Evolution des programmes malveillants en 2006

Ce rapport est consacré aux événements les plus marquants de l’année écoulée. Il aborde également les tendances du développement de l’économie souterraine des logiciels et analyse la situation actuelle. Le présent document se caractérise par le grand nombre de statistiques et de faits avancés.

Il s’adresse avant tout aux professionnels de la sécurité informatique que l’étude des programmes malveillants intéresse, mais il peut être utile également à tous les utilisateurs sensibles à la problématique de la virologie informatique.

  1. Evolution des programmes malveillants en 2006
  2. Programmes malveillants pour UNIX et systèmes d’exploitation apparentés
  3. Les virus mobiles en 2006
  4. Bilan des Attaques Internet 2006
  5. Courrier indésirable en 2006

Les tendances de développement de programmes malveillants dégagées aux cours des années antérieures se sont maintenues en 2006. Il s’agit de la domination des chevaux de Troie sur les vers et de l’augmentation de la part de programmes conçus pour infliger des pertes financières aux utilisateurs parmi les nouveaux exemples de code malveillant.

L’augmentation du nombre de nouveaux programmes malveillants par comparaison à 2005 est de 41%.

La croissance marquée du nombre de chevaux de Troie espions conçus pour voler les données des adeptes des jeux en ligne et la poursuite du développement de chevaux de Troie de chiffrement reposant sur des algorithmes de cryptage de données de plus en plus complexes resteront les deux tendances les plus intéressantes pour 2006. Il convient de noter également le regain d’intérêt porté par les auteurs de virus à la suite logicielle Microsoft Office, ce qui s’est traduit par la découverte d’un nombre considérable de nouvelles vulnérabilités et la création de programmes malveillants exploitant ces dernières.

Parmi les autres événements significatifs de 2006, il faut citer l’apparition des premiers « véritables » vers et virus pour Mac OS, l’émergence de chevaux de Troie pour la plateforme mobile J2ME et les possibilités de voler de l’argent chez les utilisateurs de comptes mobiles. L’année 2006 a vu l’apparition de nombreux développements, aussi bien théoriques que pratiques, dans le domaine des outils de dissimulation d’activité et dans les outils de lutte contre ceux-ci. Citons l’outil de dissimulation d’activité SubVirt conçu sur Microsoft ou BluePill de Joanna Rutkowska.

Il ne faudrait pas oublier le retour aux sources des auteurs de virus qui ont poursuivi le développement des technologies polymorphes non seulement dans les virus de fichiers, mais également dans les virus de script.

Les auteurs de programmes malveillants utilisent des moyens toujours plus originaux pour s’introduire dans les ordinateurs de leurs victimes : les clients de messagerie instantanée (ICQ, AOL, MSN) figurent désormais parmi les applications les plus dangereuses à utiliser sur Internet. Bien évidemment, ce phénomène est directement lié au nombre considérable de vulnérabilités qui ont été identifiées dans les navigateurs Internet les plus utilisés, en particulier Internet Explorer.

Dans l’ensemble, l’année 2006 aura été relativement intéressante du point de vue technologique et il convient de noter qu’elle n’aura été touchée par aucune épidémie internationale comparable aux quelques cas de 2005 (Mytob). Il semblerait que ces épidémies internationales aient été remplacées définitivement par des épidémies locales « organisées » dans des limites géographiques précises (par exemple, des épidémies touchant uniquement la Chine ou la Russie) ou des épidémies actives uniquement pendant une très brève période.

Nous avons évoqué ces différents points à plusieurs reprises dans les rapports trimestriels publiés au cours de l’année 2006 et c’est la raison pour laquelle le présent article vise à présenter tous ces événements du point de vue statistiqu.

Epidémies de virus les plus importantes

Sept épidémies de taille ont été recensées en 2006, soit deux fois moins que l’année d’avant (14 épidémies).

Les épidémies de 2006 peuvent être réparties en quatre groupes. Il y a le ver Nyxem.e, les vers des familles Bagle et Warezov et quelques version du cheval de Troie de chiffrement Gpcode.

Une diffusion massive d’une nouvelle version du ver de messagerie Nyxem a été signalée à la fin du mois de janvier 2006. Le point le plus intéressant était que le ver possédait une fonction qui lui permettait d’établir une connexion entre les machines infectées et un site Internet déterminé doté d’un compteur de visites. Les éditeurs de logiciels antivirus ont enregistré en quelques jours des centaines de milliers de requêtes adressées à ce site, ce qui semblait indiquer une épidémie d’une certaine ampleur. Une analyse plus poussée permit de montrer que la majorité des ordinateurs infectés se trouvait en Inde et en Amérique latine (principalement au Pérou).

Le ver était doté d’une fonction malveillante : supprimer tous les fichiers utilisateur ainsi que les documents et les archives le 3 de chaque mois. Etant donné que Nyxem.e, à l’approche du 3 février 2006, aurait pu avoir infecté des millions d’ordinateurs, la presse publia de nombreux articles sur ce sujet afin d’informer le public. C’est peut-être grâce à cela que l’épidémie internationale a été évitée car le 3 février, le nombre d’appels émanant d’utilisateurs dont l’ordinateur avait été infecté n’a pas été particulièrement élevé.

Nyxem.e ne disparut pas de la scène pour autant et il est resté présent tout au long de l’année 2006 dans le trafic de messagerie et qui plus est, à des niveaux relativement élevés. Son deuxième pic d’activité fut enregistré durant la période août-septembre. C’est ainsi qu’il a atteint la cinquième place dans le classement des programmes malveillants les plus répandus dans le trafic de messagerie en 2006.

Outre Nyxem.e, janvier 2006 vit l’apparition du premier cheval de Troie utilisant un algorithme sérieux pour chiffrer les données des utilisateurs. Gpcode.ac utilisait l’algorithme RSA avec une clé de 56 bits. Ce programme malveillant chiffre les fichiers des utilisateurs ce qui permet à son auteur d’exiger le versement d’une somme d’argent par la victime afin de décrypter les données.

Ce programme malveillant a été fortement diffusé par courrier indésirable dans l’Internet russophone. De nombreuses victimes sont tombées dans le piège malgré nos avertissements répétés de ne pas ouvrir les pièces jointes en provenance d’expéditeurs inconnus. Kaspersky Lab parvint toutefois à diffuser un utilitaire permettant aux victimes de décrypter leurs fichiers.

Au début du mois de juin 2006, trois variantes de Gpcode ont été diffusées une à la suite de l’autre. Chacune des variantes utilisait une clé plus longue, ce qui allait compliquer la tâche des spécialistes des éditeurs de logiciels antivirus.

La clé utilisée par Gpcode.ae comptait 260 bits contre 330 bits pour la clé de Gpcode.af. La tâche était relativement compliquée. Il a fallu 10 heures de travail et l’application de nouvelles technologies pour que les spécialistes de Kaspersky Lab parviennent à déchiffrer la clé utilisée dans les modifications Gpcode.af (330 bits). Mais l’auteur de Gpcode contre-attaqua peu de temps après avec la version ag possédant une clé de 660 bits. Ce problèmes fut toutefois résolut en un temps record. Depuis lors, plus aucune nouvelle variante de GpCode n’est apparue.

Nous observons depuis 2004 la présence d’une famille dangereuse de vers de messagerie Bagle. Depuis lors, ces programmes sont passés du simple ver au programme malveillant à plusieurs composants capables de faire office de serveur proxy, de téléchargeur, d’espion et de plusieurs autres fonctions. 2005 marqua le pic de l’activité de Bagle. En 2006, les auteurs du ver ont ralenti leur activité ce qui ne les a toutefois pas empêché de provoquer à deux reprises, en février et en juin, de sérieuses épidémies. Après chacune de ces épidémies, nous avons enregistré une augmentation du volume de courrier indésirable car les ordinateurs infectés par Bagle servaient de chevaux de Troie de proxy.

Les auteurs inconnus du ver Warezov ont utilisé une stratégie de diffusion similaire (diffusions massives locales pendant un bref laps de temps). Warezov ressemble beaucoup à Bagle au niveau de ses fonctions et il vise également à utiliser les systèmes infectés pour diffuser du courrier indésirable. Entre septembre 2006 et fin décembre 2006, ce sont plus de 300 variantes de ce ver qui ont été signalées et certains jours, nous avons identifié jusqu’à plus de 20 nouvelles modifications, diffusée chacune via le courrier électronique. Malgré cette grande diversité, pas une seule des variantes de Warezov n’est entrée dans notre Top 10 des virus les plus répandus dans le courrier électronique. Warezov n’en reste pas moins un des programmes malveillants les plus dynamiques et les plus dangereux sur Internet à l’heure actuelle.

Rang Nom Evolution
1 Net-Worm.Win32.Mytob.c 0
2 Email-Worm.Win32.LovGate.w +4
3 Email-Worm.Win32.NetSky.b +2
4 Email-Worm.Win32.NetSky.t Nouveau !
5 Email-Worm.Win32.Nyxem.e Nouveau !
6 Email-Worm.Win32.NetSky.q -4
7 Net-Worm.Win32.Mytob.u +2
8 Net-Worm.Win32.Mytob.t +7
9 Net-Worm.Win32.Mytob.q -1
10 Email-Worm.Win32.Scano.gen Nouveau !

Top 10 des programmes malveillants les plus répandus dans le trafic de messagerie en 2006

Les programmes malicieux les plus répandus en 2006

La classification instaurée par Kaspersky Lab regroupe trois catégories de programmes malveillants :

  • TrojWare: différents types de chevaux de Troie incapables de se multiplier de manière autonome (portes dérobées, outils de dissimulation d’activité et tous les chevaux de Troie possibles) ;
  • VirWare: programmes malveillants capables de se multiplier (virus et vers) ;
  • Other MalWare: programmes très populaires auprès des individus mal intentionnés qui les utilisent pour créer des programmes malveillants et pour organiser des attaques.

Moyenne mensuelle de nouveaux programmes malveillants

Voici une représentation de la relation en pourcentage entre les nouvelles familles et les variantes de programmes malveillants :


Répartition des programmes malveillants par type à la fin de l’année 2006
Catégorie %% Variations sur l’année
Chevaux de Troie 91,79% +2,79%
Virus 4,70% -1,3%
Autres programmes malveillants 3,51% -1,49%

Variations de la part des catégories de programmes malveillants sur un an

Nous constatons la croissance continue des chevaux de Troie de tout genre, ce qui confirme la tendance observée ces dernières années. La hausse de 2,79% par rapport à 2005 est sensiblement inférieure à la valeur de l’année dernière (8,76%). La simplicité relative avec laquelle les programmes malveillants de cette catégorie peuvent être créés (par opposition aux vers et aux virus) et leur rôle dans le vol de données, la création de réseau de zombies et la diffusion de courrier indésirable demeurent les causes principales de l’augmentation du nombre de chevaux de Troie sur Internet. Cette situation est confirmée par le fait que les chevaux de Troie représentent plus de 90% de l’ensemble des programmes malveillants.

Le recul des vers et des virus n’est pas aussi marqué qu’en 2005 (-6,53%), ce qui s’explique par le niveau déjà fort bas de cet indicateur. Il est fort peu probable que leur nombre continue à baisser à court terme et nous pouvons même affirmer que cette catégorie a atteint son « point d’équilibre ». Les vers et les virus ne vont pas disparaître entièrement de la scène. Au contraire, nous nous attendons à ce qu’ils enregistrent un certain regain de popularité en 2007, ce qui dépendra beaucoup de la découverte éventuelle de nouvelles failles critiques dans le système d’exploitation Windows en général et dans Vista en particulier.

S’agissant des représentants de la catégorie Autres programmes malveillants, ils constituent la catégorie la moins peuplée mais offrent une multitude de comportements, les codes d’exploitation étant les plus recherchés. L’évènement le plus marquant de 2006 pour cette catégorie restera l’apparition d’un grand nombre de codes d’exploitation pour MS Office. Nous prévoyons l’augmentation des menaces de ce type en 2007. Ici aussi, la situation dépendra de Windows Vista et de la nouvelle version de la suite logicielle MS Office 2007.

Nous allons maintenant nous pencher plus en détails sur les variations enregistrées dans chacune de ces classes.

Chevaux de Troie

Le diagramme suivant représente le nombre de nouveaux chevaux de Troie découverts chaque mois par les experts de Kaspersky Lab :


Nombre de nouveaux chevaux de Troie identifiés chaque mois par les experts de Kaspersky Lab

Un simple coup d’œil permet de voir la popularité croissante des chevaux de Troie. Ils sont de plus en plus menaçants car dans la majorité des cas, il s’agit de chevaux de Troie qui cherchent à infliger des dommages financiers aux victimes.

Les indices atteints par les chevaux de Troie sont déjà tellement élevés que l’augmentation formelle de 46% par rapport au 124% de l’année 2005 ne laisse en rien présager d’un ralentissement de l’activité des cybercriminels. Chaque mois, ce sont des milliers de nouveaux chevaux de Troie qui sont identifiés et les comportements de ceux-ci sont très variables.

Le camembert ci-dessous représente la répartition des chevaux de Troie en fonction de leur comportement :


Chevaux de Troie : répartition des comportements (en %) au sein de la catégorie

Afin de mieux comprendre les changements survenus dans cette catégorie de chevaux de Troie, tournons-nous vers les chiffres :

Comportement Variation annuelle
Backdoor +29%
Trojan +11%
Trojan-Clicker +3%
Trojan-Downloader +93%
Trojan-Dropper -15%
Trojan-Proxy +58%
Trojan-PSW +125%
Trojan-Spy +27%
Chevaux de Troie +46%

Variation annuelle du nombre de nouveaux programmes malveillants de la catégorie Chevaux de Troie

La sous-catégorie Trojan-Dropper est le seul comportement qui a enregistré une baisse du nombre de nouveaux programmes par rapport à l’année dernière. Ceci n’a rien d’étonnant si l’on se souvient que cette catégorie avait enregistré une croissance de 212% en 2005, une des plus importantes parmi les programmes malveillants. Il est difficile de maintenir un tel rythme mais cette chute de 15% est loin d’indiquer une réduction notable de ce type de menaces.

Les sous-catégories Trojan-Downloader et Trojan-PSW arrivent en tête du classement pour l’année 2006 : leurs nombres ont augmenté respectivement de 93% et de 125%.

Ce résultat n’est pas un phénomène exceptionnel pour la sous-catégorie Trojan-Downloader (elle avait connu une croissance supérieure à 270% en 2005). L’intérêt manifesté pour ce comportement de masse par les individus mal intentionnés est lié au fait que les représentants de la catégorie Trojan-Downloader demeurent le mode universel de « livraison » d’un code malveillant sur l’ordinateur d’un utilisateur. Les programmes de la sous-catégorie Trojan-Downloader sont capables de charger dans un système n’importe quel autre programme malveillant, offrant ainsi à leurs auteurs la possibilité d’utiliser les machines infectées à d’autres fins.

Le comportement Trojan-PSW est le seul qui a réussi à dépasser ses résultats de 2005 : +125% contre +122% l’année dernière. Ces résultats s’expliquent par le fait que la majorité des représentants de la sous-catégorie Trojan-PSW sont ce qu’on appelle des « chevaux de Troie de jeux », à savoir des chevaux de Troie développés pour le vol des données des comptes utilisateurs de différents jeux en ligne. La popularité des jeux en ligne connaît à l’heure actuelle une véritable explosion : des millions de personnes, principalement en Asie, participent à des jeux en ligne tels que World of Warcraft, Lineage ou Legend of Mir. Les personnages et les différents accessoires utilisés dans ces jeux peuvent parfois valoir des dizaines de milliers de dollars américains. Les cybercriminels ne peuvent pas ignorer un tel phénomène. Ils volent les données d’accès aux comptes afin de dérober les avoirs virtuels des joueurs pour les revendre sur des sites de ventes aux enchères en ligne.

Ce type de cheval de Troie aura été un des principaux problèmes en 2006 et la tendance de son évolution laisse penser qu’il va demeurer parmi les types de programmes malveillants connaissant la plus forte croissance à court terme. Plusieurs nouveaux jeux en ligne devraient être commercialisés en 2007, ce qui va attirer vraisemblablement des millions de nouveaux joueurs et par conséquent, des cybercriminels également.

Outre les deux sous-catégories citées ci-dessus, la sous-catégorie Trojan-Proxy suscite l’intérêt dans un contexte général de ralentissement de la croissance des nouveaux chevaux de Troie. Ils ont connu une augmentation de 58% en 2006 contre 68% l’année antérieure. Cette stabilité s’explique par le fait que ce type de cheval de Troie est utilisé dans la diffusion de courrier indésirable via l’ordinateur infecté. Le courrier indésirable ne cesse d’augmenter et ce malgré les actions prises tant au plan juridique qu’au niveau technique pour lutter contre celui-ci. A la fin de l’année 2006, le courrier indésirable représentait 80% du volume global de messages envoyés. Il semblerait qu’il existe une relation étroite entre le nombre de nouveaux chevaux de Troie et le rythme de croissance du courrier indésirable. Si nous parvenions à briser la croissance de ce type de cheval de Troie en 2007, nous pourrions nous attendre à un effet sur la quantité de courrier indésirable sur Internet.

Nous ne pouvons ignorer non plus les rootkits. Ils ne sont pas repris dans une catégorie propre au sein du tableau général des comportements car pour l’instant, leur nombre est inférieur à celui de la sous-catégorie Trojan-Clicker. Toutefois, ils servent à dissimuler la présence de divers chevaux de Troie et le même outil peut être utilisé par divers individus mal intentionnés. En 2005 (année où les rootkits ont hérité de leur propre catégorie), ils avaient enregistré une croissance sans précédent de 413%. A l’époque, les rootkits étaient un des sujets brûlants débattus par le secteur de la sécurité informatique et les auteurs de virus s’intéressaient activement à la technologie. Après un décollage aussi impressionnant, nous pouvions nous attendre à un certain ralentissement de leur croissance, toutefois ils sont restés à un niveau élevé en 2006 avec +74%. Cela indique que la problématique posée par les rootkits reste d’actualité et nous attendons de voir l’effet qu’aura Windows Vista sur leur existence étant donné que ce système d’exploitation, à en croire ses auteurs, ne leur laissera aucune chance.

Les chevaux de Troie de type « Bankers » figurent parmi les représentants de la catégorie Trojan-Spy qui lui ont permis d’enregistrer une croissance de 27%. Ces chevaux de Troie sont développés pour voler les données d’accès des utilisateurs de divers systèmes de paiement en ligne, de consultation de comptes bancaires en ligne ou les données de cartes de crédit. Il s’agit sans aucun doute de l’expression la plus évidente de la cybercriminalité. Ils ont poursuivi leur développement en 2006 et le nombre de nouveaux « bankers » a pratiquement doublé : +97% par rapport à 2005. Les mesures de protection des clients adoptées par les banques et l’augmentation du nombre d’attaques d’hameçonnage visant à obtenir ces mêmes données n’ont eut que très peu d’effets sur la croissance de cette catégorie. De plus en plus de personnes accèdent aux services de gestion de comptes bancaires en ligne et réalisent des achats via Internet. Cela signifie qu’en 2007, une partie non négligeable des chevaux de Troie sera destinée au vol de données confidentielles.

Vers et virus

Le graphique nœ4 représente le nombre de nouveaux virus découverts chaque mois par les analystes de Kaspersky Lab.


Nombre de nouveaux virus identifiés chaque mois par les experts de Kaspersky Lab

Comme le montre le diagramme ci-dessus, la période de stagnation traversée par cette catégorie au cours des deux dernières années a laissé la place en 2006 à une certaine croissance qui s’est surtout marquée au deuxième semestre. C’est précisément au cours du deuxième semestre que les auteurs de virus ont commencé à suivre une stratégie impliquant l’organisation d’un grand nombre d’épidémies de courte durée. L’exemple le plus frappant de cette technique a été offert par les auteurs du ver Warezov et de ses nombreux parents. Nous avons enregistré certains jours plus de 20 nouvelles versions de ce ver. Seuls des morceaux de code insignifiants différaient et ces virus étaient diffusés par zone géographique (certains en Russie, d’autres en Allemagne, etc.). L’émergence d’une multitude de variantes au cours d’une brève période a permis à Warezov, en l’espace de quelques mois, de devenir le programme malveillant ayant connu la croissance la plus rapide en 2006 !

Aux côtés de Warezov, il faut citer le virus-ver asiatique Viking parmi les virus qui ont exercé la plus grande influence dans cette catégorie. Il s’est largement diffusé, principalement en Chine, et il possédait également de nombreuses variations. Le bilan 2006 pour la catégorie des virus se solde par une augmentation de 8% du nombre de nouveaux programmes malveillants par rapport à 2005. En 2005, cette catégorie de programmes malveillants avait enregistré un recul de 2%.

Dans l’ensemble, il convient de remarquer qu’à l’instar de ce qui s’est produit en 2005, la stagnation relative de la classe prise dans son ensemble a été maintenue uniquement grâce à la croissance de certains vers alors que d’autres enregistraient un recul. Ainsi, la croissance de 8% est due à deux comportements : Email-Worm et Worm.

Le camembert suivant représente la répartition des comportements de la catégorie Virus:


Virus : répartition des comportements (en %) au sein de la catégorie

Les comportements Email-Worm et Worm ont maintenu leur stabilité en 2006 parmi les virus (les variations de la répartition au sein de la catégorie représentent respectivement +2 et -3 pour cent). Nous pouvons sans crainte affirmer qu’ils continueront à jouer le rôle de « locomotive » en 2007 pour l’ensemble de cette catégorie de programmes malveillants.

Comportement Variation annuelle
Email-Worm +43%
IM-Worm -45%
IRC-Worm -63%
Net-Worm -55%
P2P-Worm -5%
Worm +221%
Virus -29%
Virus +8%

Variation annuelle du nombre de nouveaux programmes malveillants de la catégorie Virus

Comme nous l’avons déjà signalé ci-dessus, cette catégorie de programmes malveillants doit sa croissance dans l’ensemble à Email-Worm.Win32.Warezov et Worm.Win32.Viking.

Notons également le recul sensible du nombre de nouveaux vers de réseau (Net-Worm). Ce type de ver caractérisé par son niveau de danger et sa vitesse de diffusion a connu le sommet de son activité il y a quelques années. Il suffit de se souvenir des épidémies mondiales causées par Lovesan (2003), Sasser (2004) ou Mytob (2005). Ce comportement avait enregistré une croissance de 43% en 2005. Heureusement, la tendance s’est inversée en 2006 avec un recul de 55% par rapport à 2005. Ceci s’explique tout d’abord par l’absence d’un grand nombre de nouvelles failles critiques dans les applications système de Windows. Les utilisateurs, dans leur grande majorité, ont appliqué les correctifs de Microsoft pour les anciennes vulnérabilités et les pare-feu sont devenus un élément standard de la protection tout comme les logiciels antivirus. Il ne faut pas non plus oublier de mentionner les efforts déployés par les fournisseurs d’accès Internet qui ont mis en place au niveau de leurs passerelles des moyens de filtrage du trafic et des antivirus « ultra-robustes » capables de mettre un terme à une épidémie avant qu’elle n’atteigne l’utilisateur final.

Selon toute évidence, le recul de la sous-catégorie Net-Worm va se poursuivre en 2007 et l’existence même de ce type de ver va dépendre exclusivement de sa capacité à pouvoir être diffusé avec d’autres moyens (courrier électronique, ressource de réseau, vers pour messagerie instantanée).

A ce propos, les vers de messagerie instantanée n’ont pas réussi à occuper une position notable sur la scène des virus. C’est en 2005 que les auteurs de virus ont commencé à s’intéresser à ce type de comportement, même si les premiers vers de cette famille firent leur apparition en 2001. A la fin de l’année 2005, on enregistrait jusqu’à 32 nouveaux exemplaires de ver de messagerie électronique par mois. En 2006, leur croissance s’est stabilisée avant de commencer à reculer inexorablement. Ici aussi, il faut voir la réussite des mesures de résistance adoptées par les prestataires de service de messagerie instantanée tels qu’AOL et MSN. Ils ont mis en place toute une série de filtres et de restrictions dans leurs programmes qui ont considérablement compliqué la tâche des auteurs de vers de messagerie instantanée qui désiraient diffuser des programmes malveillants via ce canal. Cela s’est traduit par un recul de 45% du nombre de nouveaux vers de messagerie instantanée et tout semble indiquer qu’ils devraient complètement disparaître en 2007.

Le nombre de virus de fichier traditionnels continue de diminuer, mais cela ne signifie pas que les auteurs de virus ne sont plus intéressés par cette technique d’infection des fichiers. Au contraire, cette méthode est de plus en plus souvent adoptée et nous observons ce que nous pourrions appeler une renaissance. Toutefois, ces virus de fichier ne sont plus utilisés en tant que tel mais en combinaison avec d’autres moyens de diffusion comme le montre Worm.Win32.Viking qui a la possibilité d’infecter des fichiers. De plus, les virus sont de plus en plus complexes sur le plan technologique. Ils exploitent diverses méthodes de polymorphisme et de mutation du code, ce qui a toujours été un casse-tête pour les éditeurs de logiciels antivirus. Dans l’ensemble, nous observons un ralentissement du recul du nombre de virus qui s’affichait à 29% en 2006 contre 45% en 2005 et 54% en 2004.

Les autres comportements de vers et de virus ne représentent pas beaucoup d’intérêt vu leur faible diffusion et leur recul constant dans le nombre global de virus.

Autres programmes malveillants

Cette catégorie est la moins représentée en termes de programmes malveillants découverts, mais la plus importante en termes de comportements.

Globalement, la part de cette catégorie a diminué en 2006 (cf. Tableau 1) et les variations du nombre de nouveaux programmes dans cette catégorie sont en moyenne inférieure au rythme de croissance des deux autres catégories.


Nombre de nouveaux représentants de la catégorie Autres programmes malveillants identifiés chaque mois par les experts de Kaspersky Lab

La lente augmentation du nombre de nouveaux programmes malveillants dans cette catégorie en 2004 et 2005 (13% et 43% respectivement) a cédé la place en 2006 à un recul de 7%. Ce résultat ne permet pas encore de parler de tendance mais si nous tenons compte du recul de 3,5% de la part de programmes malveillants de cette catégorie dans la masse globale, nous pouvons parler d’une perte d’intérêt des auteurs de virus pour ce type de programme malveillants.

Le camembert ci-dessous représente la répartition des représentants de la catégorie Programmes malveillants en fonction de leur comportement :


Répartition des comportements (en %) des programmes malveillants

Seuls sept représentants de cette classe méritent notre attention. Les programmes malveillants qui appartiennent aux autres comportements sont assez rares et c’est pour cette raison que l’on ne peut pas vraiment parler d’un développement sérieux. Examinons les données reprises dans le tableau :

Comportement Variation annuelle
Constructor -18%
BadJokes, Hoax +167%
Exploit -21%
Flooder -34%
HackTool -21%
IM-Flooder +40%
SpamTool +107%
Other -64%
Autres programmes malveillants -7%

Variation annuelle du nombre de nouveaux programmes malveillants de la catégorie Autres programmes malveillants

La catégorie Exploit (codes d’exploitation) est la plus importante. Sa part en 2006 a quelque peu reculé, ce qui s’explique par la réduction du nombre de vulnérabilités découvertes pouvant être exploitées par les individus mal intentionnés. Les vulnérabilités qui ont causé la majorité des problèmes en 2006 étaient pour la plupart des failles dans la suite logicielle MS Office et par conséquent les programmes qui ont exploité ces failles et que nous avons recensés ont été considérés comme des chevaux de Troie et non des codes d’exploitation.

Comme nous l’avons déjà dit à plusieurs reprises ci-dessus, les pronostics pour 2007 dépendront entièrement du sort qu’il sera réservé aux codes d’exploitation dans Windows Vista et MS Office 2007. Il n’est pas exclu que de nombreuses vulnérabilités critiques soient identifiées dans ces programmes, ce qui entraînerait une recrudescence du phénomène à l’opposé de la réduction actuelle (-21%).

Le gain de popularité d’un type exotique d’IM-Flooder n’est pas sans intérêt. Ces programmes servent à la diffusion de messages non sollicités dans les clients de messagerie instantanée tels qu’ICQ, AOL ou MSN. La croissance de 40% repose sur la grande popularité de ce type de messages non sollicités car à l’heure actuelle, il n’existe pas encore de filtre pour ces clients de messagerie instantanée qui pourrait garantir un niveau de protection similaire à celui offert par les filtres antispam dans les clients de messagerie électronique.

Les représentants SpamTool servent à recueillir des adresses électroniques sur les objets infectés afin de les transmettre à l’individu mal intentionné qui les utilisera dans l’envoi de messages non sollicités. Les analystes de Kaspersky Lab ont remarqué un intérêt minime mais stable pour ce comportement en 2005. Par contre, ils ont enregistré une croissance explosive en 2006 de 107%. Mais leur nombre a commencé à chuter vers la fin de l’année suite à l’introduction de la fonction de collecte des adresses de courrier électronique dans toute une série d’autres chevaux de Troie et de ver, en premier lieu dans Email-Worm.Win32.Warezov.

Dans l’ensemble, nous pouvons dire que l’année 2006 aura été désastreuse pour cette catégorie. La popularité des représentants de cette catégorie n’a cessé de reculer au profit de celle des chevaux de Troie.

Tendances connexes

Chantage (ransomware en anglais)

Une des tendances les plus inquiétantes relevées en 2006 est l’augmentation du nombre d’incidents au cours desquels des individus mal intentionnés utilisent un certain programme pour modifier ou crypter les données sauvegardées sur l’ordinateur de la victime avant d’exiger le versement d’une « rançon » pour les restaurer. Les modes de fonctionnement de ces programmes sont très proches. Il s’agit soit du blocage du fonctionnement normal de l’ordinateur ou du blocage de l’accès aux données.

En janvier 2006, ce genre de programme était presqu’exclusivement représenté par Trojan.Win32.Krotten. En deux semaines, l’auteur de Krotten a diffusé 13 modifications de ce programme malveillant afin d’éviter la détection de son programme.

Ce sursaut coïncidait avec l’émergence de toute une série de nouveaux chevaux de Troie remplissant des fonctions identiques. Le représentant le plus remarqué de cette catégorie fut Gpcode. En six mois, Gpcode a parcouru pas mal de chemin dans son développement : il est parti d’un algorithme de chiffrement symétrique traditionnel pour arriver à un algorithme asymétrique dont la clé ne cessait de grandir, passant de 56 à 64, 26, 330 et 660 bits.
Nous avons présenté en détail notre combat contre ce logiciel de chantage dans un article publié en été 2006.

Au cours du premier semestre 2006, le nombre de chevaux de Troie liés à des activités de chantage est passé de 2 à 6 (Krotten, Daideneg, Schoolboys, Cryzip, MayArchive et Gpcode). Alors qu’au début 2006, à l’aube du développement de ces programmes, les attaques se limitaient à la Russie et aux pays de la CEI, vers le milieu de l’année ce n’était déjà plus le cas : des cas de chantages informatiques ont été recensés en Allemagne, au Royaume-Uni et dans d’autres pays.

Logiciels publicitaires

Nous souhaitons aborder les logiciels publicitaires, ces programmes qui servent à afficher d’une manière ou d’une autre des publicités, dont la croissance en 2006 a enregistré un recul de 29% par rapport à 2005. Comme nous l’avons déjà écrit, les représentants de cette catégorie franchissent de plus en plus souvent la fine ligne de démarcation qui séparent les programmes malveillants des autres. Ceci est confirmé par l’identification de plus en plus fréquente de logiciels publicitaires qui exploitent des technologies propres aux virus. Le rythme de croissance de la catégorie Logiciels publicitaires s’est considérablement ralenti en 2005 (63% uniquement) et nous prévoyons la poursuite de ce recul. En effet, ce type d’activité est désormais illégal dans de nombreux pays et les éditeurs de logiciels publicitaires ont du soit prendre leur responsabilité ou ont modifié le code de leur programme de telle sorte que les éditeurs de logiciels antivirus ne peuvent plus les considérer comme des programmes malveillants.

Il est fort probable que la réduction du nombre de logiciels publicitaires sera encore plus marquée en 2007.

Bases antivirus

Kaspersky Lab a réagi à l’augmentation du nombre de menaces et à la fréquence d’apparition de nouvelles menaces en réduisant l’intervalle de temps entre les diffusions des bases antivirus et en accélérant la vitesse de réaction.

Le nombre de nouvelles définitions ajoutées chaque mois aux bases antivirus de Kaspersky Lab en 2006 était compris entre 5 000 et 10 000. La moyenne mensuelle pour 2006 est de 7 240 définitions ajoutées (sans tenir compte des bases étendues) alors que la moyenne pour 2005 n’était que de 4496.


Statistiques du nombre de nouvelles définitions dans les bases antivirus (jaune : bases standard ; rouge : bases étendues)

Comme le montre le diagramme, le nombre de définitions ajoutées chaque mois aux bases antivirus a augmenté de façon inégale. Chaque hausse mensuelle a été suive d’une chute. Toutefois, à la fin de l’année, nous avons enregistré une augmentation constante qui a permis à l’indice de nouveaux programmes malveillants mensuel de dépasser les 10000.

Kaspersky Lab a réagi à l’émergence de nouveaux programmes malveillants en publiant deux types de mise à jour des bases antivirus : bases standard (environ une fois par heure) et bases urgentes (en cas d’épidémie).

S’agissant des bases normales, le nombre global de mises à jour a dépassé 7 000 en 2006 avec une moyenne de plus de 600 mises à jour par mois.


Nombre de mises à jour régulières par mois

S’agissant des mises à jour urgentes, les données en notre possession sont très intéressantes à deux niveaux. Tout d’abord, elles indiquent le nombre global « d’épidémies » en 2006 et permettent d’établir une comparaison avec les indicateurs correspondant en 2005. Ensuite, elles permettent de suivre le lien entre les épidémies et certains mois de l’année.


Nombres de mises à jour urgentes par mois (bleu : 2005 ; rouge : 2006)

Les données indiquent que le nombre d’incidents requérant la diffusion de mises à jour urgentes en 2006 était de près de 30% inférieur à celui de 2005 ! Alors qu’en 2005, ce type de mise à jour était diffusé en moyenne plus de 30 fois par mois, en 2006 la fréquence était inférieure à 20 fois par mois.

Les données montrent deux pics d’activité chez les auteurs de virus en 2006 : février/mars et octobre/décembre. Le diagramme représente également clairement l’accalmie traditionnelle de l’été en juin/juillet.

Pronostics

Sur la base des événements et des tendances décrits ci-dessus, nous pensons que les auteurs de virus vont concentrer leur attention cette année sur les différents types de chevaux de Troie spécialisés dans le vol de données des utilisateurs. Les principales victimes seront toujours les utilisateurs des systèmes bancaires et de paiement en ligne ainsi que les adeptes des jeux en ligne.

La fusion entre les auteurs de virus et de messages non sollicités va se poursuivre. Le résultat de cette « symbiose » sera l’utilisation des machines infectées non pas pour organiser de nouvelles épidémies ou attaques mais bien pour diffuser du courrier indésirable.

S’agissant des voies suivies par les programmes malveillants pour s’infiltrer sur les ordinateurs, il s’agira encore et toujours du courrier électronique et des vulnérabilités dans les navigateurs Internet. Les attaques directes sur les ports seront moins répandues et tout dépendra de la découverte ou non de vulnérabilités critiques dans les services Windows. Les canaux de diffusion tels que les réseaux P2P ou les canaux IRC ne font pas représenter un grand pourcentage mais ils seront certainement utilisés localement (par exemple, le client P2P Winny, très populaire au Japon, pourrait poser de gros problèmes aux utilisateurs asiatiques en 2007). Les systèmes de messagerie instantanée resteront dans le trio de tête des « armes » les plus utilisées pour les attaques mais nous ne nous attendons pas à un renforcement de ce mode de diffusion des virus.

Dans l’ensemble, les épidémies et les attaques de virus seront encore plus définies géographiquement. Par exemple, les chevaux de Troie de jeu et les vers dotés de fonctions virales seront caractéristiques de la région asiatique tandis que les chevaux de Troie espions et les portes dérobées seront fréquents en Europe et aux Etats-Unis. L’Amérique latine continuera à être victime de tous les types de chevaux de Troie bancaires possibles et imaginables.

Selon toute évidence, l’évènement de 2007 sera Microsoft Vista, le nouveau système d’exploitation de Microsoft, et les vulnérabilités qu’il pourrait renfermer. Ce sont ces vulnérabilités et les restrictions imposées par Vista qui vont avoir une influence sur le développement des virus au cours des prochaines années. Il ne faut pas s’attendre ici à des changements rapides et radicaux, mais il ne fait aucun doute que cela constituera une des tendances de l’année.

Tous les programmes malveillants seront caractérisés par l’accroissement de la complexité technique et des méthodes de dissimulation au sein du système. Le polymorphisme, l’assombrissement et les outils de dissimulation d’activité vont être plus répandus et seront standard pour la majorité des nouveaux programmes malveillants.

Nous nous attendons également à une croissance sensible du nombre de virus pour les autres systèmes d’exploitation : tout d’abord pour Mac OS, puis pour les systèmes *nix. Les consoles de jeux telles que PlayStation et Nintendo ne seront pas épargnées. Le nombre croissant de ces appareils et leur capacité à communiquer entre eux et à se connecter à Internet pourraient susciter l’intérêt des auteurs de virus mais pour l’instant, il s’agit uniquement de démarche « de recherche et de mauvaises blagues ». Il se peut que les virus pour les appareils autres que des ordinateurs franchissent une étape en 2007 et se développent de manière frénétique mais la probabilité d’un tel développement est faible et nous estimons qu’il s’agira pour la plupart de démonstrations de concept dans ce domaine.

Le nombre d’attaques ciblant les petites et moyennes entreprises va augmenter. Outre le vol traditionnel de données, ces attaques viseront l’obtention de sommes d’argent versées par les victimes, notamment en cas de cryptage des données (cf. le point Chantage). Un des principaux points d’entrée de ces programmes dans le système seront les fichiers MS Office et les vulnérabilités de cette suite logicielle.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *