Infos

Juin 2009 : Kaspersky Lab identifie la diffusion massive de malware par clés USB et la recrudescence de téléchargements à la dérobée

Les chercheurs de Kaspersky Lab établissent chaque mois leurs Tops 20 des programmes malveillants à partir de données générées par Kaspersky Security Network et Antivirus Internet. En juin 2009, Kaspersky Lab observent que les cybercriminels exploitent de plus en plus les failles liées aux périphériques de stockage et aux sites Internet infectés.

Le premier Top 20 établit le classement des codes malicieux, programmes malveillants et logiciels publicitaires présentant un danger potentiel, détectés et neutralisés dès le premier contact, au déclenchement du composant d’analyse à la demande de Kaspersky Security network.

L’utilisation des statistiques permet d’analyser les menaces les plus récentes, les plus dangereuses et les plus répandues bloquées au démarrage ou lors du téléchargement depuis Internet sur l’ordinateur de l’utilisateur.

Rang Programme malicieux Nombre de PC infectés
1   Net-Worm.Win32.Kido.ih 58200  
2   Virus.Win32.Sality.aa 28758  
3   Trojan-Dropper.Win32.Flystud.ko 13064  
4   Trojan-Downloader.Win32.VB.eql 12395  
5   Worm.Win32.AutoRun.dui 8934  
6   Trojan.Win32.Autoit.ci 8662  
7   Virus.Win32.Virut.ce 6197  
8   Worm.Win32.Mabezat.b 5967  
9   Net-Worm.Win32.Kido.jq 5934  
10   Virus.Win32.Sality.z 5750  
11   Trojan-Downloader.JS.LuckySploit.q 4624  
12   Virus.Win32.Alman.b 4394  
13   Packed.Win32.Black.a 4317  
14   Net-Worm.Win32.Kido.ix 4284  
15   Worm.Win32.AutoIt.i 4189  
16   Trojan-Downloader.WMA.GetCodec.u 4064  
17   Packed.Win32.Klone.bj 3882  
18   Email-Worm.Win32.Brontok.q 3794  
19   Worm.Win32.AutoRun.rxx 3677  
20   not-a-virus:AdWare.Win32.Shopper.v 3430  

Net-Worm.Win32.Kido.ih conserve la pôle position du Top 20 de Kaspersky Lab, qui intègre par ailleurs 2 autres variantes, Kido.jq et Kido.ix.

Selon toute vraisemblance, cette forte présence de Kido dans le classement s’explique par son mode de diffusion via les clés USB qu’il contamine depuis des ordinateurs non protégés.

Il en est de même pour la famille AutoRun, dont les variantes AutoRun.dui et AutoRun.rxx figurent également au Top 20 de Kaspersky Lab.

On y retrouve aussi Trojan-Downloader.JS.LuckySploit.q, un cheval de Troie de script largement prisé par les cybercriminels.

Enfin, en 20ème position, apparaît Shopper.v, programme malveillant très populaire dans la catégorie des logiciels publicitaires. Zango, société à l’origine de ce programme a fermé il y a quelques mois. Shopper.v installe différents panneaux dans les navigateurs et les clients de messagerie dans lesquels il affiche des bandeaux publicitaires. La suppression de ces panneaux du système est relativement compliquée.

Le second Top 20 établi par les chercheurs de Kaspersky Lab repose sur les données obtenues via Antivirus Internet. Il permet d’identifier les programmes malveillants qui infectent le plus souvent les pages Web et les codes malicieux qui sont le plus souvent téléchargés depuis des pages malveillantes ou infectées.

Rang Programme malicieux Nombre de pages web infectées
1   Trojan-Downloader.JS.Gumblar.a 27103  
2   Trojan-Downloader.JS.Iframe.ayt 14563  
3   Trojan-Downloader.JS.LuckySploit.q 6975  
4   Trojan-Clicker.HTML.IFrame.kr 5535  
5   Trojan-Downloader.HTML.IFrame.sz 4521  
6   Trojan-Downloader.JS.Major.c 4326  
7   Trojan-Downloader.Win32.Agent.cdam 3939  
8   Trojan-Clicker.HTML.IFrame.mq 3922  
9   Trojan.JS.Agent.aat 3318  
10   Trojan.Win32.RaMag.a 3302  
11   Trojan-Clicker.SWF.Small.b 2894  
12   Packed.JS.Agent.ab 2648  
13   Trojan-Downloader.JS.Agent.czm 2501  
14   Exploit.JS.Pdfka.gu 2441  
15   Trojan-Clicker.JS.Agent.fp 2332  
16   Trojan-Dropper.Win32.Agent.aiuf 2002  
17   Exploit.JS.Pdfka.lr 1995  
18   not-a-virus:AdWare.Win32.Shopper.l 1945  
19   not-a-virus:AdWare.Win32.Shopper.v 1870  
20   Exploit.SWF.Agent.az 1747  

La 1ère place revient au cheval de Troie Gumblar.a., dont le mécanisme est un excellent exemple de téléchargement à la dérobée.

Gumblar.a est un script chiffré de petite taille qui renvoie l’utilisateur vers un site malveillant d’où, à l’aide d’une multitude de codes d’exploitation, un fichier exécutable malveillant est téléchargé. Une fois installé, il influence le trafic Internet de l’utilisateur en modifiant les résultats des recherches dans Google et identifie les coordonnées d’accès aux serveurs FTP pour les infecter.

C’est ainsi que les cybercriminels créent un réseau de zombies composés de serveurs infectés qu’ils peuvent utiliser pour charger sur l’ordinateur de l’utilisateur n’importe quel type de programme malveillant. Le nombre de serveurs infectés est aujourd’hui considérable.

Le cheval de Troie téléchargeur LuckySploit.q est un autre exemple frappant de téléchargement à la dérobée que l’on retrouve en 3ème position (et qui figure également dans le premier Top 20).

Il s’agit d’un script d’obfuscation qui commence par récolter des informations sur la configuration du navigateur de l’utilisateur et qui envoie ces renseignements vers un site malveillant après les avoir chiffrés à l’aide d’une clé RSA ouverte. Une fois sur le serveur, ces informations sont décryptées à l’aide d’une clé RSA fermée et la victime reçoit une sélection de scripts, en fonction de la configuration du navigateur, qui exploitent les vulnérabilités de l’ordinateur et qui téléchargent des programmes malveillants. Cette combinaison en plusieurs étapes complique énormément l’analyse des exemplaires du script source qui récolte les données relatives au navigateur : si le serveur chargé du décryptage est inaccessible, il n’est pas possible d’obtenir des données sur les scripts qu’il envoie.

Plusieurs programmes malveillants exploitent les vulnérabilités de grands éditeurs de logiciels. Ainsi, la présence dans le classement de Trojan-Clicker.SWF.Small.b, Exploit.JS.Pdfka.gu, Exploit.JS.Pdfka.lr et Exploit.SWF.Agent.az témoigne de la popularité et de la vulnérabilité des logiciels Adobe Flash Player et Adobe Reader. De nombreuses vulnérabilités dans les applications de Microsoft sont également exploitées activement. Par exemple, Trojan-Downloader.JS.Major.c tire profit de plusieurs vulnérabilités dans différents composants de Microsoft Windows et de Microsoft Office.

A la lumière des statistiques mensuelles établies par les chercheurs de Kaspersky Lab en juin 2009, les cybercriminels semblent recourir de plus en plus aux ruses du téléchargement à la dérobée sur les ordinateurs des victimes. De même, il semblerait qu’Internet soit de plus en plus souvent un vecteur de propagation des menaces.

En conséquence, les internautes doivent veiller à installer les mises à jour les plus récentes du système d’exploitation et des applications utilisées ainsi qu’à actualiser régulièrement les bases de leur solution antivirale.

Enfin, pour les chercheurs de Kaspersky Lab, en juin 2009, le Top 5 des pays producteurs de menaces cybercriminelles par tentatives d’infections via Internet est le suivant :

Juin 2009 : Kaspersky Lab identifie la diffusion massive de malware par clés USB et la recrudescence de téléchargements à la dérobée

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception