Evolution du Malware: Récapitulatif d’Août

Contrairement à l’été dernier, août s’est montré relativement calme au niveau viral. On a quand même assisté à certains développements dans l’évolution des codes malicieux. Certains programmes détectés en début de mois devraient apparaître de plus en plus fréquemment.

L’évènement du mois est l’apparition de Backdoor.WinCE.Brador.a. Il s’agit du premier programme malicieux pour Pocket PC. Un virus proof of concept avait été détecté le mois dernier tournant sous Windows CE. Il n’était pas nuisible et pas détecté dans la nature. Brador, lui, est un utilitaire d’administration à distance qui peut recevoir et exécuter toutes sortes de commandes. L’auteur du programme mettra certainement en vente le module de contrôle au plus offrant ou intéressé, et une fois que la transaction sera effectuée, Brador pourra se répandre.

L’autre innovation du mois est Trojan.SymbOS.Mosquit.a. Ce Trojan pour téléphones mobiles confirme la théorie selon laquelle, une fois qu’un code malicieux pour un système d’exploitation donné est créé, des variantes ou de nouveaux programmes ne tardent pas à affluer. Sur ce point, Mosquit.a suit les traces de Cabir, le virus proof of concept apparu en juin cette année et qui vise les téléphones fonctionnant sous Symbian. Mosquit est en réalité un jeu très populaire pour téléphones mobiles. Cependant, le programme est codé pour envoyer des messages SMS à des numéros contenus dans le corps du programme sans que l’utilisateur ait le moindre soupcon. Il est donc classifié comme programme de Troie.

Les Trojans espions n’ont montré aucun signe de faiblesse en août avec sept nouvelles versions de Trojan.PSW.LdPinch et deux nouvelles versions de TrojanSpy.Win32.Small.q. Ce trojan a pour mission de voler des informations bancaires sur 55 systèmes de paiment en ligne. L’information récoltée est ensuite envoyée à l’auteur du programme. Quelques variantes du Trojan.PSW.Lmir, un programme qui volent des mots de passe sur Legend of Mir, un jeu en ligne chinois, ont également circulé ce mois-ci.

En milieu de mois, la société britannique Pentest a annoncé la détection d’une vulnérabilité dans le logiciel WIDCOMM Bluetooth Connectivity. Cette vulnérabilité permet l’exécution d’un code arbitraire avec les droits actuels de l’utilisateur. Aucun patch n’a été émis pour lutter contre cette brèche. Jusqu’à maintenant, cette faille n’a pas été exploitée mais il peut s’agir d’une simple question de temps.

A la fin du mois, un nombre d’emails avec pour objet «1 » et un fichier joint du nom de « 1.gif » ou « 2.gif » ont fait leur apparition. Le document attaché contenait le texte 45451212. Les messages eux-mêmes contenaient un code html uilisé par Exploit.HTML.ObjData pour télécharger depuis Internet un fichier contenant TrojanDropper.Win32.Small.kv. Ce Trojan s’est diffusé avec un nombre de variantes de Bagle. Ce mailing de spams est peut être une approche pour l’édition de la nouvelle version de Bagle.

Août a apporté la nouvelle épidémie Mydoom avec I-Worm.Mydoom.q. Ce ver était programmé pour cesser de se dupliquer le 20 août lorsque le système horaire indiquerait 21.11.11. Quant à Backdoor.Win32.Surila.g que Mydoom installait sur les machines victimes, elle n’a pas de date limite. Les machines resteront accessibles pour de l’administration à distance jusqu’à ce que le programme soit supprimé.

Prévision pour le mois prochain:

Le mois prochain, les vers seront comme d’habitude le type le plus répandu de programme malicieux, pendant que les programmes espions atteindront les chiffres les plus élevés. Il est possible que de nouveaux programmes malicieux pour ordinateur de poche et téléphone mobile soit détectés, y compris des programmes qui exploitent la vulnérabilité dans WIDCOMM Bluetooth Connectivity Software pour se propager. Le spamming de Exploit.HTML.ObjData qui télécharge TrojanDropper.Win32.Small.kvest peut être le précursseur d’une nouvelle épidémie Bagle.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *