Le 24 janvier 2012

Doctor Web annonce la mise à jour du composant antirootkit Dr.Web Anti-rootkit Service dans Dr.Web 7.0 pour Windows —Dr.Web 7.0 Antivirus et Dr.Web Security Space 7.0.

La mise à jour de Dr.Web Anti-rootkit corrige les erreurs entraînant l’arrêt de l’OS suite au lancement du scan.

La mise à jour est automatique pour les utilisateurs.

Le 24 janvier 2012

Doctor Web a découvert un nouveau schéma de propagation de liens vers des pages piratées via les moteurs de recherche. Les malfaiteurs créent de fausses pages de moteurs de recherche en y insérant des liens vers des sites pirates propageant pour certains un logiciel malveillant.

Tous les jours, des millions de personnes utilisent les moteurs de recherche, plus d'un milliard de demandes est enregistré par Google chaque mois. Il est évident qu'un moteur de recherche facilite l’accès à l’information. C’est cette utilisation massive qui fait leur vulnérabilité.

Suite à une recherche sur un moteur, plusieurs pages s’affichent avec des liens vers des pages web correspondant à la requête (Search Engine Results Page, SERP). Les utilisateurs peuvent ouvrir plusieurs pages de résultats dans leur navigateur puis les consulter l’une après l’autre. Parmi une de ces pages, peut se trouver une fausse page, une page créée par des pirates, or, la plupart des utilisateurs font confiance aux résultats des moteurs de recherche et ne se méfient pas.

Une fausse page peut s’afficher dans les résultats d’une vraie page de navigateur. Une page SERP créée par des pirates contient les liens correspondants à la recherche de l’utilisateur pour qu’elle ne soit pas suspecte. C’est le passage sur la fausse page SERP, en cliquant sur un lien affiché dans les résultats de la recherche, qui fait que l’utilisateur se retrouve sur des pages pirates propageant un logiciel malveillant.

Les pirates ont même créé de fausses pages de navigateurs, ainsi, le site LiveTool est une copie pirate d’un grand navigateur russe, Yandex. En cliquant sur le lien "A propos de l'entreprise", l’internaute est redirigé vers une fausse page du réseau social Vkontakte.

Si, auparavant, les malfaiteurs créaient surtout de fausses pages de réseaux sociaux, maintenant la tendance a changé, des navigateurs entiers sont copiés avec des résultats de recherche correspondants.

Doctor Web appelle les utilisateurs à rester vigilants en vérifiant l’adresse URL des pages consultées. Les pages suspectes seront ajoutées à la liste noire Dr.Web.

Le 19 janvier 2012

Doctor Web annonce que les versions gratuites et payantes du logiciel Dr.Web pour Android ont permis à plus de 4 millions d'utilisateurs de l’Android Market de protéger leurs mobiles. De plus, la version Light de Dr.Web Antivirus est arrivée à la deuxième place dans le classement des applications gratuites sur l’Android Market Russe.

Dr.Web Antivirus est de plus en plus demandé par les utilisateurs des mobiles sous Android, ce qui est lié à l’augmentation du nombre de menaces pour cet OS. Selon les estimations des spécialistes Doctor Web, les menaces touchant Android ont été 20 fois plus nombreuses en 2011.

Aujourd'hui, Dr.Web pour Android Light est à la deuxième place dans le top des applications gratuites sur l’Android Market russe. Dr.Web pour Android Antivirus+Antispam, est, quant à lui, à la 7ème place dans le classement général des applications payantes et le numéro 13 parmi les « Top Payant » russe.

Globalement, plus de 40 000 personnes ont participé à l'évaluation du logiciel et la note obtenue par Dr.Web est de 4,6 points pour la version gratuite et 4,5 pour la version payante.

Il est à noter que les deux versions de Dr.Web pour Android continuent à gagner en popularité tous les jours :

Dr.Web Antivirus pour Android peut être téléchargé :

• Android Market: : version payante (Antivirus+Antispam) et version gratuite;
• Site Doctor Web — les utilisateurs des logiciels Dr.Web pour les postes de travail peuvent utiliser gratuitement Dr.Web pour Android Antivirus + Antispam ;

Le 19 janvier 2012

Doctor Web annonce la mise à jour du service Scanning Engine 6.0 pour les postes de travail Windows - Dr.Web Antivirus, Dr.Web Security Space et Dr.Web Desktop Security Suite sans Centre de gestion.

La mise à jour a corrigé l’erreur de l’arrêt du module sous certains systèmes. De plus, les erreurs provoquant une analyse répétée du même fichier ont été éliminées.

La mise à jour est automatique pour les utilisateurs, mais il sera nécessaire de redémarrer l’ordinateur.

Le 18 janvier 2012

Doctor Web annonce la sortie du plugin Dr.Web pour les passerelles Internet Microsoft ISA Server et Forefront TMG.

L'application protège le réseau de l'entreprise contre les virus et le spam. Elle recherche et supprime tous les types de programmes malveillants dans le flux des données transitant via Microsoft ISA Server et Forefront TMG sous les protocoles HTTP, FTP, SMTP et POP3. L’application analyse la bande passante pour détecter les adware, les spyware, etc.

L’application s’introduit dans Microsoft ISA Server et Forefront TMG en installant ses filtres dans Microsoft Firewall Service et Microsoft Forefront TMG Firewall. Le plugin fonctionne sous la plateforme Dr.Web CMS (Dr.Web Central Management Service), compatible avec le système de gestion centralisée de ses composants via un navigateur à distance sous les protocoles HTTPS. Dr.Web CMS possède un serveur web préinstallé Dr.Web CMS Web Console avec un système d’authentification du client, ce qui assure un accès à la gestion de l’application uniquement aux administrateurs autorisés.

Vous pouvez en savoir plus plus sur le plugin ou consulter le guide d'installation dans les documents sur le lancement.

Dr.Web pour Microsoft ISA Server et Forefront TMG fait partie de Dr.Web Gateway Security Suite. L’utilisateur reçoit un fichier clé pour activer les logiciels Dr.Web pour Microsoft ISA Server et Forefront TMG, passerelles Internet Unix, Qbik WinGate, Kerio et MIMEsweeper. Le composant Antispam peut être ajouté à la licence de base.

Le 16 janvier 2012

Doctor Web annonce la mise à jour du logiciel Dr.Web pour Android Antivirus + Antispam.

Les erreurs provoquant le fonctionnement incorrect de la commande #WIPE# du composant Antivol (restauration des options préinstallées du système et suppression de toutes les données sur la carte SD) ont été corrigées : ce problème touchait les mobiles sous Android 2.2 et 2.3.

L'erreur provoquant l’envoi de multiples rapports par SMS sur l’exécution de la commande #SIGNAL# (blocage du mobile à distance et lancement de la sonnerie) a également été corrigée. De plus, les utilisateurs ayant oublié le mot de passe de l'Antivol peuvent désormais débloquer leur mobile grâce à Device ID: cette fonctionnalité est disponible pour les mobiles sans codes IMEI.

Les erreurs provoquant l’arrêt du logiciel Dr.Web pendant les modifications de la Liste noire ont été éliminées.

Dans la version du logiciel Dr.Web pour Android installée depuis le site Doctor Web, nous avons amélioré l’interface de la page des configurations.

L’interface du logiciel a également été modifiée.

La mise à jour est disponible pour les utilisateurs en téléchargeant le logiciel depuis le site Dr.Web ou d’autres sites. Cette mise à jour est disponible pour les utilisateurs de l’Android Market depuis décembre 2011.

Pour mettre à jour sur le site de Doctor Web, veuillez télécharger un nouveau fichier d’installation.

Le 13 janvier 2012

Le dernier mois de l’année 2011 n’a pas été très riche en événements viraux : les pirates ont visiblement décidé de commencer les vacances de Noël plus tôt. Début décembre, Doctor Web a détecté 45 applications malveillantes sur l’Android Market. Le mois a également vu apparaître un nouveau backdoor pour Windows et une nouvelle modification du Trojan.Merin pour Mac OS X.

Plus de 40 programmes malveillants sur l’Android Market

Début décembre, les spécialistes de Doctor Web ont détecté 33 applications puis 12 par la suite. La majorité des programmes détectés sont de la famille des Android.SmsSend, dont le but est d'envoyer des SMS payants à l'insu d'utilisateur.

Ce n’est pas la première fois que l’Android Market est une source de propagation de programmes malveillants. Ainsi, les trojans Android.DreamExploid, Android.DDLight y ont déjà été détectés, parmi d’autres. Nous avons déjà détecté par le passé les applications infectées par Android.SmsSend, mais il s’agissait de cas isolés, alors qu’ici, il s'agit d'une large propagation de ce trojan dans plusieurs applications en même temps.

Des applications malveillantes appartenant à différents éditeurs ont été détectées sur l’Android Market. La plupart des applications dangereuses sont des catalogues d'images permettant de modifier le fond d'écran, avec différents thèmes allant d’images de jeux vidéo à des images de paysages. Parmi ces applications malveillantes, on peut également trouver : une application « lampe de poche » rendant le mobile lumineux afin de faire office de lampe de poche, des horoscopes, des régimes etc. Il est à noter que l’interface reste très sobre et sert uniquement à cacher le vrai objectif du programme : l’envoi de SMS payants.

Une fois l'application lancée, l’utilisateur doit confirmer qu’il accepte les conditions générales d’utilisation, lorsqu’elles existent. Si c’est le cas, le texte recèle souvent un mot avec un hyperlien donnant plus de conditions, mais quasiment invisible, donc très rarement lu par l’utilisateur. Il est évident qu’immédiatement après l'acceptation de ces conditions, l'application commence à envoyer des SMS payants.

Doctor Web a informé Google qui a supprimé les applications malveillantes de l’Android Market et les signatures ont été ajoutées aux bases virales Dr.Web.

Spam politique touchant Android

La fin du mois a vu apparaitre une application pour Android envoyant du spam politique et orienté surtout sur le Proche-Orient.

Android.Arspam.1 est intégré dans une application légitime AlSalah, qui représente une boussole et permet, via GPS, de dire où se trouve la Mecque et à quelle distance, ainsi que la date selon le calendrier musulman et l’heure des 5 prières. Il est à noter que cette application sur Android Market n’est pas contaminée, tandis que la même application sur les forums arabes contient dans la plupart des cas le trojan. Autrement dit, les malfaiteurs utilisent l’application AlSalah en y ajoutant un contenu nocif.

Android.Arspam.1 se lance, crée et enregistre un nouveau service com.awake.alArabiyyah, qui démarre en même temps que l’OS. Ensuite, le trojan collecte la liste des contacts et envoie à chaque contact un lien vers un forum sur les événements au Moyen Orient, notamment sur la Tunisie, avec les photos de Mohamed Bouazizi qui s'est immolé par le feu le 17 décembre 2010 provoquant une série de manifestations dans plusieurs pays arabes. Les liens que le trojan envoie se conservent dans le trojan. Particularité du malware, si la carte SIM du mobile est enregistrée au Bahreïn, le trojan télécharge un rapport de la Bahreïn Independent Commission sur les violations des droits de l’homme dans ce pays.

Android.Arspam.1 sait d’ores et déjà télécharger des fichiers et on peut s’attendre à l'apparition de nouvelles versions pouvant télécharger des fichiers d'installation ou des listes de liens. Théoriquement, il existe une possibilité de réunir les OS contaminés dans un réseau botnet.

Les sites piratés menacent les utilisateurs des mobiles

ТDoctor Web signale que les sites piratés qui redirigent les utilisateurs des mobiles vers des pages propageant des programmes malveillants se sont multipliés. En décembre, Doctor Web a détécté environ 100 sites piratés fonctionnant sur l’Internet russe (Runet), et même si certains d’entre eux sont désinfectés, de nouveaux continuent à être piratés régulièrement.

Les utilisateurs de smartphones, de tablettes sous Android et d’autres plateformes compatibles avec Java (par exemple, Symbian) ont été récemment ciblés et redirigés vers un site imitant le site officiel d’Opera Mini proposant de mettre à jour le navigateur. Sous la soi-disant mise à jour, se cache le trojan Android.SmsSend (.jar ou .apk en fonction de l’OS).

En profitant des vulnérabilités des pages web, les malfaiteurs obtiennent un accès à une page et remplacent le fichier .htaccess. Ensuite, à chaque visite sur la page piratée, le serveur vérifie le user-agent de l’utilisateur et lorsqu’il appartient à un mobile compatible avec Java, y compris Symbian et Android, la redirection s’effectue vers une page pirate.

Vu que les pirates utilisent toujours les mêmes vulnérabilités et agissent de la même façon dans tous les cas, nous pouvons supposer que le piratage est réalisé à l’aide de programmes spécialisés. Selon les estimations de Doctor Web, dans Runet (Internet russe), environ 100 pages web piratées continuent de fonctionner, et lorsque certaines sont réparées d’autres continuent à se faire pirater. L’administration de plusieurs sites confirme que même s’ils arrivent à désinfecter leurs pages web assez rapidement, les malfaiteurs obtiennent de nouveau l'accès très rapidement. Il est possible que deux groupes de malfaiteurs travaillent, l’un piratant les sites tandis que l'autre est propriétaire du logiciel malveillant (Android.SmsSend sous une fausse application Opera Mini). Aujourd’hui, nous connaissons une série de « programmes partenaires » entre les pirates proposant de faire des redirections vers les sites propageant des trojans.

Nouveau backdoor pour Windows…

Durant la première quinzaine de décembre, un nouveau programme a été ajouté aux bases virales, le BackDoor.Pads, écrit en langage Assembler et qui représente un module avec plusieurs composants.

Les fonctions du BackDoor.Pads sont standards pour ce type de backdoor : il collecte des informations sur les PC infectés, y compris la version de l'OS, le nom du PC, l'adresse IP. Ensuite, il cherche à trouver le serveur-proxy en analysant les configurations d’Internet Explorer. De plus, le BackDoor.Pads cherche les processus lancés d’Internet Explorer, Firefox, Opera, Chrome, et autres clients de messagerie, et, lorsqu’il les a trouvés, lance un code indépendant. Si le trojan arrive à obtenir un token explorer.exe (le droit d’accès), il lance un keylogger dans le système. Ce module est ajouté dans les bases virales Dr.Web sous le nom de Trojan.PWS.Pads.

Le danger principal de ce malware consiste dans le fait qu’il est capable d'effectuer des tâches diverses en permettant aux malfaiteurs d’avoir un accès au PC infecté. Ses principales fonctions sont la recherche, les copies, le déplacement et la suppression de fichiers, la création et la suppression de dossiers, le redémarrage de Windows, la création d’une liste des processus lancés, le lancement de fichiers, y compris sous le nom d’un des utilisateurs. De plus, le BackDoor.Pads peut jouer le rôle d’un serveur proxy.

…et un nouveau trojan pour Mac OS X

En décembre, Doctor Web a détecté de nouvelles archives infectées par le Trojan.Merin.3 sur thepiratebay.org. Ce malware se propage sous forme d’applications WritersCafe, Twitterrific et EvoCam. WritersCafe, Twitterrific et EvoCam.

A la fin du téléchargement d'une de ces applications infectées et suite à son exécution sur la machine, le Trojan.Merin.3 lance un script spécialisé activant l'installateur du trojan. Cet installateur est enregistré dans l'un des sous-dossiers du répertoire Library (home\library\) sous le nom eCamd ou twitted puis télécharge l'archive bin.bop depuis un serveur ftp pirate.

L’archive contient le module DiabloMiner pour Bitcoin compatible avec Mac OS X et le trojan. Le nouveau trojan utilise les nouveaux types d’adresses-bitcoin à la différence des anciennes versions du Trojan.Merin. Le module principal du Trojan.Merin.3 est capable de voler sur l’ordinateur infecté les mots de passe de l’utilisateur, les données des systèmes de paiement en ligne, des logs de bash (.bash_history), et d’envoyer ces données sur le serveur des malfaiteurs.

Autres tendances de l’année 2011

En 2011, les pirates ont été plus actifs dans la création de sites sur les adresses www écrit en cyrillique dans la zone russe .rf (.рф). Les premières ressources malveillantes ont été ajoutées dans les bases en décembre 2010. Aujourd'hui, elles sont 110. En tout dans la zone rf, il y a 949 000 adresses enregistrées, et en comparant les adresses de la zone .ru avec ses 3 593 854 enregistrements, il s’avère qu’il est plus facile de trouver un nom libre dans la zone cyrillique.

En 2011, le nombre de menaces pour Android a augmenté considérablement, mi-décembre nous comptons 600 programmes malveillants pour Android dans nos bases, tandis que ce chiffre était de 30 au début de l'année.

Le nombre de programmes Trojan.Winlock a doublé pendant l'année et celui de Trojan.MBRLock a été 52 fois plus important.

Fichiers malveillants détectés dans le courrier électronique en décembre

Fichiers malveillants détectés sur les PC des utilisateurs en décembre

Le 12 janvier 2012

Doctor Web annonce la mise à jour de Dr.Web pour MS Outlook dans le logiciel mono utilisateur Dr.Web 7.0 pour Windows.

L'erreur provoquant une modification de l’objet du message et l’insertion du préfixe ***SPAM*** a été corrigée.

La mise à jour sera automatique pour les utilisateurs.

Le 11 janvier 2012

Doctor Web annonce la mise à jour du scanner à interface graphique et des modules de langues du service Dr.Web AV-Desk 6.0.

La mise à jour du scanner à interface graphique corrige l’erreur de fonctionnement provoquée par les chemins vers les fichiers contenant des symboles ne provenant pas de l’alphabet latin. Les causes de l'arrêt de l'OS lors du scan ont été éliminées.

La mise à jour sera automatique pour les utilisateurs.

Le 11 janvier 2012

Parmi les tendances importantes de l’année 2011, il faut nommer l’augmentation des menaces pour Android : les SMS payants à l’insu de l’utilisateur continuent à attirer les malfaiteurs ; les schémas d’escroquerie dans les réseaux sociaux se sont développés et cette tendance devrait perdurer en 2012 ; les modifications des Trojan.Winlock, MBRlock et les troyans crypteurs se sont multipliées; et on a constaté une augmentation des virus dans le secteur du e-banking.

20 fois plus de menaces pour Android en 2011

En 2011, le nombre de menaces pour Android a été multiplié par 20, la majorité d’entre elles étant issue de la famille Android.SmsSend. La menace est dissimulée sous le nom d'un fichier d'installation d'un programme connu et demande d’envoyer un SMS payant pour l’installer : le schéma est simple. Dans la réalité, le programme est disponible gratuitement sur le site de l’éditeur.

Au début de l’année 2011, les bases virales Dr.Web ne comptaient que six signatures de trojans Android.SmsSend, au mois de décembre leur nombre était 45 fois plus important. Voici le graphique illustrant ce développement.

Les très bons résultats de Dr.Web en matière de détection des programmes malveillants pour Android ont été en partie obtenus grâce à la technologie unique Origins Tracing™, créée par Doctor Web. Tandis que les méthodes traditionnelles de détection portent sur la création d'une signature permettant de reconnaître le virus, la technologie Doctor Web est basée sur un algorithme de détection sans signature. Origins Tracing™ crée un algorithme de comportement de tel ou tel programme malveillant qui est ensuite enregistré dans la base virale avec l’extension .origin. Cette technologie améliore considérablement les capacités de détection des menaces inconnues.

Si, au début de l’année 2011, les bases virales Dr.Web comportaient 30 signatures, elles en comptaient 630 à la fin de l’année, soit vingt fois plus. Voici le shéma des différentes menaces touchant Android.

En comparaison, nous avons recensé 212 programmes malveillants pour Symbian OS et 30 pour Windows Mobile ; 923 trojans sont capables de fonctionner sur n’importe quel OS mobile.

Rootkit

Les rootkits, les programmes malveillants capables de cacher leur présence dans l'OS, ne se sont pas montrés plus actifs que l'année passée, mais vu la popularité des systèmes 64 bits, les pirates ont du modifier leurs virus pour les adapter au nouveau système. Les plus répandus de la famille sont les BackDoor.Tdss et BackDoor.Maxplus.

En 2011, les spécialistes de Doctor Web ont détecté un rootkit unique : le Trojan.Bioskit.1, pouvant infecter le BIOS des PC uniquement si le BIOS provient de l’entreprise Award Software. Une nouvelle modification de ce trojan a été détectée mais elle ne représentait pas une menace sérieuse pour les utilisateurs à cause d'une erreur dans le code.

Virus de fichiers

La famille des virus de fichiers s’est agrandie en 2011, avec la propagation de Win32.Rmnet.12, Win32.HLLP.Novosel, Win32.Sector.22, et d’autres encore.

Winlock

L’apparition des winlocks, ransomware bloquant le lancement de la session Windows, date de fin 2009 en Russie. En 2011, ils sont arrivés en CEI (des winlocks créés « spécifiquement » pour les utilisateurs du Kazakhstan, d’Ukraine et de Biélorussie) puis en Europe occidentale. Par exemple, le Trojan.Winlock.3260 détecté en septembre, contient un texte en plusieurs langues et se fait passer pour la police : en Allemagne c'est Bundespolizei, en Grand Bretagne, The Metropolitan Police, en Espagne, La Policìa Española ; l’utilisateur est accusé d’avoir consulté des sites pornographiques et il lui est demandé de payer une somme pour débloquer son PC, via un système de paiement en ligne. Le nombre de modifications des winlock n’a cessé d’augmenter, ce qui s’explique en partie par l'existence de programmes "partenaires" mis en place par les pirates qui recherchent activement, sur les forums, le moyen de propager le virus. En décembre 2011, une des modifications du trojan winlock se faisait passer pour la gendarmerie française et demandait une rançon de 200 euros.

En tout, depuis le début de l’année 2011, l’augmentation des modifications du Trojan.Winlock a plus que doublé et 29,37% des utilisateurs s'adressant au service de support technique Doctor Web sont victimes des winlocks.

Le graphique ci-dessous décrit les pourcentages des demandes adressées au support technique Doctor Web.

MBRlock

Le nombre de programmes infectant le Master Boot Record, MBR, a augmenté considérablement. Les premiers malwares sont apparus en novembre 2010, aujourd'hui ils sont plus de 300. Depuis le début de l’année 2011, leur nombre a été multiplié par 52 : de 6 à 316 modifications détectées. Si les premières modifications de ces trojans débloquaient automatiquement le PC au bout d'un certains temps ou contenaient le code de déblocage, les nouvelles sont beaucoup plus avancées, ce qui ne facilite pas leur traitement. Ainsi, le Trojan.MBRlock.17 qui est apparu en novembre 2011 est différent de ces prédécesseurs parce qu'il enregistre ses composants dans les secteurs du disque dur et que la clé de déblocage est générée selon toute une série de paramètres. A ce jour, c'est l’une des modifications les plus dangereuse de la famille des MBRlock.

Encoders

Les encoders sont des programmes « crypteurs » qui chiffrent les données des disques durs et enjoignent l'utilisateur de payer pour retrouver l'accès à ses informations. En septembre 2011, une véritable épidémie de Trojan.Encoder et Trojan.FolderLock a eu lieu. Les versions existantes sont de plus en plus nombreuses : depuis le début de 2011, le nombre de signatures dans les bases virales a augmenté de 60%.

Escroquerie en ligne

Les schémas d’escroquerie entraînant les utilisateurs à envoyer des SMS payants ou les abonnant à leur insu à des services payants n’ont pas cessé de se multiplier. Ici, nous trouvons de tout : des faux concours, des faux sites d'échange de fichiers, des bases de numéros de téléphones, des sites de généalogie, des recherches de parents et de sosies, des sites de prédiction de l’avenir par les cartes ou par les lignes de la main, des sites de création d’horoscopes et de régimes personnalisés…. Vous verrez sur le graphique ci-dessous le développement des sites pirates selon les mois de l’année.

L’augmentation du nombre de sites recensés en septembre et octobre dans les bases virales Dr.Web est due au renforcement de la lutte contre les sites malveillants pendant cette période, dont nous avons déjà parlé dans les actualités.

Le schéma ci-dessous décrit la progression tout au long de l’année du nombre de sites propageant des malwares.

Les malfaiteurs ont inventé de nombreux schémas de « chasse » aux utilisateurs des réseaux sociaux. En 2011, un grand nombre de sites imitant l’interface des réseaux sociaux a été détecté par Dr.Web.

Trojans de e-banking

Le nombre de trojans volant les informations d’accès aux systèmes de e-banking découvert par Doctor Web a été important en 2011.

Les plus intéressants sont les Trojan.Winspy, dont de nouvelles modifications sont apparues en 2011. Un autre trojan du même type ajouté dans les bases virales est le Trojan.Carberp.1, qui possède un système de protection contre l’analyse. Il peut chercher et transmettre des données aux malfaiteurs, il est capable de faire des captures d’écran, il possède un module lui permettant d'exécuter des commandes envoyées par un serveur distant ; enfin, les malfaiteurs peuvent également utiliser le PC infecté comme un serveur proxy pour télécharger et lancer des fichiers et même détruire l'OS.

Les trojans de la famille Trojan.PWS.Ibank sont également assez populaires, sans oublier les Trojan.PWS.Panda(Zeus ou Zbot) et Trojan.PWS.SpySweep (SpyEye) qui servent surtout à voler les mots de passe (même si ce ne sont pas leurs seules fonctionnalités). En 2011, le premier trojan de e-banking pour Android est apparu sous le nom Android.SpyEye.1. Les plus vulnérables contre le programme Android.SpyEye.1 sont ceux dont le PC est déjà contaminé par l’ancienne version du trojan. En se rendant sur un des sites web de différentes banques dont les adresses sont référencées dans le fichier de configuration du trojan, l'utilisateur lit un message disant que la banque a mis en place de nouvelles mesures de sécurité et qu’il est nécessaire d’installer un logiciel spécialisé pour accéder au site de e-banking . Ensuite, tous les messages reçus par l'utilisateur du mobile seront interceptés par le trojan.

Menaces les plus intéressantes de 2011

En février et mars, les malfaiteurs ont tenté d’attaquer les terminaux de paiement en Russie. Le Trojan.PWS.OSMP est un des premiers programmes menaçant la sécurité des utilisateurs des terminaux de paiement. Il analyse le logiciel de la machine pour trouver le processus maratl.exe, un programme tout à fait légal. Ensuite, il change la mémoire du processus et permet aux malfaiteurs de modifier tout numéro introduit dans le terminal pour y verser de l'argent, le détournant ainsi à leur profit.

Un autre programme dont il faut suivre la progression est le Trojan.PWS.Dande qui permet de voler les données des applications de type "Systèmes de commande en ligne" permettant aux pharmacies de commander les médicaments (Analit : Pharmacia 7.7» pour 1С, «Système de commande en ligne» SEZ-2 édité par «Apteka-Holding», «Rossiiskaia pharmacia», «Katren WinPrice» etc.) Parmi les données volées, on trouve les données sur les commandes effectuées, les mots de passe etc. Nous pouvons supposer que les malfaiteurs s’intéressent surtout aux prix et aux volumes des commandes. Toutes les informations volées sont codées. Ce trojan est un des rares touchant un secteur professionnel particulier.

Durant l'année 2011, un certain nombre de programmes malveillants particulièrement nocifs touchant Android est apparu : parmi eux Android.Gone.1, qui vole toutes les données du mobile, y compris les contacts, les messages, les derniers appels, l'historique du navigateur etc…ceci en l’espace de 60 secondes. Ces données sont enregistrées sur un site pirate sur lequel l'utilisateur peut les récupérer en payant 5 dollars.

Android.DreamExploid, lui, est capable de modifier les droits du PC et de donner les droits administrateur à certains programmes, ainsi que de télécharger des applications et de collecter les informations sur le mobile infecté.

Les tendances pour 2012

En 2012, il faut s’attendre à une augmentation continue des menaces pour Android, ainsi qu’à l’apparition de locker pour cet OS, car un téléphone portable représente un accès facile au portefeuille de l’utilisateur via l’envoi de SMS, l’abonnement à des services etc. Les fonctionnalités considérables des mobiles actuels offrent de larges opportunités aux pirates.

Les menaces contre les systèmes de e-banking vont continuer à se développer ainsi que les attaques contre les banques et les institutions financières publiques. Les attaques contre les utilisateurs des réseaux sociaux vont se multiplier, les pirates réagissant rapidement à tout changement de fonctionnalités dans les réseaux sociaux. Ainsi, en 2011, les pirates ont profité de nouveaux systèmes de votes, d’échange de fichiers et de vidéos. Nous pensons que les pirates vont continuer à multiplier les moyens de gagner de l'argent de façon illégale.

Les analystes de Doctor Web étudient également l'apparition de menaces s'attaquant à des systèmes de gestion industriels dans les entreprises (notamment les systèmes SCADA). Doctor Web pense que les programmes malveillants profitant des vulnérabilités de ces systèmes représentent un grand danger car ils peuvent menacer des pans importants de l'économie, comme la production de l'énergie, le transport, l’extraction des minéraux, du gaz et du pétrole.

Top 20 des fichiers malveillants détectés dans le courrier électronique en 2011

Total analysés : 181,136,303,763
Total virus détectés : 33,407,612 (0.02%)

Top 20 des fichiers malveillants détectés sur les PC des utilisateurs en 2011

Total analysés : 17,743,716,899,610,753
Total virus détectés : 1,560,049,362 (0.00%)

Le 11 janvier 2012

Doctor Web annonce la mise à jour du service Scanning Engine dans Dr.Web 6.0 pour les serveurs de fichiers Windows, faisant partie du groupe Dr.Web Server Security Suite.

Les erreurs provoquant l'arrêt de fonctionnement du module ont été éliminées lors de la mise à jour. L'erreur entraînant le traitement d’un même fichier du disque plusieurs fois a été corrigée.

La mise à jour sera automatique pour les utilisateurs mais nécessitera le redémarrage du PC.

Le 29 décembre 2011

Nous vous souhaitons de tout cœur une année 2012 heureuse et le meilleur pour vous et pour vos proches. Que l’année 2012 soit remplie de lumières, de couleurs et de douceur, que vos rêves et espoirs deviennent réalité, car une nouvelle année doit apporter de nouvelles opportunités, de meilleures perspectives et de nombreuses réussites !

Nous vous remercions de choisir les produits Dr.Web et de nous être fidèles. Nous espérons que nos liens seront encore plus forts l’année prochaine.

Bonne année !

L’équipe Doctor Web

Le 27 décembre 2011

Doctor Web annonce la mise à jour de l’utilitaire d’analyse et de traitement des postes de travail et des serveurs, Dr.Web CureNet!.

L’utilitaire a reçu un nouveau noyau antivirus Dr.Web Virus-Finding Engine 7.0. Celui-ci permet d’augmenter la rapidité du scan, assure une charge flexible sur les ressources de l’ordinateur et rend plus efficace la protection contre les nouvelles menaces. Le 12 décembre, le nouveau noyau 7.0 a été lancé dans les logiciels mono utilisateur Dr.Web pour Windows.

De plus, le scanner à interface graphique a été mis à jour : l'erreur provoquant l'arrêt du système lors du scan a été éliminée.

Pour utiliser la version mise à jour de Dr.Web CureNet!, veuillez la télécharger depuis la page .drweb-curenet.com.