Evolution du Malware: Récapitulatif Décembre 2004

En décembre 2004, 3 vulnérabilités ont été détectées dans Windows NT (affectant NT, 2000, 2003 et XP) :

.

  • Une vulnérabilité dans winhlp32.exe qui est utilisée pour ouvrir les fichiers aux extensions .hlp
  • Une vulnérabilité rendant possible l’exécution d’un code aléatoire lorsque des fichiers écrits en .bmp, .ico, .cur et .ani sont ouverts
  • Une vulnérabilité rendant possible le plantage d’un système lorsqu’un fichier écrit en .ani est ouvert.

Pour ce début 2005, on peut s’attendre à voir arriver un grand nombre d’exploits pour ces vulnérabilités. Toutefois, en raison des vacances de début d’année, il est probable que les auteurs de virus russes et et les hackers débutent leurs activités mi-janvier.

Email-Worm.Win32.Atak était actif tout le mois de décembre, avec la sortie d’une nouvelle variante environ tous les trois jours. Les deux premières versions de ce ver ont fait leur première apparition en juillet 2004 et décembre a vu déferler onze nouvelles versions.

Net-Worm.Perl.Santy, un ver qui infectait les sites web, a provoqué une épidémie remarquée le 21 décembre. Ce ver exploitait une faille dans phpBB, une application populaire pour la création de sites. La vulnérabilité est présente dans les versions inférieures à 2.0.11. Le ver formulait une requête spécifique dans Google qui affichait comme résultats, tous les sites touchés par la vulnérabilité en question. Le ver envoyait ensuite un morceau de code contenant un exploit destiné à exploiter la vulnérabilité sur les sites trouvés par Google. Le serveur attaqué, sous l’influence de l’exploit, autorisait le ver à pénétrer le site et ce dernier commencait sa campagne de propagation. Même si cela a crée une sérieuse épidémie, Santy n’a pas causé de nuisances directes aux surfeurs du net, puisque les machines utilisées pour voir les sites compromis n’ont pas été infectées.

Email-Worm.MyDoom fait office d’édition spéciale de Noël, les messages infectés contenant le texte ‘Mery Chrismas & Happy New Year! 2005 will be the beginning!’ ou bien ‘Happy New year and wish you good luck on next year!’ On a trouvé d’autres cadeaux de Noël sous forme de dernière variante de Zafi, Zafi.d ainsi qu’un nombre important de vers de messagerie écits sous Visual Basic.

Un grand nombre de nouvelles versions de Trojan-PSW.Win32.LdPinch, Backdoor.Win32.SdBot, et Backdoor.Win32Rbot ont également été détectées. En général, ces variantes se distinguent uniquement de la façon dont les fichiers exécutables sont chiffrés.

La majorité des programmes malicieux écrits en décembre avaient pour but de collecter de l’information ou de prendre le contrôle de la machine à distance. Voici les programmes malicieux les plus répandus du mois de décembre :

  • Trojan-Downloader – programmes qui téléchargent un autre programme sur la machine victime
  • Trojan-Spy, Trojan-PSW – programmes conçus pour voler des informations diverses
  • Backdoor – programmes conçus pour fournir un controle à distance sur la machine victime

Janvier ne devrait pas être très différent de décembre en termes d’évolution de logiciels malveillants. Les tendances de décembre ne vont pas évoluer en janvier. Comme nous l’avions prévu le mois précédent, le nombre d’attaques par phishing continue à augmenter et cette tendance va certainement s’affermir d’ici les prochains mois.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *