Développement des menaces informatiques au premier trimestre 2012

Chiffres du trimestre

  • Selon les données de KSN, au premier trimestre 2012, les logiciels de Kaspersky Lab ont détecté et neutralisé près d’un milliard de programmes malveillants, soit 28 % de plus qu’au trimestre précédent.
  • 50 % des attaques sont des tentatives d’insertion de code malveillant via Internet. Ce qui représente une augmentation de 10 % par rapport au trimestre précédent.
  • Les programmes malveillants ont été diffusés via 95 080 549 URL, soit 61 % de plus qu’au quatrième trimestre 2011.

Survol de la situation

Réseaux de zombies : redémarrage

De nos jours, les réseaux de zombies figurent parmi les technologies de base utilisées par les cybercriminels. En l’espace de quelques années, les technologies des réseaux de zombies ont connu une évolution active : on a vu apparaître des réseaux de zombies décentralisés et administrés via des réseaux sociaux et le principal vecteur d’infection est le téléchargement à la dérobée. A ce niveau, l’année 2011 aura été relativement calme : les individus malintentionnés n’ont introduit aucune nouveauté révolutionnaire. Mais tout a changé à nouveau au début 2012.

Au premier trimestre 2012, les individus malintentionnés ont construit pour la première fois un réseau de zombies à l’aide d’un bot « dématérialisé ». Nous avons détecté un réseau de zombies mobile qui n’a rien à envier aux réseaux de zombies Windows traditionnels au niveau du nombre d’appareils infectés ainsi qu’un botnet composé de 700 000 ordinateurs tournant sous Mac OS X.

Le bot invisible

Au premier trimestre 2012, nous avons été confrontés à un nouveau mode de création de réseau de zombies : l’auteur a utilisé un bot « dématérialisé ». Ce programme malveillant appartient à une famille très rare de programmes qui n’existent que dans la mémoire vive de l’ordinateur.

Ce problème a été détecté suite à l’émergence d’anomalies sur les ordinateurs infectés : après avoir accédé à des sites Internet populaires en Russie, les ordinateurs commençaient à envoyer des requêtes de réseau à des ressources tiers, puis dans certains cas, des fichiers cryptés apparaissaient sur les disques. Aucun fichier exécutable n’a cependant été détecté. Une analyse plus poussée permit de mettre à jour toute la séquence de l’infection des ordinateurs et de la création du réseau de zombies qui était assez sophistiquée.

Tout d’abord, les ordinateurs étaient infectés via une attaque par téléchargement à la dérobée qui utilisait un code d’exploitation java de la vulnérabilité CVE-2011-3544. Le lien qui redirigeait les utilisateurs vers le site hébergeant le code d’exploitation se trouvait dans un groupe de publicités du célèbre réseau de bannières AdFox qui apparaissait sur des sites d’informations.

Après l’exploitation réussie de la vulnérabilité, le code d’exploitation, au lieu de télécharger un fichier malveillant sur le disque dur, insérait une bibliothèque dynamique malveillante directement dans la mémoire du processus Java. Après la réussite de l’injection et du lancement, le programme malveillant récoltait au nom de Java des informations sur les sites visités par l’utilisateur. Et si cette liste contenait des sites liés à des banques, alors le cheval de Troie Lurk, spécialisé dans le vol de données d’accès aux services de banque en ligne; était téléchargé.

Le professionnalisme des experts de Kaspersky Lab, d’AdFox et de l’enquêteur, qui a préféré resté anonyme, ont permis de mettre un terme à l’infection.

Bien que le processus malveillant ne pouvait exister dans la mémoire vive de l’ordinateur que jusqu’au redémarrage du système d’exploitation, il ne faut pas oublier que l’infection se produisait via des sites très fréquentés. Les individus malintentionnés ont pu ainsi infecter chaque jour les ordinateurs des utilisateurs et maintenir de la sorte la population de bots dans le réseau. Et après le redémarrage du système, il ne restait pratiquement plus aucune trace sur le disque dur de l’infection de l’ordinateur et de la collecte d’informations

Au cours de cet incident, deux technologies connues, à savoir l’exploitation d’une vulnérabilité et l’injection dans un processus légitime sans enregistrement d’un fichier sur le disque, ont été combinées dangereusement dans un programme malveillant. L’utilisation d’un bot dématérialisé complique énormément la détection des ordinateurs qui appartiennent à un réseau de zombies : il n’y a aucun fichier exécutable sur le disque dur et toutes les actions des individus malintentionnés sont réalisées au nom d’un processus Java légitime. La seule protection conte de telles menaces est l’installation des correctifs. Toutefois, tous les utilisateurs n’installent pas les mises à jour en temps opportuns et par conséquent, il est probable que nous retrouvions des concepts similaires à l’avenir, mais dans des proportions modestes car cette technologie est assez complexe.

Réseau de zombies d’appareils nomades

Dans notre rapport sur le troisième trimestre 2011, nous avions indiqué que les auteurs de virus qui créent des programmes malveillants pour appareils nomades ont choisi de viser principalement la plateforme Android. Au premier trimestre 2012, nous avons détecté plus de 5 000 (5 444) programmes malveillants pour ce système d’exploitation. Au cours du dernier semestre, le nombre total de programmes malveillants pour Android détectés a été multiplié par 9.


Nombre de modifications découvertes de programmes malveillants pour Android OS

Les auteurs de virus en Russie et en Chine semblent marquer le plus d’intérêt pour Android. Les auteurs de virus chinois ont réussi à créer un réseau de zombies contenant un nombre d’appareils actifs oscillant entre 10 000 et 30 000, tandis que le nombre total de smartphones infectés se comptait en centaines de milliers.

Ce réseau de zombies avait été créé sur la base de la porte dérobée RootSmart dont les fonctionnalités assez larges permettent d’administrer à distance un téléphone ou une tablette sous Android. Pour propager RootSmart, les auteurs de virus ont utilisé une astuce bien connue : ils ont remballé une application légitime et l’ont proposée sur un des nombreux sites non officiels mais très fréquentés pour la diffusion d’applications pour Android. Les personnes qui avaient téléchargé une application pour configurer leur appareil avait obtenu en plus une porte dérobée chargée d’inclure l’appareil mobile dans le réseau de zombies.

L’ampleur de l’infection par RootSmart a permis aux individus malintentionnés de gagner de l’argent avec ce réseau composé de téléphones infectés. Pour ce faire, ils ont choisi la méthode privilégiée des cybercriminels mobiles, à savoir l’envoi de SMS à un numéro surfacturé. Pourquoi le contrôle total de l’appareil est-il nécessaire si la principale fonction du bot est l’envoi de SMS payants ? La réponse est simple : le contrôle total permet de masquer pendant longtemps la présence du programme malveillant, ce qui permet de soustraire de l’argent pendant plus longtemps.

Ce premier cas de grand réseau de zombies d’appareils mobiles permet de tirer des conclusions importantes.

Tout d’abord, en raison de l’apparition peu fréquente de nouvelles versions du système d’exploitation pour appareils mobiles, les individus malintentionnés peuvent utiliser les codes d’exploitation pendant plusieurs mois et peuvent viser la majorité des appareils.

Ensuite, étant donné que l’installation d’un logiciel antivirus sur un appareil nomade n’est pas encore entrée dans les normes, nombreux sont les utilisateurs qui manipulent des périphériques sans se douter qu’ils sont infectés depuis longtemps. Et pendant ce temps, les exploitants de réseaux de zombies peuvent utiliser les appareils à leurs fins.

Pour l’instant, rien ne laisse prévoir une modification radicale de la situation et il est très probable que des réseaux de zombies d’appareils mobiles bien plus grands que RootSmart fassent leur apparition cette année.

Réseau de zombies pour Mac

Un autre réseau de zombies qui a attiré l’attention des experts au premier trimestre est un réseau composé d’ordinateurs tournant sous Mac OS X.

Le cheval de Troie à la base de ce réseau de zombies est détecté par Kaspersky Lab sous le nom Trojan-Downloader.OSX.Flashfake. Et ce n’est pas la première fois que ce programme malveillant est cité dans nos analyses, que se soit l’année dernière ou cette année.

Les premières versions de Flashfake ont fait leur apparition à l’automne dernier. Les auteurs de ce programme malveillant se sont penché sur leur œuvre afin de rendre la présence du programme dans le système la plus discrète possible (par exemple, interdiction de l’installation du cheval de Troie sur des ordinateurs dotés d’une protection, les bots se sont mis à désactiver la mise à jour du système de protection intégré de Mac OS X, Xprotect, etc.) Nous avons ensuite détecté des expériences au niveau de l’administration des réseaux de zombies : par exemple, certaines versions de Flashfake utilisaient en guise de serveur d’administration des comptes créés par les individus malintentionnés sur Twitter.

La tâche principale du bot consiste à télécharger à l’insu de l’utilisateur des modules complémentaires et à les exécuter. Les individus malintentionnés ont également gagné de l’argent en remplaçant les résultats des recherches : un des modules complémentaires remplace les liens donnés par les moteurs de recherche pour les requêtes les plus fréquentes. Il est évident que les individus malintentionnés sont capables de développer et d’utiliser d’autres modules tels que des modules permettant de voler les données sur l’ordinateur infecté.

En mars 2012, il y avait près de 700 000 ordinateurs infectés par Flashback à travers le monde.


Nombre de nouvelles définitions de virus pour Mac OS X ajoutées aux bases des logiciels de Kaspersky Lab

La hausse de popularité de cette plateforme auprès des consommateurs est la principale raison de l’augmentation du nombre de programmes malveillants. Bien que le nombre de programmes malveillants pour Mac OS X soit pour l’instant bien inférieur au nombre de programmes malveillants pour Windows, il ne fait aucun doute que les individus malintentionnés s’intéressent sérieusement à la plateforme Mac. Les utilisateurs ne peuvent dès lors ignorer les règles de base en matière de sécurité.

Aucune attaque en masse de programmes malveillants pour Mac n’a été enregistrée au cours de ce trimestre. Nous avons identifié des cas d’utilisation de programmes malveillants pour cette application dans un autre type d’attaque : les attaques ciblées

Attaques ciblées

Le nombre de victimes d’attaques ciblées continue malheureusement d’augmenter. Les entreprises prennent ce problème très au sérieux, ce qui pousse les individus malintentionnés à développer de nouveaux vecteurs d’attaque.

«Hello». Mac OS X + menace persistante avancée (APT)

De nombreux utilisateurs de Mac pensent toujours qu’ils ne courent aucun danger. Apple affirme depuis longtemps en effet que la sécurité de son système est supérieure à celle des PC. Toutefois, les résultats d’études actuelles indiquent que cette affirmation n’est plus vraie. Et le nombre d’utilisateurs de Mac, qu’il s’agisse de particulier ou d’entreprises ou d’administrations publiques, est assez élevé. Ils travaillent chaque jour sur des documents importants et dans la majorité des cas, ces ordinateurs ne sont pas dotés d’une protection antivirus.

Ces utilisateurs doivent considérer comme un signal d’alarme les attaques ciblées contre des organisations qui utilisent les plateformes Windows et Mac. Pour accéder aux documents secrets, les individus malintentionnés ont utilisé deux chevaux de Troie simultanément : un pour Mac et l’autre pour Windows. Le programme malveillant téléchargé variait en fonction du système d’exploitation de l’ordinateur attaqué. Les commandes envoyées au programme malveillant pour Mac ou Windows provenaient du même centre de commande.

Pour s’introduire dans le système, les individus malintentionnés utilisaient un code d’exploitation pour la vulnérabilité CVE-2011-3544 dans le moteur Java qui fonctionne aussi bien dans Windows que dans Mac OS X. En cas d’attaque réussie, les ordinateurs sous Mac OS X étaient infectés par le programme malveillant Backdoor.OSX.Lasyr. Cette porte dérobée permet aux individus malintentionnés de prendre les commandes de l’ordinateur infecté et, par conséquent, d’accéder à toutes les informations qu’il contient. Il a été découvert au milieu du mois de mars 2012.

Ce n’est pas le seul cas d’attaque ciblée à l’aide de programmes malveillants pour Mac enregistré au premier trimestre 2012. Il y a eu un deuxième cas impliquant la diffusion d’une porte dérobée pour Mac OS X uniquement, Backdoor.OSX.MaControl. L’infection de l’ordinateur s’opérait également via un code d’exploitation, mais pour la suite logicielle de bureautique de Microsoft, très populaire sur toutes les plateformes. Le mode de livraison du code d’exploitation sélectionné était on ne peut plus traditionnel : le courrier électronique. Pour que l’infection de l’ordinateur via la porte dérobée réussisse, il suffisait que l’employé ouvre le fichier .doc joint au message reçu.

A en juger par la rapidité de l’apparition de programmes pour la plateforme Mac OS X utilisés dans le cadre d’attaques ciblées, leur développement ne requiert pas beaucoup de travail de la part des individus malintentionnés. L’insouciance de nombreux utilisateurs de Mac à laquelle vient s’ajouter l’absence de logiciels antivirus installés fait du Mac le maillon le plus faible dans la chaîne du système de protection des entreprises.

Retour de Duqu

Les auteurs de Duqu ont repris le travail après une pause de quatre mois : un nouveau pilote, pratiquement identique à celui utilisé antérieurement dans Duqu, a été détecté dans la nature en mars. Toutefois, les pilotes antérieurs connus avaient été créés le 3 novembre 2010 et le 17 octobre 2011 tandis que la création du nouveau pilote remontait au 23 février 2012.

Les fonctions du nouveau pilote de Duqu correspondent à celles des versions antérieures connues. Les différences dans le code sont minimes et les modifications introduites portent sur la lutte contre la détection du fichier. Le module principal de Duqu associé à ce pilote n’a pas été détecté.

Nos hypothèses ont été confirmées : quand un projet a requis autant d’investissements que le développement de Duqu et Stuxnet, il est impensable d’arrêter simplement l’opération. Les cybercriminels ont simplement agit comme ils le font toujours, à savoir ils ont modifié le code afin d’éviter la détection et ils ont poursuivi les attaques.

Grâce à l’aide de la communauté des développeurs et des chercheurs, nous avons pu identifier le langage de programmation du framework de Duqu. Il s’agit d’OO C. Ceci est intéressant car ce genre de démarche caractérise les développeurs de la vieille école qui travaillent sur des projets « pacifiques » sérieux. Ce langage de programmation n’apparaît jamais dans les programmes malveillants modernes. Ceci confirme une fois de plus que Duqu et Stuxnet sont des programmes malveillants uniques dans leur genre et qui se distinguent vraiment des autres.

Avec moins de 50 victimes à travers le monde, Duqu demeure le cheval de Troie le plus énigmatique jamais découvert. L’intérêt qu’il marque pour l’Iran démontre que ses propriétaires ont l’intention de maintenir les attaques. La complexité de la protection et les divers niveaux de protection du cheval de Troie démontrent à quel point il est important que ce projet passe inaperçu. On peu supposer qu’à l’avenir, la plateforme « Tilded » va suivre la voie de la complexification des technologies de dissimulation et d’obfuscation du code.

Lutte contre la cybercriminalité

Le premier trimestre 2012 aura été marqué non seulement par de nouveaux programmes malveillants et des attaques d’envergure (lire notre article sur les attaques contre les réseaux et les grandes entreprises et http://www.securelist.com/en/blog?topic=199380263, mais également par des actions menées par les éditeurs de logiciels antivirus et les autorités judiciaires : détournement de l’administration du réseau de zombies Hlux (Kelihos), mise hors service des centres de commande de plusieurs réseaux de zombies ZeuS et arrestation de cybercriminels russes.

Hlux.b – interception 2.0

A la fin du mois de mars, Kaspersky Lab, en coopération avec des experts de CrowdStrike Intelligence Team, Dell Secure Works et Honeynet Project, a mené une opération de détournement de l’administration du réseau de zombies décentralisé (P2P) Hlux créé par la deuxième version du bot (Hlux.b). Au moment de l’opération, le réseau de zombies comptait plus de 110 000 de bots.

Arrestation de cybercriminels en Russie

Au cours des trois dernières années, le nombre de chevaux de Troie visant les utilisateurs des services de banque en ligne a connu une croissance active.

Statistiques

Nous présentons ci-dessous les statistiques obtenues suite au fonctionnement de divers composants chargés de la protection contre les programmes malveillants. Toutes les données statistiques citées dans ce rapport ont été obtenues à l’aide du réseau antivirus distribué Kaspersky Security Network (KSN). Ces données proviennent des utilisateurs du KSN qui ont marqué leur accord pour l’utilisation des données. Des millions d’utilisateurs de logiciels de Kaspersky Lab répartis dans 213 pays et territoires participent à cet échange global d’informations sur l’activité des programmes malveillants.

Menaces sur Internet

Les données statistiques présentées dans ce chapitre ont été obtenues via l’antivirus Internet qui protège les utilisateurs au moment de télécharger un code malveillant depuis une page infectée. Cette page infectée peut être un site créé spécialement par les individus malintentionnés, des sites dont le contenu est fourni par les utilisateurs (par exemple, des forums) ou une ressource légitime compromise.

Objets détectés sur Internet

481 411 722 attaques organisées depuis divers sites répartis à travers le monde ont été repoussées au premier trimestre 2012. 95 331 modifications uniques de programmes malveillants ou potentiellement indésirables divers ont été recensées dans l’ensemble dans ces incidents.

Top 20 des objets détectés sur Internet

Classement Nom* % de l’ensemble des attaques**
1 Malicious URL 84,3%
2 Trojan.Script.Iframer 4,8%
3 Trojan.Script.Generic 2,2%
4 Trojan-Downloader.Script.Generic 0,5%
5 Trojan.Win32.Generic 0,4%
6 Trojan.JS.Popupper.aw 0,2%
7 Trojan-Spy.JS.Agent.c 0,2%
8 Trojan-Downloader.JS.Agent.gmf 0,2%
9 Trojan-Downloader.Win32.Agent.gyai 0,2%
10 AdWare.Win32.Screensaver.e 0,1%
11 Trojan-Downloader.JS.Agent.gmr 0,1%
12 Trojan-Downloader.JS.JScript.ag 0,1%
13 Trojan-Downloader.MSIL.Small.eq 0,1%
14 Hoax.Win32.ArchSMS.gen 0,1%
15 Trojan-Downloader.JS.Agent.gnk 0,1%
16 Exploit.Script.Generic 0,1%
17 Packed.Win32.PasswordProtectedEXE.gen 0,1%
18 AdWare.Win32.Screensaver.i 0,1%
19 Trojan.JS.Redirector.ue 0,1%
20 AdWare.Win32.Shopper.lq 0,1%

* Verdicts détectés du module Antivirus Internet. Informations transmises par les utilisateurs des logiciels de Kaspersky Lab ayant marqué leur accord à l’envoi des statistiques.
** Pourcentage de l’ensemble des attaques via Internet enregistrées sur les ordinateurs d’utilisateurs uniques.

En première place du classement, nous retrouvons diverses URL malveillantes (antérieurement, nous les détections sous le statut Blocked) qui figurent dans notre liste noire. Par rapport au trimestre précédent, leur part a augmenté de 2 % et représentait 84 % de l’ensemble des détections. En tête de liste, nous retrouvons différents sites vers lesquels les utilisateurs étaient redirigés. Dans la majorité des cas, l’utilisateur arrive sur le site malveillant via un site légitime qui a été compromis après l’insertion de scripts malveillants (attaque par téléchargement à la dérobée). De plus, les utilisateurs cliquent eux-mêmes sur des liens dangereux, par exemple lorsqu’ils recherchent différents types de contenu pirate. Quoi qu’il en soit, pour garantir le succès d’une attaque via Internet, les individus malintentionnés doivent de nos jours utiliser des codes d’exploitations pour les vulnérabilités d’applications qui n’ont pas été actualisées sur les ordinateurs des utilisateurs : une partie importante des détections d’URL malveillantes est associé comme toujours à des sites liés à des paquets de codes d’exploitation.

12 représentants du Top 20 exploitent des failles dans un logiciel et servent à installer des programmes malveillants sur l’ordinateur de l’utilisateur.

Au premier trimestre 2012, seuls trois représentants de la catégorie des logiciels publicitaires ont fait leur entrée au classement. La tâche de ces programmes est simple : une fois installé sur l’ordinateur, en général sous la forme d’une extension pour un navigateur, il affiche des publicités à l’utilisateur. La réduction du volume de logiciels publicitaires dans le classement (au dernier trimestre, ces programmes représentaient 25 % du Top 20) témoigne du fait que les individus malintentionnés sont une fois de plus passés à des programmes plus dangereux pour les utilisateurs et plus rentables pour eux.

Applications vulnérables utilisées par les individus malintentionnés

Dans la mesure où la majorité des attaques via Internet est réalisée à l’aide de codes d’exploitation qui exploitent les erreurs dans les applications afin de pouvoir déjouer la protection de l’ordinateur et exécuter le code malveillant à l’insu de l’ordinateur, il est normal de se poser la question suivante : quelles sont les applications les plus souvent visées par les codes d’exploitation ? Ce sont ces applications que les utilisateurs doivent mettre à jour en premier lieu et il est préférable d’activer pour celles-ci la mise à jour automatique.

Top 20 des pays dont les ressources hébergent les programmes malveillants

Pour définir la source géographique des attaques Internet, nous avons utilisé une technique de comparaison du nom de domaine et de l’adresse IP authentique sur laquelle se trouve ce domaine et la définition de l’emplacement géographique de cette adresse IP (GEOIP).

84 % des ressources Internet utilisées pour diffuser des programmes malveillants, au premier trimestre 2012, se trouvaient dans dix pays, soit 7 % de plus qu’au trimestre antérieur.

Pays dont les internautes ont été le plus exposés au risque d’infection via Internet

Pour évaluer le risque d’infection via Internet auquel sont exposés les ordinateurs des utilisateurs dans différents pays, nous avons calculé la fréquence de déclenchement de l’Antivirus Internet chez les utilisateurs dans chacun des pays au cours du trimestre.


Risque d’infection des ordinateurs des utilisateurs via Internet dans divers pays, 1er trimestre 2012

En moyenne, 28,8 % des ordinateurs des participants au KSN, soit près d’un ordinateur sur trois à travers le monde, ont été victimes au moins d’une attaque lors de la navigation sur Internet. Nous tenons à signaler que la part des ordinateurs attaqués par rapport au trimestre précédent a reculé de 3,2 %.

Menaces locales

Ce chapitre est une analyse des données statistiques tirées des résultats des analyses à l’accès et de l’analyse de divers disques, dont des périphériques mémoire amovibles (analyse à la demande).

Objets découverts sur les ordinateurs

Au premier trimestre 2012, nos solutions antivirus ont bloqué 966 981 163 tentatives d’infection locales sur les ordinateurs d’utilisateurs membres du Kaspersky Security Network.

Rien qu’au stade de la tentative d’exécution sur les ordinateurs des utilisateurs (analyse à l’accès), nous avons détecté 481 592 modifications de programmes malveillants et potentiellement malveillants.

Top 20 des objets découverts sur les ordinateurs malveillants

Classement Nom % d’utilisateurs uniques attaqués*
1 DangerousObject.Multi.Generic 35,56%
2 Trojan.Win32.Generic 31,49%
3 Trojan.Win32.Starter.yy 13,92%
4 Virus.Win32.Sality.bh 12,61%
5 Net-Worm.Win32.Kido.ih 10,79%
6 Virus.Win32.Sality.aa 9,32%
7 Trojan.Win32.AutoRun.gen 8,71%
8 Net-Worm.Win32.Kido.ir 8,63%
9 Hoax.Win32.ArchSMS.gen 8,60%
10 HiddenObject.Multi.Generic 6,58%
11 AdWare.Win32.InstallCore.gen 6,41%
12 Virus.Win32.Generic 6,18%
13 Virus.Win32.Nimnul.a 5,83%
14 Worm.Win32.Generic 5,52%
15 Trojan.WinLNK.Runner.bl 4,56%
16 Trojan.Script.Iframer 3,72%
17 Trojan-Dropper.VBS.Agent.bp 3,61%
18 Virus.Win32.Sality.ag 3,51%
19 Trojan.Script.Generic 3,38%
20 Packed.Win32.Krap.ar 3,26%

Ces statistiques sont les verdicts détectés par les modules OAS et ODS de l’Antivirus transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques.
* Pourcentage d’utilisateurs uniques sur les ordinateurs desquels l’Antivirus a détecté l’objet en question, par rapport à l’ensemble des utilisateurs uniques des produits de Kaspersky Lab chez qui l’Antivirus s’est déclenché.

La première place du classement revient à divers programmes malveillants détectés à l’aide de technologies dans le nuage (35,56 %) Ces technologies interviennent lorsque les bases antivirus ne contiennent pas encore les définitions et qu’il n’est pas possible de détecter le programme malveillant à l’aide de l’analyse heuristique, mais l’éditeur de logiciels antivirus a accès dans le « nuage » aux informations relatives à l’objet. Dans ce cas, l’objet détecté reçoit le nom DangerousObject.Multi.Generic.

La deuxième place du classement est occupée par un verdict délivré par l’analyseur heuristique lors de la détection proactive d’une multitude de programmes malveillants (Trojan.Win32.Generic, 31,49%).

La quinzième place est occupée par le programme malveillant Trojan.WinLNK.Runner.bl utilisé pour le lancement automatique et la diffusion de vulnérabilités dans les raccourcis Windows. Les premiers programmes de cette catégorie sont apparus après la découverte de Stuxnet et ils figurent toujours parmi les favoris des auteurs de virus.

Tout au long de l’année dernière, Kido s’est maintenu à la troisième place du classement. Une modification intéressante est survenue au premier trimestre : pour la première fois en quatre ans, Net-Worm.Win32.Kido a reculé de deux positions et il est désormais devancé par Virus.Win32.Sality et Trojan.Win32.Starter.yy. La méthode principale de diffusion de Kido, à savoir via la vulnérabilité MS08-067, perd en efficacité au fur et à mesure que les ordinateurs sont renouvelés à travers le monde. Les programmes qui infectent les fichiers (les virus) demeurent efficaces, malgré la mise à jour des systèmes d’exploitation, ce qui explique pourquoi ils conservent plus longtemps leur position dans le classement.

Pays où les ordinateurs des utilisateurs ont été le plus exposés au risque d’infection locale

Les chiffres obtenus montrent le taux d’infection moyen des ordinateurs dans un pays ou l’autre.


Risque d’infection locale des ordinateurs de différents pays

Voici le Top 10 des pays les plus sûrs en matière d’infection locale :

Classement Pays % d’utilisateurs uniques**
1 Danemark 10,1 %
2 Suisse 14,3 %
3 Japon 14,4 %
4 Suède 15,3 %
5 Allemagne 15,7 %
6 Autriche 16,2 %
7 Nouvelle-Zélande 16,4 %
8 Luxembourg 16,6 %
9 Finlande 16,9 %
10 Hong Kong 17,6 %

Vulnérabilités

Au cours du premier trimestre 2012, 34 825 675 applications et fichiers vulnérables ont été recensés sur les ordinateurs des utilisateurs membres du KSN. Nous avons découvert en moyenne 9 vulnérabilités différentes pour chaque ordinateur vulnérable.

Le Top 10 des vulnérabilités est repris dans le tableau ci-après.

Secunia ID – identifiant unique de la vulnérabilité Nom de la vulnérabilité et lien vers sa description Possibilités offertes aux individus malintentionnés qui utilisent cette vulnérabilité Pourcentage d’utilisateurs chez qui une vulnérabilité a été découverte* Dernière modification Niveau de danger de la vulnérabilité
1 SA 48009 Oracle Java JDK / JRE / SDK Multiple Vulnerabilities Obtention de l’accès au système et exécution d’un code aléatoire sous les privilèges d’un utilisateur local

Accès aux données confidentielles
Manipulation des données
Attaque DoS

29,07% 10.04.2012 Highly Critical
2 SA 46113 Adobe Flash Player Multiple Vulnerabilities Obtention de l’accès au système et exécution d’un code aléatoire sous les privilèges d’un utilisateur local
XSS
Contournement du système de sécurité
22,13% 22.09.2011 Highly Critical
3 SA 48281 Adobe Flash Player Two Vulnerabilities Accès au système
Accès aux données confidentielles

20,81% 10.04.2012 Highly Critical
4 SA 46512 Oracle Java SE Multiple Vulnerabilities Attaque DoS.
Accès au système.
Accès aux données confidentielles.
Interception des séances ou des canaux de communication
Manipulation des données
Remplacement de l’utilisateur
19,31% 27.10.2011 Highly Critical
5 SA 23655 Microsoft XML Core Services Multiple Vulnerabilities Obtention de l’accès au système et exécution d’un code aléatoire sous les privilèges d’un utilisateur local
Attaque DoS (déni de service)
XSS.
15,26% 13.07.2011 Highly Critical
6 SA 47133 Adobe Reader/Acrobat Multiple Vulnerabilities Obtention de l’accès au système et exécution d’un code aléatoire sous les privilèges d’un utilisateur local

14,50% 11.01.2012 Extremely Critical
7 SA 46618 Apple QuickTime Multiple Vulnerabilities Obtention de l’accès au système et exécution d’un code aléatoire sous les privilèges d’un utilisateur local
Accès aux données confidentielles
XSS

12,15% 06.01.2012 Highly Critical
8 SA 46882 Winamp AVI / IT File Processing Vulnerabilities Obtention de l’accès au système et exécution d’un code aléatoire sous les privilèges d’un utilisateur local

10,89% 29.12.2011 Highly Critical
9 SA 41917 Adobe Flash Player Multiple Vulnerabilities Obtention de l’accès au système et exécution d’un code aléatoire sous les privilèges d’un utilisateur local
Accès aux données confidentielles
Contournement du système de sécurité
10,22% 28.10.2010 Extremely Critical
10 SA 47932 Adobe Shockwave Player Multiple Vulnerabilities Obtention de l’accès au système et exécution d’un code aléatoire sous les privilèges d’un utilisateur local

9,93% 15.02.2012 Highly Critical

*Pour 100 % des utilisateurs dont les ordinateurs présentaient ne seraient ce qu’une vulnérabilité.

Un tiers des ordinateurs présentait une vulnérabilité dans Java développé par Oracle. Si l’on sait que les cas les plus frappants d’infection, dont la création d’un réseau de zombies de Mac et la diffusion d’un bot « dématérialisé », ont eu lieu précisément via une vulnérabilité dans Java, les utilisateurs doivent actualiser ce composant de toute urgence. Si vous n’utilisez pas Java sur votre ordinateur, il serait judicieux de le supprimer.

Notre classement compte un total de 2 vulnérabilités Java. Des logiciels de l’éditeur Adobe occupent cinq places dans notre classement : les lecteurs Flash Reader et Shockware et l’application populaire de lecture de documents PDF Reader. Pour rappel, au cours de dernières années, des dizaines de codes d’exploitation ont été mis au point pour ces applications et la majorité d’entre eux sont en libre accès. Pour cette raison, il est primordial que les utilisateurs confirment qu’ils ont bien mis à jour les copies de ces applications sur leurs ordinateurs.

Conclusion

Le début de l’année 2012 a été marqué par des changements qualitatifs au niveau des réseaux de zombies. Les exploitants de réseaux de zombies, qui se sentaient à l’étroit dans Windows, sont partis à l’assaut des appareils mobiles et des ordinateurs Mac. Malheureusement, les utilisateurs qui comprennent que leur smartphone est un ordinateur à part entière possédant des informations de valeur qui peuvent intéresser les individus malintentionnés sont rares. Dans le cas des utilisateurs de Mac OS X, la situation est plus complexe : pendant tout un temps, les éditeurs de ce système d’exploitation ont affirmé qu’il n’existait pas de programmes malveillants pour cette plateforme et puis qu’un Mac était plus sûr qu’un PC.

Pour les individus malintentionnés, les appareils mobiles et les Mac sont très attrayants. La concurrence n’est pas encore trop forte et la majorité des appareils mobiles et des Mac fonctionne sans aucun type de protection. Au premier trimestre, nous avons détecté plus de 5 000 programmes malveillants pour Android, soit un tiers de plus qu’au trimestre précédent, et plus de 70 programmes malveillants pour Mac OS X, soit deux fois de plus qu’au trimestre précédent. Au cours de cette année, le nombre de menaces pour les appareils destinés aux particuliers dans ces deux segments va augmenter sensiblement.

Du point de vue technologique, un des événements les plus marquants du trimestre aura été l’attaque menée par le bot « dématérialisé » qui exécutait toutes ses fonctions dans la mémoire vive de l’ordinateur sans créer de fichiers sur le disque. Une telle tactique complique la détection du programme malveillant. Bien que le bot ne soit présent sur l’ordinateur que jusqu’au premier redémarrage, la réalisation de l’attaque via un réseau de bannières présent sur des sites légitimes très visités garantissait une haute probabilité d’infection répétée de l’ordinateur et, par conséquent, un nombre élevé de bots actifs. Les actions menées par Kaspersky Lab en coopération avec la société propriétaire du réseau de bannières ont permis de mettre un terme aux attaques. Ce genre d’attaque est impensable sans l’utilisation de codes d’exploitation et par conséquent, seule la mise à jour des applications et l’utilisation d’un logiciel antivirus peuvent offrir une protection.

A la lumière de tout ce qui vient d’être dit, la question de la protection de la plateforme iOS reste ouverte. La politique d’Apple est telle qu’il est très difficile d’introduire un code malveillant quelconque dans l’App Store. Et les développeurs n’ont pas la possibilité de créer un outil de protection efficace contre d’éventuelles attaques. Si les appareils mobiles sont confrontés au scénario des attaques par téléchargement à la dérobée avec utilisation de codes d’exploitation entraînant l’exécution de code aléatoire dans le système, comme ce fut le cas pour Windows, alors les utilisateurs d’iOS seront seuls face aux programmes malveillants développés pour leurs applications. Toutes les conditions technologiques pour le développement d’un tel scénario sont déjà réunies.

A l’issue de l’année 2011, nous écrivions que les individus malintentionnés allaient chercher de nouvelles méthodes pour organiser des attaques ciblées. Malheureusement, il n’aura pas fallu attendre longtemps : au premier trimestre 2012, nous avons détecté des programmes malveillants pour Mac OS X utilisés dans le cadre d’attaques ciblées. Au cours de la première étape, les individus malintentionnés utilisaient un code d’exploitation pour le moteur Java qui peut être installé pratiquement sur n’importe quelle plateforme. Les programmes malveillants détectés étaient des portes dérobées, ces programmes permettent aux individus malintentionnés d’avoir un accès complet au Mac. Les utilisateurs de Mac en entreprise, qui pensent que leurs ordinateurs sont au dessus de tout soupçon et qui ne prennent pas la peine d’installer des systèmes de protection sur leur ordinateur, mettent en danger tout le réseau informatique de l’entreprise. Il est très probable que cette année nous soyons confrontés à plusieurs cas d’attaques ciblées réalisées contre les réseaux d’entreprise via Mac OS X.

Les actions réussies des autorités judiciaires et des sociétés de technologies de l’information portent leurs fruits. Au cours du premier trimestre, les centres de commande de plusieurs réseaux de zombies ZeuS aux Etats-Unis ont été fermés et l’administration du réseau de zombies Hlux.b a été détournée. Les auteurs du programmes malveillants pour appareils mobiles Foncy ont été arrêtés en France et en Russie, plusieurs groupes de cybercriminels impliqués dans le cheval de Troie Carberp (attaques contre les services de banque en ligne) ont été démantelés. En Roumanie, c’est le célèbre pirate TinHole qui a été arrêté ainsi que quelques membres du groupe Anonymous, etc.

Ces actions doivent avoir un effet dissuasif et permettent d’espérer que le nombre d’attaques contre les particuliers va se stabiliser progressivement à court terme.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *