Doctor Web : aperçu de l'activité virale du mois de mars 2019

le 3 avril 2019

Au mois de mars, les analystes de Doctor Web ont achevé une étude du Trojan qui menaçait les joueurs de Counter-Strike 1.6. L'activité de certaines menaces a changé depuis le mois dernier. L'activité de Trojan.MulDrop8.60634 a été divisée par trois, et le nombre de menaces telles que Trojan.Packed.24060 et Adware.OpenCandy.243 a considérablement augmenté au cours du dernier mois. Le nombre de domaines ajoutés à la base de sites non recommandés et malveillants a diminué par rapport au mois de février, tandis que le support technique de Doctor Web a reçu plus de requêtes pour le déchiffrement de données qu'au cours du mois dernier.

Menace du mois

Au mois de mars, les analystes de Doctor Web ont publié une étude détaillée du cheval de Troie Belonard utilisant une vulnérabilité zero-day dans le client Steam du jeu Counter-Strike 1.6. Une fois sur un ordinateur, le Trojan remplace les fichiers du client de jeu et crée des serveurs proxy pour contaminer d'autres utilisateurs. Le nombre de serveurs malveillants CS 1.6 créés par le cheval de Troie Belonard a atteint 39% de tous les serveurs officiels enregistrés dans Steam. Désormais, l'antivirus Dr.Web détecte tous les modules du Trojan Belonard et les utilisateurs Dr.Web sont hors danger.

Plus d'infos sur ce Trojan

Données des serveurs de statistiques de Doctor Web.

Menaces de ce mois-ci :

Trojan.Packed.24060

installe des extensions malveillantes dans les navigateurs web qui redirigent vers d'autres sites depuis les résultats affichés par les moteurs de recherches.

Adware.Softobase.12

Programme installateur qui diffuse des logiciels obsolètes. Il change également les paramètres du navigateur web.

Adware.OpenCandy.243

Famille d'applications conçues pour installer d'autres logiciels. Les programmes de cette famille sont utilisés par des développeurs d'applications gratuites à des fins de monétisation.

Adware.Ubar.13

Client Torrent qui installe des logiciels indésirables sur l'appareil.

Trojan.Starter.7394

Trojan destiné à lancer d'autres programmes malveillants sur les machines.

Le nombre de menaces listées ci-après a diminué :

Trojan.MulDrop8.60634

Installe d'autres Trojans dans le système. Tous les composants à installer sont contenus dans le corps du Trojan.MulDrop.

Adware.Downware.19283

Programme-installateur qui est diffusé avec un contenu malveillant. A son installation, il peut modifier les configurations des navigateurs web et installer d'autres programmes indésirables.

Statistiques relatives aux programmes malveillants détectés dans le trafic email

Exploit.ShellCode.69

Document Microsoft Office Word rendu malveillant. Il utilise la vulnérabilité CVE-2017-11882.

W97M.DownLoader.2938

Famille de Trojans Downloader qui exploite les vulnérabilités des applications Office. Ils sont conçus pour télécharger d'autres logiciels malveillants sur l'ordinateur infecté.

Exploit.Rtf.CVE2012-0158

Un document modifié de Microsoft Office Word utilisant la vulnérabilité CVE2012-0158 pour exécuter un code malveillant.

Trojan.SpyBot.699

Trojan bancaire modulaire. Il permet de télécharger et de lancer sur le dispositif contaminé différentes applications et d'exécuter leurs commandes. Le Trojan est conçu pour voler des fonds.

JS.DownLoader.1225

Famille de scripts malveillants écrits en JavaScript. Ils téléchargent et installent d’autres logiciels malveillants.

Trojan.PWS.Stealer.23680

Famille de Trojans conçus pour voler des mots de passe et d'autres données confidentielles des ordinateurs contaminés.

Ransomwares à chiffrement

Au mois de mars, le Support technique de Doctor Web a reçu de nombreuses requêtes d’utilisateurs touchés par les modifications suivantes de Trojans Encoders :

• Trojan.Encoder.858 — 28,39%;
• Trojan.Encoder.18000 — 9,54%;
• Trojan.Encoder.27210 — 4,25%;
• Trojan.Encoder.11464 — 4,14%;
• Trojan.Encoder.11539 — 4,14%;
• Trojan.Encoder.567 — 2,76%;
• Trojan.Archivelock — 2,34%.

Sites dangereux

Durant le mois de mars 2019, la base de sites non recommandés par Dr.Web s’est enrichie de 270 227 adresses Internet.

Logiciels malveillants et indésirables ciblant les appareils mobiles.

Au cours du mois dernier, de nouveaux programmes malveillants ont été détectés sur Google Play. Parmi eux - des Trojans de la famille Android.FakeApp, qui sont diffusés sous la forme de logiciels pour les gains en ligne. Ils chargent des sites Web, sur lesquels les propriétaires d'appareils mobiles sont invités à répondre à des questions prétendument posées par des " entreprises sponsors ". Pour la participation à ces sondages, les attaquants promettent une récompense à leurs victimes potentielles. Mais pour réceptionner cette récompense, les utilisateurs doivent payer une taxe pour le transfert d’argent présumé ou pour confirmer leur identité. En fait, aucune rémunération n'est jamais payée, et les utilisateurs envoient de l'argent à des fraudeurs.

De plus, des nouveaux Trojans Android.HiddenAds ont été découverts. Ils affichent en permanence des bannières publicitaires par-dessus les fenêtres d'autres programmes et de l'interface système et empêchent l'utilisation des appareils Android.

Les pirates ont également continué à diffuser des Trojans bancaires. L'un d'eux a été le sujet de notre news publiée dans la seconde moitié de Mars. Le programme malveillant, connu sous le nom de FLEXnet, vole de l'argent des comptes bancaires et des comptes utilisateurs chez des opérateurs mobiles.

A la fin du mois, les analystes ont révélé les détails de la vulnérabilité du navigateur populaire chez les utilisateurs Android - UC Browser, qui est capable de télécharger des plugins en contournant les serveurs de Google Play. Les pirates pouvaient utiliser cette fonction pour propager des chevaux de Troie.

• détection d'une vulnérabilité dans le navigateur UC Browser,
• propagation de programmes malveillants via Google Play,
• propagation de Trojans bancaires.

Pour plus d'infos sur les menaces ayant ciblé les appareils mobiles en mars, consultez notre rapport.