement qui visent une vulnérabilité de la fonction getSoundBank(). Et Exploit.Java.CVE-2010-0886.a (11e place), le dernier représentant des codes d’exploitation, figure dans chaque classement depuis le mois de mai. Pour la première fois, au mois de septembre, le nombre de codes d’exploitation était égal à celui des logiciels publicitaires. Sept logiciels publicitaires apparaissent dans le Top 20, dont FunWeb. ge (9e place) qui n’avait jamais figuré au classement. Le reste avait déjà fait une apparition dans les classements antérieurs : FunWeb.di (4e place, FunWeb.ds (5e place), FunWeb.fb (10e place), FunWeb.q (13e place), FunWeb.ci (16e place) et Boran.z (18e place) présent dans le classement du mois de juillet. Penchons-nous maintenant sur les nouveautés du Top 20 du mois de septembre. Le programme malveillant Exploit.SWF.Agent.du (7e place), qui est un fichier Flash vulnérable, est très intéressant. Avant lui, nous avions rarement observé l’exploitation des vulnérabilités dans la technologie Flash. Le nouveau représentant de la catégorie Trojan-Downloader, Trojan-Downloader.Java.OpenStream.ap (17e position), utilise les classes standard du langage Java pour télécharger un objet malveillant. L’obfuscation est employée dans la création de cette application.Programmes malveillants sur Internet
Rang
Évolution
Programme malveillant
Nombre de tentatives uniques de téléchargement
1
1
Exploit.JS.Agent.bab
127123
2
-1
Trojan-Downloader.Java.Agent.ft
122752
3
14
Exploit.HTML.CVE-2010-1885.d
75422
4
3
AdWare.Win32.FunWeb.di
61515
5
0
AdWare.Win32.FunWeb.ds
56754
6
-2
Trojan.JS.Agent.bhr
51398
7
new
Exploit.SWF.Agent.du
43076
8
3
Trojan-Downloader.VBS.Agent.zs
42021
9
new
AdWare.Win32.FunWeb.ge
41986
10
9
AdWare.Win32.FunWeb.fb
37992
11
-1
Exploit.Java.CVE-2010-0886.a
37707
12
new
Trojan-Downloader.Java.Agent.gr
36726
13
-5
AdWare.Win32.FunWeb.q
31886
14
2
Exploit.JS.Pdfka.cop
29025
15
3
Exploit.JS.CVE-2010-0806.b
28366
16
-2
AdWare.Win32.FunWeb.ci
26254
17
new
Trojan-Downloader.Java.OpenStream.ap
21592
18
return
AdWare.Win32.Boran.z
20639
19
new
Trojan-Clicker.HTML.IFrame.fh
19799
20
new
Exploit.Win32.Pidief.ddd
19167
Classement des programmes malveillants – septembre 2010