Infos

Evolution du Malware: Récapitulatif de mai 2005

Certaines familles de programmes malicieux ont fait preuve d’une activité intense le mois dernier. Parmi elles, Net-Worm.Win32.Mytob qui a donné du fil à retordre à Email-Worm.Win32.Mydoom. On peut s’attendre à ce que d’ici peu de temps, Mytob, descendant direct de Mydoom mais doté d’une fonction supplémentaire, devienne plus fréquent que Mydoom. Ceci est du en grande partie au fait que la fonction en plus de Mytob lui permet de se propager via des réseaux. Il contient également une porte dérobée IRC (backdoor) et certaines versions de Mytob sont capables de se propager via des réseaux IM : ces versions incluent un module à part qui est en fait un clône de IM-Worm.Win32.Kelvir. Cet ensemble est installé séparément sur la machine victime par le fichier principal exécutable du programme malicieux. A noter également, en plus de fonctionnalités supplémentaires, le cycle de vie de Mytob varie. Contrairement aux récents vers à l’espérance de vie limitée, Mytob est programmé pour agir plus longtemps comme les premières versions de Mydoom, NetSKy, Zafi et Bagle. Toutes ces modifications ajoutées aux nouvelles versions qui sont régulièrement diffusées et mixées, font que ce ver est très présent dans le trafic viral.

Eyeveg a également attiré notre attention ce mois-ci. Après presque six mois d’hibernation, Eyeveg est à nouveau extrêmement actif. Les trois premières versions de ce ver ont été identifiées en 2003, et deux autres détectées en 2004. Et ce mois-ci Eyeveg.f, Eyeveg.g and Eyeveg.h apparaissent avec une semaine d’intervalle environ entre chaque version. Il est à l’heure actuelle un des programmes malicieux les plus actifs, et son activité se concentre essentiellement sur la Fédération de Russie. Il est pour le moment très difficile de faire quelques prévisions que ce soit concernant ce ver. Il peut très bien battre en retraite une fois de plus après une période d’activité effrénée, ou bien il peut continuer à se diffuser et maintenir son niveau d’activité actuel, comme le font certains programmes – Trojan-Downloader.Win32.INService par exemple.

Finalement, Email-Worm.Win32.Sober a fait une autre apparition avec Sober.q qui se propage activement en Europe, diffusant des messages politiques d’extrême droite et se mettant à jour lui même via Internet.

Les vers IM sont toujours aussi virulents avec de nouvelles variantes faisant régulièrement surface – IM-Worm.Win32.Bropia et IM-Worm.Win32.Kelvir ont été identifiées sous bon nombre de versions. Ces dernières se caractérisent par un cycle de vie relativement court.

Contrairement aux vers, les logiciels espions se sont fait plus discret ce mois-ci. Cependant cette baisse de l’activité n’est pas très importante et concerne surtout Trojan-PSW.Win32.LdPinch PdPinch et Trojan-Spy.Win32.Goldun. En fait, cette baisse d’activité est simplement le reflet du passage d’un pic d’activité très important à un niveau plus standard.

D’un autre côté, à l’intérieur de ce même groupe de programmes, le spyware brésilien est de plus en plus présent, aussi bien le spyware en lui-même que les programmes downloader (téléchargeurs) qui les installent. Quotidiennement, nous sommes confrontés soit à une nouvelle version de l’un de ces programmes, soit à une ancienne variante modifiée – ces dernières sont modifiées afin que l’antivirus ait des difficultés à les détecter. Trojan-Spy.Win32.Baner.ju illustre bien cette approche puisqu’il est diffusé constamment avec des déguisements légèrement différents.

Les logiciels espions se propagent de différentes manières, la plus populaire étant le mailing de masse (spamming). Cela peut se réaliser en une seule étape (lorsque le fichier porteur du logiciel espion est envoyé à l’utilisateur) ou bien en deux temps avec un Trojan downloader (dans le cas de cette famille de logiciels espions, Dadobra est utilisé. Certaines variantes récentes de Dadobra ont été modifiées de sorte qu’elles téléchargent des fichiers porteurs de programmes malicieux via FTP, plutôt que via http comme par le passé). Une autre méthode, employée plus fréquemment, consiste à utiliser Email-Worm.Win32.Combra en tant que porteur. Ce ver téléchargera soit le programme espion lui-même soit le Trojan downloader sur la machine infectée.

Mai a été témoin de la tentative chinoise de rivaliser avec les brésiliens en termes d’activité virale. Cependant, les programmes chinois tels que Trojan-PSW.Win32.Lmir, Lineage, Gamania et autre QQ (application chinoise de messagerie instantanée) n’ont pas fait preuve d’une très forte activité. Backdoor.Win32.Hupigon fait figure d’exception ici, étant donné que de nouvelles variantes ont été lancées récemment, mais aucune d’entre elles n’ont causé de sérieuses perturbations.

Finalement, la nouveauté du mois s’avère être Trojan-Downloader.Win32.Peerat.a, qui se distingue de par sa fonctionnalité. En effet, il diffère des Trojan downloaders dans le sens où il ne fait pas que télécharger d’autres programmes malicieux sur la machine victime, mais également sur n’importe quel fichier partageant un réseau donné.

En résumé: Mytob est devenu plus actif que Mydoom, son prédecesseur, et cette tendance tend à s’affirmer.

Certains groupes de programmes malicieux restés inactifs relativement longtemps, montrent des relans d’activité.

Les logiciels espions et les programmes de vol vont continuer à être utilisés, probablement avec une intensité croissante.

Evolution du Malware: Récapitulatif de mai 2005

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception