Kaspersky Security Bulletin janvier à juin 2006 : Développement du malware

  1. Développement du malware
  2. Autres plateformes Win32. Situation sur le front des programmes malveillants
  3. Attaques Internet – panorama de la période janvier-juin 2006
  4. Programmes malicieux pour appareils nomades : les risques d’infection augmentent
  5. Courrier indésirable au 1er semestre 2006

Ce rapport met en lumière les changements les plus significatifs survenus dans le domaine de la sécurité informatique au cours des six derniers mois et avance une série de prévisions sur le développement le plus probable sur la base des statistiques en notre possession.

Ce rapport s’adresse avant tout aux spécialistes de la sécurité informatique qui traitent de la problématique des codes malveillants mais il est également accessible à tous les utilisateurs que le sujet intéresse.

Le premier semestre 2006 a été marqué par des changements qui ne sont pas passés inaperçus. Le nombre de nouvelles variantes de code malveillant découvertes par mois a augmenté en moyenne de 8% par rapport au deuxième semestre de l’année dernière :


Nombre de nouvelles variantes de codes malveillants découvertes par mois

Comme nous l’indique le schéma 1, la part du lion revient aux chevaux de Troie. Il s’agit de la seule catégorie de programmes malveillants dont le nombre de nouvelles modifications a augmenté de 9% au cours du premier semestre. L’augmentation des représentants de cette catégorie définit pour beaucoup la croissance des codes malveillants en général.

Si nous nous penchons sur les vers et les virus, nous remarquons un recul de 1,1%, ce qui est un résultat tout à fait prévisible.

S’agissant des logiciels malveillants, ils ont connu un recul plus marqué par rapport au deuxième semestre 2005, soit une diminution de 2,3%.

Vous trouverez ci-après une description plus détaillée des changements intervenus dans chacune de ces catégories.

Les chevaux de Troie

Les chevaux de Troie constituent la famille de programmes malveillants dont le développement est le plus dynamique. Comme nous l’avons déjà indiqué, la croissance du nombre de nouvelles variantes de chevaux de Troie détectées au cours des six premiers mois de l’année 2006 s’élevait à 9%.


Nombre de nouvelles variantes de chevaux de Troie découvertes chaque mois

Répartition des chevaux de Troie en fonction du comportement

Parmi les différents comportements associés aux chevaux de Troie, les portes dérobées (30%), les Trojan-Downloader (26%), les Trojan PSW (12%) et les Trojan-Spy (13%) sont les plus populaires. En quoi ces comportements diffèrent-ils des autres ? La réponse est plus simple qu’il n’y paraît : ils s’occupent de l’élément financier de l’équation : ces comportements jouent un rôle clé dans le vol de données personnelles ou dans la constitution de réseaux de zombies. C’est la raison pour laquelle ils sont tellement plébiscités par les individus mal intentionnés.

La popularité de Trojan-Downloader et de Backdoor s’explique par l’utilisation fréquente de représentants de ces catégories dans la constitution de réseaux de zombies. Pour prendre les commandes de l’ordinateur de la victime, il faut introduire un code malveillant spécialisé de petite taille : un Trojan-Downloader. Ce code doit permettre d’installer d’autres codes malveillants dans le système afin de pouvoir en prendre les commandes. Dans la majorité des cas, cet « autre programme » est une porte dérobée.

Arrêtons-nous maintenant un instant sur les raisons de la popularité des catégories Trojan-Spy et Trojan-PSW. Comme le laisse entendre le nom de ces catégories, les Trojan-Spy et Trojan-PSW cherchent à voler des données personnelles. Pratiquement n’importe quelle information personnelle peut être jugée intéressante par les auteurs des chevaux de Troie : depuis les mots de passe d’accès à des jeux jusqu’aux informations qui peuvent servir à la réalisation d’études marketing à l’insu de l’utilisateur en passant par le vol de mot de passe d’accès à des services financiers ou autres.

A la différence des codes malveillants « automoteurs » tels que les virus et les vers, les chevaux de Troie doivent être livrés sur l’ordinateur de la victime d’une manière ou d’une autre. Et ces derniers temps, les modes de diffusion les plus souvent utilisés sont soit la diffusion massive par courrier indésirable ou le téléchargement à l’aide d’un code d’exploitation. Il convient de signaler que les individus mal intentionnés préfèrent de plus en plus souvent la diffusion via courrier indésirable au téléchargement à l’aide d’un code d’exploitation. Les tarifs en vigueur sur le marché criminel sont compris entre 40 et 60 USD pour 1 000 infections, bien qu’il n’existe aucune garantie que le code malveillant du commanditaire sera le seul sur l’ordinateur infecté.

La hausse des chevaux de Troie va se maintenir à l’avenir, même s’il se peut que le rythme de cette croissance ralentisse un peu.

Virus et vers

Ce n’est pas la première année que les vers et les virus sont en perte de popularité. La représentation graphique du nombre de virus et de vers inconnus découverts chaque mois donne la courbe visible dans le schéma 2.


Nombre de nouvelles modifications de vers et de virus découvertes chaque mois

A la fin du premier semestre 2006, le nombre de nouvelles variantes de virus et de vers était en recul de 1,1 %.


Répartition des différents comportements de vers et de virus au premier semestre 2006

La réduction du nombre de nouvelles variantes de programmes malveillants se manifeste plus ou moins dans tous les comportements de cette catégorie (des virus aux vers de messagerie ou autres). Ce recul a une explication économique : il revient moins cher de travailler avec des chevaux de Troie que de mettre au point des mécanismes d’auto-diffusion.

La réduction du nombre de vers est non seulement confirmée par les statistiques, mais également par une série d’autres facteurs. Ainsi, le nombre d’épidémies mondiales a également sensiblement diminué au cours des six derniers mois par rapport à la même période l’année dernière. Cela indique la poursuite de la tendance décelée il y a un an.

Il va de soi que la réduction du nombre d’épidémies va entraîner une diminution des dégâts qu’elles provoquent. Les utilisateurs risquent de baisser leur garde, un phénomène qui pourrait être exploité par les individus mal intentionnés.

Le déclin de la popularité des virus et des vers devrait se poursuivre.

Autres codes malveillants

Passons à la dernière catégorie de programmes malveillants détectés par nos principales bases antivirus. Leur développement est illustré dans le graphique 7.


Nombre de nouvelles variantes de Malwares découvertes chaque mois

Le nombre de nouvelles variantes de Malware relevées au premier semestre 2006 a reculé de 2,3 % par rapport au deuxième semestre 2005.

Le camembert ci-dessous représente la popularité des différents comportements appartenant à la catégorie des malware.


Répartition des comportements de la catégorie malware

Une fois de plus, les codes d’exploitation (30%) sont les plus populaires dans cette catégorie. Ils demeurent le principal moyen de diffusion de code malveillant.

Le chantage. Une dangereuse tendance.

Une des tendances les plus inquiétantes relevées au cours des six derniers mois est l’augmentation du nombre d’incidents au cours desquels des individus mal intentionnés utilisent un certain programme pour modifier les données sauvegardées sur l’ordinateur de la victime avant d’exiger le versement d’une somme d’argent pour les restaurer. Les modes de fonctionnement de ces programmes sont très proches. Il s’agit soit du blocage du fonctionnement normal de l’ordinateur ou du blocage de l’accès aux données. L’augmentation du nombre de modifications de ces programmes est illustrée dans le schéma suivant :


Nombres de programmes capables de modifier les données à des fins de chantage

En janvier 2006, ce genre de programme était presque exclusivement représenté par Trojan.Win32.Krotten. En deux semaines, l’auteur de Krotten a diffusé 13 modifications de ce programme malveillant afin d’éviter la détection de son programme. C’est ce qui explique le pic visible au début du semestre.
A partir de février 2006, les maîtres-chanteurs informatiques n’ont cessé de nous présenter divers exemples de programmes malveillants. Toujours est-il que Krotten reste le leader en termes de nouvelles modifications.

Après Krotten, nous avons eu Virus.Win32.Gpcode à la fin du mois de janvier. Alors que Trojan.Win32.Krotten ne modifiait absolument pas les fichiers de l’utilisateur (il modifiait la base de registres système afin de compliquer au maximum sa suppression et nuire à l’utilisation de l’ordinateur), ce qui laissait la porte ouverte à la possibilité de réparer soi-même l’ordinateur, Gpcode quant à lui privait l’utilisateur d’une telle issue en modifiant les fichiers sur l’ordinateur infecté. En six mois, Gpcode a parcouru pas mal de chemin dans son développement : il est parti d’un algorithme de chiffrement symétrique traditionnel pour arriver à un algorithme asymétrique dont la clé ne cessait de grandir, passant de 56 à 64, 26, 330 et 660 bits.

Au cours du premier semestre 2006, le nombre de chevaux de Troie liés à des activités de chantage est passé de 2 à 6 (Krotten, Daideneg, Schoolboys, Cryzip, MayArchive et Gpcode). Alors qu’au début 2006, à l’aube du développement de ces programmes, les attaques se limitaient à la Russie et aux pays de la CEI, à la fin de ce semestre ce n’était déjà plus le cas : des cas de chantages informatiques ont été recensés en Allemagne, au Royaume-Uni et dans d’autres pays.

Lorsque l’on sait que le développement de programmes dans cette catégorie ne présente absolument aucune difficulté, on peut s’attendre au pire. Il y a déjà eu des cas où des personnes qui la veille ne savaient pas ce qu’était une souris, se lancent le lendemain dans l’extorsion de fonds informatique. Certains cas prêtent à rire : l’utilisateur reçoit les conditions pour le transfert de l’argent et le montant à payer mais le corps du message ne contient pas les coordonnées pour prendre contact avec les auteurs. C’est le cas par exemple de Trojan.WinREG.Schoolboys.a

Conclusion

Les prévisions sont malheureusement loin d’être roses. Les technologies appliquées à la cyber-criminalité vont continuer à se développer, ce qui va entraîner une augmentation du nombre de programmes malveillants.

Nous pouvons dire que le nombre de nouvelles variantes de programmes malveillants augmente à un rythme certain, soit 8% au premier semestre.
Les programmes malveillants les plus populaires sont Trojan-Spy, Trojan-PSW, Trojan-Downloader et Backdoor, à savoir les programmes utilisés pour la constitution de réseaux de zombies et le vol de biens virtuels. Autrement dit, la croissance la plus forte s’observe dans les comportements qui apportent un bénéfice maximal.

La popularité des infections ponctuelles à l’aide de programmes malveillants est en augmentation.

Au cours du premier semestre 2006, nous avons observé une nette hausse de la popularité de l’infection à l’aide de code d’exploitation via les sites Web des personnes mal intentionnées. La hausse de l’intérêt porté à cette méthode s’explique par la discrétion de l’insertion du code malveillant dans l’ordinateur de l’utilisateur. Le chaînon humain n’est plus nécessaire dans l’activation du code malveillant.

Mais il ne faut pas désespérer : les mises à jour constantes des bases antivirus et l’installation des correctifs pour toutes les applications installées sur l’ordinateur sont un excellent moyen d’éviter la grande majorité des menaces examinées dans ce rapport.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *