Septembre 2009 : les cybercriminels s’appuient sur les supports amovibles et les vulnérabilités dans les logiciels les plus utilisés

Les chercheurs de Kaspersky Lab établissent chaque mois leurs Tops 20 des programmes malveillants à partir de données générées par Kaspersky Security Network et Antivirus Internet. En septembre 2009, les indices des 2 classements sont en léger recul, en raison de la migration des utilisateurs vers les nouvelles versions de Kaspersky Anti-Virus et de Kaspersky Internet Security.

Le premier Top 20 établit le classement des codes malicieux, programmes malveillants et logiciels publicitaires présentant un danger potentiel, détectés et neutralisés dès le premier contact, au déclenchement du composant d’analyse à la demande de Kaspersky Security Network.

L’utilisation des statistiques permet d’analyser les menaces les plus récentes, les plus dangereuses et les plus répandues bloquées au démarrage ou lors du téléchargement depuis Internet sur l’ordinateur de l’utilisateur.

Rang	Evolution	Programme malicieux	Nombre de PC infectés
1	0	Net-Worm.Win32.Kido.ih	41033
2	0	Virus.Win32.Sality.aa	18027
3	0	not-a-virus:AdWare.Win32.Boran.z	12470
4	Nouveauté	Net-Worm.Win32.Kido.ir	11384
5	-1	Trojan-Downloader.Win32.VB.eql	6433
6	-1	Trojan.Win32.Autoit.ci	6168
7	3	Virus.Win32.Induc.a	5947
8	-2	Virus.Win32.Virut.ce	5433
9	Nouveauté	P2P-Worm.Win32.Palevo.jdb	5169
10	-2	Net-Worm.Win32.Kido.jq	4288
11	Nouveauté	Worm.Win32.FlyStudio.cu	4104
12	-5	Worm.Win32.AutoRun.dui	4071
13	-4	Virus.Win32.Sality.z	4056
14	6	P2P-Worm.Win32.Palevo.jaj	3564
15	-4	Worm.Win32.Mabezat.b	2911
16	Nouveauté	Exploit.JS.Pdfka.ti	2823
17	Nouveauté	Trojan-Downloader.WMA.Wimad.y	2544
18	0	Trojan-Dropper.Win32.Flystud.yo	2513
19	Nouveauté	P2P-Worm.Win32.Palevo.jcn	2480
20	Nouveauté	Trojan.Win32.Refroso.bpk	2387

Kido est toujours actif. Outre Kido.ih, en pôle position des précédents Tops 20, apparaît Kido.ir qui désigne l’ensemble des fichiers autorun-inf que le ver crée pour se diffuser via des supports amovibles.

Le ver Palevo se diffuse rapidement et en 3 versions : Palevo.jdb, Palevo.jcn et Palevo.jaj.

Ces 2 programmes malveillants se diffusent via des supports mobiles, tout comme le ver chinois FlyStudio.cu, qui possède toujours les mêmes fonctions populaires de porte dérobée.

Parmi les nouveautés, les chercheurs de Kaspersky Lab remarquent une nouvelle version du téléchargeur multimédia Wimad : Trojan-Downloader.WMA.Wimad.y. Au lancement, il déclenche une requête de chargement du fichier malveillant. Dans ce cas-ci, not-a-virus:AdWare.Win32.PlayMP3z.a.

Le second Top 20 établi par les chercheurs de Kaspersky Lab repose sur les données obtenues via Antivirus Internet. Il permet d’identifier les programmes malveillants qui infectent les pages Web et les codes malicieux qui sont téléchargés depuis des pages malveillantes ou infectées.

Rang	Evolution	Programme malicieux	Nombre de tentatives de téléchargement
1	0	not-a-virus:AdWare.Win32.Boran.z	17624
2	1	Trojan.JS.Redirector.l	16831
3	-1	Trojan-Downloader.HTML.IFrame.sz	6586
4	Nouveauté	Exploit.JS.Pdfka.ti	3834
5	Nouveauté	Trojan-Clicker.HTML.Agent.aq	3424
6	4	Trojan-Downloader.JS.Major.c	2970
7	-3	Trojan-Downloader.JS.Gumblar.a	2583
8	Nouveauté	Exploit.JS.ActiveX.as	2434
9	-1	Trojan-Downloader.JS.LuckySploit.q	2224
10	-3	Trojan-GameThief.Win32.Magania.biht	1627
11	Nouveauté	Exploit.JS.Agent.ams	1502
12	4	Trojan-Downloader.JS.IstBar.bh	1476
13	Nouveauté	Trojan-Downloader.JS.Psyme.gh	1419
14	Nouveauté	Exploit.JS.Pdfka.vn	1396
15	Retour	Exploit.JS.DirektShow.a	1388
16	-10	Exploit.JS.DirektShow.k	1286
17	Retour	not-a-virus:AdWare.Win32.Shopper.l	1268
18	Retour	not-a-virus:AdWare.Win32.Shopper.v	1247
19	Nouveauté	Trojan-Clicker.JS.Agent.jb	1205
20	Nouveauté	Exploit.JS.Sheat.f	1193

Les chercheurs de Kaspersky Lab observent la performance de 2 représentants de la famille Exploit.JS.Pdfka, fichiers JavaScript contenus dans des documents PDF qui exploitent diverses vulnérabilités des logiciels Adobe (y compris Adobe Reader).

Pdfka.ti exploite une vulnérabilité identifiée pour la 1ère fois il y a 2 ans dans la fonction Collab.collectEmailInfo (cve.mitre.org). Pdfka.vn exploite une vulnérabilité un peu plus récente dans la fonction getIcon du même objet Collab (cve.mitre.org).

Ces vulnérabilités dans les logiciels Adobe, nombreuses ces dernières années, sont massivement exploitées par les cybercriminels, quelle que soit la version du logiciel, afin de d’accroître la probabilité du téléchargement du programme malveillant principal sur les ordinateurs des victimes. En effet, il est toujours probable que certains utilisateurs n’aient pas actualisé leurs applications. Par conséquent, les équipes de Kaspersky Lab recommande à nouveau d’actualiser en temps opportuns les logiciels les plus utilisés, dont les produits Adobe.

Les chercheurs de Kaspersky Lab observent aussi le retour de DirektShow.a et l’apparition de Sheat.f et l’apparition des cliqueurs iframes.

En conclusion, la tendance des mois précédents se maintient : le nombre de paquets Web d’applications malveillantes qui exploitent toutes les vulnérabilités possibles des logiciels standards continue à augmenter. Ceci donne aux cybercriminels de nombreuses opportunités pour développer leurs activités. Cette diffusion est favorisée par des cliqueurs iframe élémentaires situés sur des sites légitimes infectés. Les cybercriminels peuvent accéder à ces sites grâce aux infections d’applications malveillantes volant les données confidentielles. La boucle est ainsi bouclée.

Enfin, pour les chercheurs de Kaspersky Lab, en septembre 2009, le Top 5 des pays producteurs de menaces cybercriminelles par tentatives d’infections via Internet est le suivant :