Le 2 avril 2009

Doctor Web présente son aperçu de l’activité virale du mois de mars 2009. Le mois précédent était riche en nouveaux cas de fraudes où des cybercriminels recouraient aux programmes malicieux. Les botnets sont en progressions permanente. Leurs auteurs utilisent des méthodes de plus en plus agressives pour propager et exploiter les botnets. Le nombre d’ordinateurs bot, infectés, augmente massivement. De plus, l’envoi en masse des messages publicitaires constitue la plupart des sujets de spam.

Botnets

En mars 2009, les botnets Tdss et Shadow se sont fait remarquer. Ils ont commencé à utiliser de nouvelles méthodes pour augmenter l’efficacité de leur fonctionnement et ont continué à se propager, via les disques amovibles et les ressources réseau, en utilisant des vulnérabilités connues. Ceci signifie que certains utilisateurs ne suivent pas les recommandations des éditeurs d’antivirus en matière de respect des règles de sécurité informatique.

Doctor Web accorde beaucoup d’attention à la fourniture d’informations sur les nouvelles menaces informatiques. Ainsi, l’éditeur les présente dans ses actualités et insiste sur cet aspect lors de la formation de ses spécialistes. Doctor Web informe également régulièrement les utilisateurs sur les méthodes de lutte contre les menaces. Les propriétaires de botnets savent qu’il est facile de détecter la présence d’une infection sur un ordinateur, à partir de certaines vulnérabilités ouvertes dans le système et exploitées par le botnet. Ils savent aussi que la plupart des administrateurs des réseaux recourent à ce type de méthode dans leur travail. De ce fait, une nouvelle fonctionnalité est apparue dans la dernière modification Win32.HLLW.Shadow.based. Il s’agit de la fermeture des vulnérabilités utilisées autrefois pour infecter les ordinateurs. Ainsi, il devient plus compliqué de détecter une infection sur un ordinateur à partir des seules vulnérabilités par lesquelles les ordinateurs bots, comme par le passé, reçoivent leurs instructions des criminels.

La dernière modification de Win32.HLLW.Shadow.based génère 50 000 noms de serveurs toutes les 24 heures et utilise 500 de ces noms pour recevoir des instructions. Ce nouvel algorithme de travail rend la résistance au fonctionnement du botnet plus difficile. Il est impossible de définir, à priori, toutes les adresses des serveurs engagés dans son fonctionnement et d’arrêter légalement leur travail.

BackDoor.Tdss, utilisé par les fraudeurs pour l’extension du botnet Tdss, applique des méthodes un peu différentes. Il améliore les rootkits utilisés afin de résister plus effectivement aux logiciels antivirus. Ainsi, les versions modernes de BackDoor.Tdss peuvent résister efficacement au fonctionnement des moniteurs de fichiers antivirus. Outre l’utilisation populaire des vulnérabilités des systèmes d’exploitation Windows, ce backdoor applique une ancienne méthode de propagation des programmes malicieux, connue de tous les utilisateurs, la méthode des codecs pour la vidéo. En effet, en dépit de sa popularité, cette méthode continue à bien fonctionner jusqu’à présent.

Fraude

Le mois précédent était riche en nouveaux cas de fraude où des cybercriminels recouraient aux programmes malicieux.

Les propriétaires de cartes de crédit ont été troublés par l’information sur la détection de programmes malicieux dans certains distributeurs de billets automatiques des banques Russe. Ces programmes collectaient des informations concernant les cartes de crédit et les relevés de comptes envoyés aux distributeurs automatiques de billet à la demande des clients. Ce programme a été classifié par Dr.Web sous le nom Trojan.Skimer. Aujourd’hui, la base de données virales contient environ une dizaine de versions différentes de ce logiciel malicieux. Il faut préciser que les banques avaient reçu du fabriquant de ces automates, préalablement à la découverte par les éditeurs d’antivirus de cette menace, les informations nécessaires à la fermeture des vulnérabilités. La description détaillée des fonctions de Trojan.Skimer est accessible dans la bibliothèque de virus de Doctor Web.

Bien que les vendeurs d’antivirus fournissent une information détaillée des pseudo antivirus, les fraudeurs continuent à utiliser des schémas trompant les utilisateurs afin de les amener à payer un programme sans valeur. De nos jours, où le design web professionnel est appliqué aux faux sites web propageant des antivirus falsifiés, les sites malveillant tiennent à avoir un aspect similaire aux ressources web des vendeurs d’antivirus réels. De tels antivirus falsifiés, comme Antivirus XP 2008, sont connus de beaucoup d’internautes.

La popularité des sites web sociaux en Russie fournit aux créateurs de virus une infinité d’opportunités. Un autre Cheval de Troie, Trojan.PWS.Vkontakte.6, révélé en Mars a été propagé sous l’aspect d’un élément logiciel permettant aux utilisateurs d’un réseau social d’augmenter leur popularité.

Spam

L’envoi de publicités sous forme de spam constitue l’essentiel des sujets des messages de spam du mois du mars. Il est probable qu’aujourd’hui l’offre dépasse la demande. Parmi les sujets de spam les plus populaires, mentionnons la publicité faites sur les copies de DVD, les médicaments, les promotions sur les téléphones portables, les répliques de montres de luxe. D’autres messages incitent les utilisateurs à prendre part à des conférences et à des formations.

Le nombre de programmes malicieux ou de liens vers des sites web malicieux s’est réduit ces derniers mois. L’absence d’envois massifs de spam en rapport avec la diffusion de malwares génère différents effets de bord. Les programmes pour lesquels la diffusion par les courriers électroniques n’est pas traditionnelle peuvent ainsi atteindre les premières positions dans les statistiques antivirus. Ceci survient du fait que les utilisateurs des machines infectés ajoutent, sans le savoir, des fichiers infectés aux fichiers joints, envoyés via leurs courriers électroniques.

En ce qui concerne les envois massifs comme moyen de diffusion des logiciels malicieux, les analystes virus de Doctor Web ont enregistré l’envoi rapide (quelques heures) de Win32.HLLW.Brutus.3. Doctor Web a également enregistré l’envoi plus long de Trojan.PWS.Panda.114, utilisant cependant moins de trafic mail et qui est arrivé sous la forme d’un message prétendument issu de DHL. L’utilisateur était invité à se rendre au bureau de DHL avec une facture imprimée jointe au message. Il est évident que la facture jointe était le fichier malicieux.

Comme précédemment, le mois de Mars a connu des envois de spam offrant aux utilisateurs de prendre part à des schémas similaires aux pyramides financières. Le nombre de ces schemas est en progression. Quoique le nombre de messages de phishing en Mars fût inférieur, les analystes de Doctor Web ont enregistré quelques attaques de phishing ciblant les clients de eBay.

Détection sur des serveurs de messagerie — mars

Détection sur des postes de travail – mars