Infos

Octobre 2009: le script downloader Gumblar impose son leadership

Les chercheurs de Kaspersky Lab établissent chaque mois leurs Tops 20 des programmes malveillants à partir de données générées par Kaspersky Security Network et Antivirus Internet. A partir de ce mois-ci, les données sont récoltées à partir de toutes les versions des solutions de Kaspersky Lab qui prennent en charge KSN. La version 2010 a rejoint la version 2009. Aussi le résultat des deux classements s’est légèrement modifié d’autant que le nombre de données est supérieur, celui des utilisateurs de KSN ayant augmenté.

Le premier Top 20 établit le classement des codes malicieux, programmes malveillants et logiciels publicitaires présentant un danger potentiel, détectés et neutralisés dès le premier contact, au déclenchement du composant d’analyse à la demande de Kaspersky Security Network.

Rang Evolution Programme malicieux Nombre de PC infectés
1   3 Net-Worm.Win32.Kido.ir   344745  
2   -1 Net-Worm.Win32.Kido.ih   126645  
3   0 not-a-virus:AdWare.Win32.Boran.z   114776  
4   -2 Virus.Win32.Sality.aa   87839  
5   6 Worm.Win32.FlyStudio.cu   70163  
6   -1 Trojan-Downloader.Win32.VB.eql   52012  
7   0 Virus.Win32.Induc.a   49251  
8   New Packed.Win32.Black.d   39666  
9   New Worm.Win32.AutoRun.awkp   35039  
10   -3 Virus.Win32.Virut.ce   33354  
11   Return Packed.Win32.Black.a   31530  
12   -1 Worm.Win32.AutoRun.dui   25370  
13   4 Trojan-Dropper.Win32.Flystud.yo   24038  
14   New Trojan-Dropper.Win32.Agent.bcyx   22471  
15   Return Packed.Win32.Klone.bj   21919  
16   Return Trojan.Win32.Swizzor.b   19496  
17   New Trojan-Downloader.WMA.GetCodec.s   18571  
18   -4 Worm.Win32.Mabezat.b   19708  
19   New Trojan-GameThief.Win32.Magania.cbrt   17610  
20   New Trojan-Dropper.Win32.Agent.ayqa   16909  

Pour la première fois depuis son apparition en septembre, Net-Worm.Win32.Kido.ir s’impose en première position, délogeant Kido.ih, ce qui confirme que les supports amovibles infectés représentent un des moyens les plus répandus de propagation de programmes malicieux sur les PC des utilisateurs.

Pour continuer sur le thème des supports amovibles, le ver Autorun.dui est rejoint par Autorun.awkp qui arrive directement en 9ème position. Ces malwares renferment des fichiers malicieux qu’ils exécutent sur les supports amovibles.

Ce mois-ci marque le retour d’anciens membres du classement – Packed.Win32.Black.a, Packed.Win32.Klone.bj et Trojan.Win32.Swizzor.b. Black.a est accompagné de la version .d. Packed.Win32.Black appartient à une famille de logiciels compressés à l’aide de versions piratées d’utilitaires légaux pour la protection des fichiers exécutés. Dans le cas présent, il s’agit d’ASProtect, bien connu des cybercriminels.

Le trojan downloader GetCodec.s – variante de GetCodec.r déjà évoqué par les experts de Kaspersky Lab en décembre dernier (www.viruslist.com/fr) se propage à l’aide du ver P2P-Worm.Win32.Nugg.

L’illustre famille de programmes malicieux Magania – s’active. En juillet Trojan-GameThief.Win32.Magania.biht comptait parmi les codes malicieux les plus répandus sur Internet. En octobre, la nouvelle version – Magania.cbrt, associé à Trojan-Dropper.Win32.Agent.ayqa s’affiche parmi les 20 programmes malicieux les plus souvent détectés sur les PC des utilisateurs.

La tendance du mois est donc à la propagation des fichiers malicieux via les supports numériques amovibles, ainsi qu’une activité marquée des Trojans de jeux en ligne.

Le second Top 20 établi par les chercheurs de Kaspersky Lab repose sur les données obtenues via Antivirus Internet. Il permet d’identifier les programmes malveillants qui infectent les pages Web et les codes malicieux qui sont téléchargés depuis des pages malveillantes ou infectées.

Rang Evolution Programme malicieux Nombre de pages web infectées
1   New Trojan-Downloader.JS.Gumblar.x   459779  
2   New Trojan-Downloader.JS.Gumblar.w   281057  
3   0 Trojan-Downloader.HTML.IFrame.sz   192063  
4   -3 not-a-virus:AdWare.Win32.Boran.z   171278  
5   -3 Trojan.JS.Redirector.l   157494  
6   -1 Trojan-Clicker.HTML.Agent.aq   118361  
7   New Trojan-Downloader.JS.Zapchast.m   112710  
8   Return Trojan.JS.Agent.aat   107132  
9   New Trojan-Downloader.JS.Small.oj   60425  
10   New Exploit.JS.Agent.apw   50939  
11   -7 Exploit.JS.Pdfka.ti   46303  
12   New Trojan.JS.Popupper.f   39204  
13   -1 Trojan-Downloader.JS.IstBar.bh   34944  
14   New Trojan.JS.Zapchast.an   30546  
15   -6 Trojan-Downloader.JS.LuckySploit.q   29105  
16   New Trojan-Downloader.JS.Agent.env   27405  
17   New Trojan-Dropper.Win32.Agent.ayqa   26994  
18   Return Trojan-Clicker.HTML.IFrame.mq   26057  
19   New Trojan-GameThief.Win32.Magania.bwsr   26032  
20   New Exploit.JS.Agent.anr   25517  

Les deux premières places reviennent au script downloader – Gumblar – qui ont largement fait parler d’eux en mai, et qui ont imposé d’emblée leur leadership.

Les technologies d’infection de sites web des nouvelles versions de Gumblar ont gagné en subtilité. Dans la première version, les pages de sites légaux étaient infectées par une injection de script. L’internaute téléchargeait à son insu ce script, localisé sur le site des cybercriminels, lorsqu’il visitait le site. Désormais, les ressources corrompues comportent des liens vers des scripts malicieux placés sur des ressources web légales mais infectées ce qui compliquent le processus d’analyse et la neutralisation du réseau malicieux. Le script tente d’exploiter les brèches d’Adobe Acrobat/Reader (http://cve.mitre.org/cgi-bin/cvename.cgi?name=2007-5659, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2992, http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0927), Adobe Flash Player (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0071), Microsoft Office (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2496) .

Il faut reconnaitre que l’attaque Gumblar a été planifiée avec soin. Pourtant, dès son activation, les experts de Kaspersky Lab ont rapidement détecté toutes les pièces du puzzle et ajouté la signature antivirale dans les bases de détection.

Le fractionnement du script malicieux en plusieurs partitions devient de plus en plus populaire. Ce mois-ci un quart des codes malicieux figurant au Top 20 de Kaspersky Lab fonctionne selon ce principe : Trojan-Downloader.JS.Zapchast.n, Trojan-Downloader.JS.Small.oj, Exploit.JS.Agent.apw, Trojan.JS.Zapchast.an, Trojan-Downloader.JS.Agent.env.

Parmi les codes malveillants les plus répandus du mois, on peut citer Trojan-Dropper.Win32.Agent.ayqa que nous avons évoqué plus haut ainsi qu’une variante des logiciels programmés pour le vol de mots de passe des jeux en ligne Trojan-GameThief.Win32.Magania.bwsr.

En conclusion, on observe une infection massive de sites légaux par de nouvelles versions du script downloader Gumblar. La technologie de partition des scripts malicieux afin d’en compliquer l’analyse et la détection prend également de l’ampleur.

Enfin, pour les chercheurs de Kaspersky Lab, en octobre 2009, le Top 10 des pays producteurs de menaces cybercriminelles par tentatives d’infections via Internet est le suivant :

Octobre 2009: le script downloader Gumblar impose son leadership

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception