Evolution du Malware: Récapitulatif de mai 2005

Certaines familles de programmes malicieux ont fait preuve d’une activité intense le mois dernier. Parmi elles, Net-Worm.Win32.Mytob qui a donné du fil à retordre à Email-Worm.Win32.Mydoom. On peut s’attendre à ce que d’ici peu de temps, Mytob, descendant direct de Mydoom mais doté d’une fonction supplémentaire, devienne plus fréquent que Mydoom. Ceci est du en grande partie au fait que la fonction en plus de Mytob lui permet de se propager via des réseaux. Il contient également une porte dérobée IRC (backdoor) et certaines versions de Mytob sont capables de se propager via des réseaux IM : ces versions incluent un module à part qui est en fait un clône de IM-Worm.Win32.Kelvir. Cet ensemble est installé séparément sur la machine victime par le fichier principal exécutable du programme malicieux. A noter également, en plus de fonctionnalités supplémentaires, le cycle de vie de Mytob varie. Contrairement aux récents vers à l’espérance de vie limitée, Mytob est programmé pour agir plus longtemps comme les premières versions de Mydoom, NetSKy, Zafi et Bagle. Toutes ces modifications ajoutées aux nouvelles versions qui sont régulièrement diffusées et mixées, font que ce ver est très présent dans le trafic viral.

Eyeveg a également attiré notre attention ce mois-ci. Après presque six mois d’hibernation, Eyeveg est à nouveau extrêmement actif. Les trois premières versions de ce ver ont été identifiées en 2003, et deux autres détectées en 2004. Et ce mois-ci Eyeveg.f, Eyeveg.g and Eyeveg.h apparaissent avec une semaine d’intervalle environ entre chaque version. Il est à l’heure actuelle un des programmes malicieux les plus actifs, et son activité se concentre essentiellement sur la Fédération de Russie. Il est pour le moment très difficile de faire quelques prévisions que ce soit concernant ce ver. Il peut très bien battre en retraite une fois de plus après une période d’activité effrénée, ou bien il peut continuer à se diffuser et maintenir son niveau d’activité actuel, comme le font certains programmes – Trojan-Downloader.Win32.INService par exemple.

Finalement, Email-Worm.Win32.Sober a fait une autre apparition avec Sober.q qui se propage activement en Europe, diffusant des messages politiques d’extrême droite et se mettant à jour lui même via Internet.

Les vers IM sont toujours aussi virulents avec de nouvelles variantes faisant régulièrement surface – IM-Worm.Win32.Bropia et IM-Worm.Win32.Kelvir ont été identifiées sous bon nombre de versions. Ces dernières se caractérisent par un cycle de vie relativement court.

Contrairement aux vers, les logiciels espions se sont fait plus discret ce mois-ci. Cependant cette baisse de l’activité n’est pas très importante et concerne surtout Trojan-PSW.Win32.LdPinch PdPinch et Trojan-Spy.Win32.Goldun. En fait, cette baisse d’activité est simplement le reflet du passage d’un pic d’activité très important à un niveau plus standard.

D’un autre côté, à l’intérieur de ce même groupe de programmes, le spyware brésilien est de plus en plus présent, aussi bien le spyware en lui-même que les programmes downloader (téléchargeurs) qui les installent. Quotidiennement, nous sommes confrontés soit à une nouvelle version de l’un de ces programmes, soit à une ancienne variante modifiée – ces dernières sont modifiées afin que l’antivirus ait des difficultés à les détecter. Trojan-Spy.Win32.Baner.ju illustre bien cette approche puisqu’il est diffusé constamment avec des déguisements légèrement différents.

Les logiciels espions se propagent de différentes manières, la plus populaire étant le mailing de masse (spamming). Cela peut se réaliser en une seule étape (lorsque le fichier porteur du logiciel espion est envoyé à l’utilisateur) ou bien en deux temps avec un Trojan downloader (dans le cas de cette famille de logiciels espions, Dadobra est utilisé. Certaines variantes récentes de Dadobra ont été modifiées de sorte qu’elles téléchargent des fichiers porteurs de programmes malicieux via FTP, plutôt que via http comme par le passé). Une autre méthode, employée plus fréquemment, consiste à utiliser Email-Worm.Win32.Combra en tant que porteur. Ce ver téléchargera soit le programme espion lui-même soit le Trojan downloader sur la machine infectée.

Mai a été témoin de la tentative chinoise de rivaliser avec les brésiliens en termes d’activité virale. Cependant, les programmes chinois tels que Trojan-PSW.Win32.Lmir, Lineage, Gamania et autre QQ (application chinoise de messagerie instantanée) n’ont pas fait preuve d’une très forte activité. Backdoor.Win32.Hupigon fait figure d’exception ici, étant donné que de nouvelles variantes ont été lancées récemment, mais aucune d’entre elles n’ont causé de sérieuses perturbations.

Finalement, la nouveauté du mois s’avère être Trojan-Downloader.Win32.Peerat.a, qui se distingue de par sa fonctionnalité. En effet, il diffère des Trojan downloaders dans le sens où il ne fait pas que télécharger d’autres programmes malicieux sur la machine victime, mais également sur n’importe quel fichier partageant un réseau donné.

En résumé: Mytob est devenu plus actif que Mydoom, son prédecesseur, et cette tendance tend à s’affirmer.

Certains groupes de programmes malicieux restés inactifs relativement longtemps, montrent des relans d’activité.

Les logiciels espions et les programmes de vol vont continuer à être utilisés, probablement avec une intensité croissante.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *