Infos

Evolution du Malware: Récapitulatif d’Octobre 2004

Contrairement aux mois précédents, octobre s’est avéré plutôt calme avec un nombre restreint de nouveaux programmes malicieux. Le nombre d’épidémies a été au plus bas. Pourtant les programmes espions ont continué à se propager et de nouvelles vulnérabilités ont été authentifiées. Voici ci-dessous les grandes lignes du mois précédent.

Premièrement une nouvelle vulnérabilité a été découverte dans Microsoft Internet Explorer. Les patchs peuvent être téléchargés depuis le site de Microsoft et une description de la faille est disponible dans le Microsoft Security Bulletin MS04-032
(bulletin de sécurité Microsoft). Une vulnérabilité détectée antérieurement, touchait le traitement des fichiers graphiques BMP et JPEG ; désormais les métafichiers WMF/EMF sont également concernés. Il s’agit d’une nouvelle faille de dépassement de mémoire tampon – un attaquant peut l’utiliser pour activer un code malicieux intégré dans un fichier graphique infecté. Cette vulnérabilité représente un plus grand danger que celle des BMP/ JPEG puisque Microsoft Windows utilise le contenu des fichiers WMF/EMF pour créer des icônes pour ces fichiers. L’exploitation de la vulnérabilité est possible simplement en activant le système d’exploitation pour qu’il crée une icône pour le fichier graphique approprié.

Deuxièmement, même si octobre fut un mois relativement calme en termes de code malicieux, nous avons détecté malgré tout quelques nouveaux vers de messagerie. Tous ont suivi la tendance actuelle qui consiste à avoir un cycle de vie relativement court. C’est le cas des derniers représentants des familles Bagle et Mydoom qui se propagent pendant 2 ou 3 jours avant de cesser leur activité. I-Worm.Mydoom.aa, I-Worm.Mydoom.ab, I-Worm.Bagle.at et I-Worm.Bagle.au étaient plus ou moins des clônes utilisants le code source des vers précédents de leur famille respective. Par conséquent, les nouvelles versions ne présentaient pas vraiment de différence.

Ocotbre a vu la résurrection du ver I-Worm.Zafi avec sa nouvelle version Zafi.c, qui est apparue après une absence relativement prolongée. Il a été détecté juste à la fin du mois et d’un point de vue technique il s’agit d’un cas intéressant. Les auteurs de vers continuent de développer leurs connaissances en matière de social engineering : les textes des messages infectés deviennent de plus en plus variés. La structure du texte a été considérablement modifiée par rapport à la dernière version de Zafi. Malgré la brièveté du texte, les auteurs ont imaginé tout un tas de variantes. Les textes sont plus cohérents et aguicheurs.

La liste des serveurs visés par le ver pour produire une attaque de DoS n’est pas non plus dénué d’intérêt. En plus de Google.com et Microsoft.com, la liste comprend également le site du premier ministre hongrois – il s’agit peut être d’un retour vers la politique de Zafi.a.

Tous les vers ci-dessus ont été accompagnés d’un nouveau ver – I-Worm.Bagz.a. Ce dernier est capable d’infecter les ordinateurs par email mais aussi, si l’internaute visite certains sites porteurs de scripts malicieux – ces scripts installent le ver sur la machine victime. Cette version de Bagz ne se propage pas très largement ou rapidement, mais la famille semble faite pour évoluer. On peut s’attendre à détecter dans un futur proche une version encore plus réussie.

On peut considérer Worm.Win32.Opasoft.s comme une des nouveautés d’octobre. Même si cette famille n’est pas nouvelle, il n’y avait pas eu de nouvelles versions de ce programme malicieux depuis longtemps. Cette variante a provoqué une épidémie importante dans la Fédération de Russie. Il est difficile de prévoir ce qui se passera dans le futur – l’activité peut redémarrer ou bien le ver peut très bien disparaître encore une fois pour un temps indéfini.

En conclusion, les programmes espions et voleurs méritent une mention spéciale pour la forte activité dont ils ont fait preuve ce mois-ci. Plusieurs familles de programmes d’administration à distance (Backdoor.Win32.Agobot, Backdoor.Win32.Rbot, Backdoor.Win32.Wootbot et Backdoor.Win32.SdBot) se sont conduits de même. Trojan.PSW.LdPinch, Trojan.PSW.PdPinch, Trojan.PSW.Lmir, Trojan.PSW.Lineage, TrojanSpy.Win32.Bancos et TrojanSpy.Win32.Banker ont tous été actifs ce mois-ci, ainsi que TrojanSpy.HTML.Citifraud, TrojanSpy.HTML.Bankfraud et TrojanSpy.HTML.Sunfraud – ces trois derniers ont fait circuler des emails frauduleux pour des attaques de phishings.

Ce fort taux d’activité semble indiquer que ces programmes sont très demandés par les fraudeurs et la tendance ne semble pas sur le point de faiblir, bien au contraire.

Ce mois-ci a montré que les programmes de Troie énumérés ci-dessus suivent une nouvelle tendance – des programmes malicieux familiers sont archivés et/ou chiffrés avec de nouvelles méthodes pour éviter les scanneurs antivirus.

En bref:

  • De nouvelles vulnérabilités et des virus qui les exploitent continuent à être détectées
  • Toutes les sérieuses épidémies d’octobre sont le fruit de l’évolution continue de Mydoom, Bagle et Opasoft
  • Les auteurs de virus continuent de perfectionner leurs codes malicieux pour voler des données confidentielles ou personnelles.

Evolution du Malware: Récapitulatif d’Octobre 2004

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception