Evolution du Malware: Récapitulatif d’Octobre 2004

Contrairement aux mois précédents, octobre s’est avéré plutôt calme avec un nombre restreint de nouveaux programmes malicieux. Le nombre d’épidémies a été au plus bas. Pourtant les programmes espions ont continué à se propager et de nouvelles vulnérabilités ont été authentifiées. Voici ci-dessous les grandes lignes du mois précédent.

Premièrement une nouvelle vulnérabilité a été découverte dans Microsoft Internet Explorer. Les patchs peuvent être téléchargés depuis le site de Microsoft et une description de la faille est disponible dans le Microsoft Security Bulletin MS04-032
(bulletin de sécurité Microsoft). Une vulnérabilité détectée antérieurement, touchait le traitement des fichiers graphiques BMP et JPEG ; désormais les métafichiers WMF/EMF sont également concernés. Il s’agit d’une nouvelle faille de dépassement de mémoire tampon – un attaquant peut l’utiliser pour activer un code malicieux intégré dans un fichier graphique infecté. Cette vulnérabilité représente un plus grand danger que celle des BMP/ JPEG puisque Microsoft Windows utilise le contenu des fichiers WMF/EMF pour créer des icônes pour ces fichiers. L’exploitation de la vulnérabilité est possible simplement en activant le système d’exploitation pour qu’il crée une icône pour le fichier graphique approprié.

Deuxièmement, même si octobre fut un mois relativement calme en termes de code malicieux, nous avons détecté malgré tout quelques nouveaux vers de messagerie. Tous ont suivi la tendance actuelle qui consiste à avoir un cycle de vie relativement court. C’est le cas des derniers représentants des familles Bagle et Mydoom qui se propagent pendant 2 ou 3 jours avant de cesser leur activité. I-Worm.Mydoom.aa, I-Worm.Mydoom.ab, I-Worm.Bagle.at et I-Worm.Bagle.au étaient plus ou moins des clônes utilisants le code source des vers précédents de leur famille respective. Par conséquent, les nouvelles versions ne présentaient pas vraiment de différence.

Ocotbre a vu la résurrection du ver I-Worm.Zafi avec sa nouvelle version Zafi.c, qui est apparue après une absence relativement prolongée. Il a été détecté juste à la fin du mois et d’un point de vue technique il s’agit d’un cas intéressant. Les auteurs de vers continuent de développer leurs connaissances en matière de social engineering : les textes des messages infectés deviennent de plus en plus variés. La structure du texte a été considérablement modifiée par rapport à la dernière version de Zafi. Malgré la brièveté du texte, les auteurs ont imaginé tout un tas de variantes. Les textes sont plus cohérents et aguicheurs.

La liste des serveurs visés par le ver pour produire une attaque de DoS n’est pas non plus dénué d’intérêt. En plus de Google.com et Microsoft.com, la liste comprend également le site du premier ministre hongrois – il s’agit peut être d’un retour vers la politique de Zafi.a.

Tous les vers ci-dessus ont été accompagnés d’un nouveau ver – I-Worm.Bagz.a. Ce dernier est capable d’infecter les ordinateurs par email mais aussi, si l’internaute visite certains sites porteurs de scripts malicieux – ces scripts installent le ver sur la machine victime. Cette version de Bagz ne se propage pas très largement ou rapidement, mais la famille semble faite pour évoluer. On peut s’attendre à détecter dans un futur proche une version encore plus réussie.

On peut considérer Worm.Win32.Opasoft.s comme une des nouveautés d’octobre. Même si cette famille n’est pas nouvelle, il n’y avait pas eu de nouvelles versions de ce programme malicieux depuis longtemps. Cette variante a provoqué une épidémie importante dans la Fédération de Russie. Il est difficile de prévoir ce qui se passera dans le futur – l’activité peut redémarrer ou bien le ver peut très bien disparaître encore une fois pour un temps indéfini.

En conclusion, les programmes espions et voleurs méritent une mention spéciale pour la forte activité dont ils ont fait preuve ce mois-ci. Plusieurs familles de programmes d’administration à distance (Backdoor.Win32.Agobot, Backdoor.Win32.Rbot, Backdoor.Win32.Wootbot et Backdoor.Win32.SdBot) se sont conduits de même. Trojan.PSW.LdPinch, Trojan.PSW.PdPinch, Trojan.PSW.Lmir, Trojan.PSW.Lineage, TrojanSpy.Win32.Bancos et TrojanSpy.Win32.Banker ont tous été actifs ce mois-ci, ainsi que TrojanSpy.HTML.Citifraud, TrojanSpy.HTML.Bankfraud et TrojanSpy.HTML.Sunfraud – ces trois derniers ont fait circuler des emails frauduleux pour des attaques de phishings.

Ce fort taux d’activité semble indiquer que ces programmes sont très demandés par les fraudeurs et la tendance ne semble pas sur le point de faiblir, bien au contraire.

Ce mois-ci a montré que les programmes de Troie énumérés ci-dessus suivent une nouvelle tendance – des programmes malicieux familiers sont archivés et/ou chiffrés avec de nouvelles méthodes pour éviter les scanneurs antivirus.

En bref:

  • De nouvelles vulnérabilités et des virus qui les exploitent continuent à être détectées
  • Toutes les sérieuses épidémies d’octobre sont le fruit de l’évolution continue de Mydoom, Bagle et Opasoft
  • Les auteurs de virus continuent de perfectionner leurs codes malicieux pour voler des données confidentielles ou personnelles.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *