Evolution du Malware : Récapitulatif d’avril 2005

Avril a été le mois des vers. Les vers en général sont sur le déclin. La quantité de vers et de leurs différentes variantes détectée ce mois-ci est bien inférieur à celle de l’année passée.

Email-Worm.Win32.Bagle

Après un mois d’hibernation, Bagle a refait surface avec Email-Worm.Win32.Bagle bi. Cette variante, a été identifiée le 15 avril alors que la dernière variante en date datait du 12 mars. Cette derniere variante a été suivie de nouvelles versions de Bagle (.bi – .bn). Ajouté à ça, Bagle.pac regroupe d’autres versions apparues également ce mois-ci. Les auteurs de Bagle sont en train d’examiner la rapidité à laquelle ils peuvent réagir une fois que les bases antivirus sont remises a jour. Les nouvelles variantes de Bagle apparaissaient seulement 15 minutes après la mise jour protégeant des versions précédemment lancées. En général, les versions d’avril de Bagle faisaient leur apparition après minuit, heure de Moscou (GMT +3).

A proprement parler, Bagle n’est plus un ver de messagerie, puisqu’il n’est pas capable de se répliquer. Les nouvelles variantes étaient diffusées à l’aide de spams – les utilisateurs recevaient un programme contenant une longue liste d’adresses Internet d’où ils pouvaient soi-disant télécharger des fichiers. D’autres programmes malicieux seront placés sur les sites listés dans l’email. Dans le cas présent, il s’agit de SpamTool.Win32.Small. Ce programme va collecter les adresses email présentes sur la machine victime et les envoyer à l’auteur ou l’utilisateur du SpamTool. Il est plus que probable que ces adresses soient ensuite revendues à des spammeurs. Bagle a évolué et n’est plus seulement un ver – il fait partie d’un processus mis en place et bien pensé par les spammeurs pour trouver de nouvelles adresses et créer de nouvelles machines zombies pour faire partie d’un réseau de bot. Mis a part le fait que les dernières variantes de Bagle ne se diffusent pas, le simple fait d’exécuter le ver transformera la machine victime en zombie.

Net-Worm.Win32.Mytob

En dehors de Bagle, 25 nouvelles variantes de Networm-Win32.Mytob ont été détectées en avril. Ce ver se diffuse via email et s’infiltre dans les ordinateurs porteurs de la faille du service LSASS. Mytob.c occupe la première place dans le top vingt des virus. Cela est certainement dû au fait qu’il se propage via une vulnérabilité Windows. Ce qui signifie que la plupart des utilisateurs n’a pas installé les mises à jour de sécurité Windows, même les plus critiques. Patcher les brèches est essentiel pour maintenir un niveau de sécurité correct.

IM-Worm.Win32.Kelvir

Le ver principal en termes de nombres de variantes s’avère être IM-Worm.Win32.Kelvir. Ce ver est apparu en 38 versions différentes ce mois-ci. Une des modifications diffusées présentait une tactique de social engineering plutôt intéressante: plutôt qu’envoyer un lien ver un fichier .pif ou .scrm, le ver envoyait un lien vers un fichier a l’extension .php. Le sous-programme de traitement utilisé pour les fichiers php permet à l’utilisateur malicieux d’ajouter n’importe quel chiffres ou adresses au lien. Ces données seront envoyées au serveur lorsque l’utilisateur cliquera sur le lien. Dans le cas de Kelvir.k, les adresses MSN des utilisateurs de IM seront ajoutées au lien.

Exemple:

  • IM utilisateur #1 adresse email
    xxx@chose.qqq

  • IM utilisateur #2 adresse email
    yyy@chose.zzz
  • utilisateur #1 reçoit un lien du type
    hxxp://www.[edited].us/[edited]/pictures.php?email= xxx @ chose.qqq

  • utilisateur #2 reçoit un lien du type
    hxxp://www.[edited].us/[edited]/pictures.php?email= yyy @ chose.zzz

Lorsque l’utilisateur clique sur le lien, un message apparaît demandant si le fichier doit être sauvegardé ou exécuté. Cela attire en général la méfiance des utilisateurs dont la majorité préfère n’entreprendre aucune action.

Cependant, dès que l’utilisateur clique sur le lien, son adresse email sera envoyée à l’utilisateur malicieux à distance. En d’autres termes, l’adresse sera ajoutée aux bases de spams que l’utilisateur exécute le ver ou non.

Il semble que dans les mois à venir, les auteurs de virus vont continuer à affûter leurs techniques en social engineering, puisque les utilisateurs deviennent méfiants et les anciennes méthodes ne sont plus aussi efficaces. Les vers de messagerie tombent en décrépitude. Par contre le mailing de masse de téléchargeurs (downloaders) ne fera qu’augmenter dans le but de créer toujours plus de réseaux de bot.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *