Doctor Web présente son rapport d’activité virale pour le mois d’août 2009. Le virus Win32.Induc, qui a infecté l’IDE Delphi a été le plus préoccupant ce mois-ci. Même si le virus n’a pas causé de dommage aux systèmes, sa malveillance ne doit pas être sous-estimée. C’est pourquoi Doctor Web considère sa détection et son éradication aussi importante que celles des autres virus. Tout en continuant à infecter les outils de développement de programmes , les hackers ont également répandu des virus sur les sites des réseaux sociaux et employé des techniques d’ingénierie sociale pour contaminer Internet. Les cybercriminels ont employé de nouvelles techniques pour répandre les virus et les spam, notamment celle d’obliger l’utilisateur à passer un test CAPTCHA afin d’être autorisé à utiliser certaines ressources web.

Delphi et autres outils de développement de programmes

Win32.Induc, le virus infectant les versions 4 à 7 de l’IDE Delphi, a été découvert « in the wild » il y a plusieurs mois. Ce virus infecte un fichier de bibliothèque utilisé lors de la compilation. Tout programme compilé avec un IDE infecté est contaminé avant qu’il n’en soit fait une quelconque utilisation.

Bien que Win32.Induc ne génère aucune autre activité, la technique utilisée pour le diffuser peut être employée par d’autres créateurs de virus dans l’avenir. Les solutions antivirus Dr.Web continuent à le détecter et à l’éradiquer. Même s’il semble inoffensif, il est dangereux.

L’absence de fonctions destructives a contribué à la large propagation du virus dont le code a été intégré à de nombreux programmes inoffensifs développés avec une version infectée de l’IDE Delphi. Comme sa signature a été enregistrée par les éditeurs d’antivirus, ceux-ci ont bloqué ces programmes, causant des problèmes à leurs développeurs et aux utilisateurs. Néanmoins, grâce aux entrées du virus dans les bases virales, le nombre d’infections a beaucoup baissé.

Img. 1. Nombre d’infections dues à Win32.Induc durant les deux dernières semaines d’août.

A la différence de Win32.Induc, ACAD.Siggen, découvert en août, a été diffusé comme un module de l’IDE Visual Lips utilisé par le logiciel AutoCAD, conçu par Autodesk. ACAD.Siggen a infecté des fichiers AutoCAD ouverts dans un système infecté parce qu’il était lancé simultanément à AutoCAD.

Les sites de réseaux sociaux, paradis des hackers

La popularité croissante de Twitter et Facebook pousse les malfaiteurs à les utiliser pour diffuser des malwares. Malheureusement, la plupart des utilisateurs sont crédules et répondent à leurs offres tentantes qui les mènent sur des sites frauduleux.

Au mois d’août, les virus de la famille Win32.HLLW.Facebook ont manipulé les utilisateurs à des fins pécuniaires. Tout d’abord, les virus utilisaient les messages postés sur les sites web des réseaux sociaux pour amener les internautes vers des sites frauduleux imitant les sites web légitimes et les engager à télécharger des vidéos. Si l’utilisateur lançait un fichier exécutable infecté, il contaminait tout son système. Désormais, les hackers utilisent une nouvelle méthode. Aujourd’hui, de nombreux services web protègent leurs ressources des spammeurs en mettant en œuvre différents types de tests afin de s’assurer que la personne souhaitant délivrer un message n’est pas un robot. Le plus connu de ces tests est le CAPTCHA qui demande à l’utilisateur de reproduire un message comportant des chiffres et/ou des lettres déformés.

Img.2. Un message invitant l’utilisateur à passer un test CAPTCHA

Win32.HLLW.Facebook.194, intégré à la dernière version du virus Win32.HLLW.Facebook, permet aux hackers de faire passer un tel test à leurs victimes. Le virus fait passer ce test à l’utilisateur qui envoie un texte correct sur le serveur du hacker. Une fois que le test CAPTCHA est réceptionné par le serveur distant, une fenêtre de dialogue s’ouvre sous forme de pop-up sur l’écran de l’utilisateur, bloquant l’accès à tout autre composant du système. Cette méthode permet aux cybercriminels de se créer des comptes sur différents sites web utilisés ensuite pour envoyer des spam.

Poster des commandes Botnet depuis un compte Twitter est également devenu une nouvelle méthode pour exploiter les réseaux sociaux. De l’information codée postée sur un compte de microblog est recherchée sur les flux RSS par un robot (bot) fonctionnant sur des systèmes compromis. Le Trojan.PWS.Finanz.410 fait partie des chevaux de Troie recevant des instructions via Twitter.

Le réseau social Jaiku, créé par Google a également été utilisé pour commander un robot et contrôler un réseau zombie recevant de l’information via les flux RSS.

Une telle approche dans la gestion des réseaux zombies (botnet) permet d’utiliser un trafic masqué et d’échapper plus facilement aux techniques de détection. Du fait que Twitter permette la création de comptes personnels dont les twitts sont accessibles seulement à un nombre limité d’utilisateurs, un usage inapproprié de ce réseau peut s’avérer difficile à découvrir.

Fausses mises à jour Mozilla

Adware.FF.1 est un autre programme malveillant diffusé par de faux sites web. Celui-ci touche les utilisateurs de Firefox.

Dans un contexte où les cybercriminels créent des vulnérabilités dans les logiciels couramment utilisés, les développeurs sont tenus de créer des patchs de sécurité régulièrement et d’encourager les utilisateurs à les télécharger et à les installer. Ceux-ci sont habitués à recevoir chaque jour des mises à jour de leur système d’exploitation, de leur antivirus, de leur navigateur et des logiciels qu’ils utilisent. Au mois d’août, les hackers ont profité des fréquentes mises à jour d’Adobe pour faire passer Adware.FF.1 comme une mise à jour d’Adobe Flash Player. Le site frauduleux créé pour présenter la fausse mise à jour était très similaire au vrai site d’Adobe Systems et même l’adresse du faux nom de domaine ressemblait à l’URL d’Adobe. Le fait de lancer une fausse mise à jour téléchargée installait un plugin de Mozilla Firefox altérant les publicités Google.

Img. 3. Le faux site Adob

Adware.FF.3, une modification de Adware.FF.1 fournissait un vrai fichier d’installation d’Adobe Flash Player afin d’éloigner les suspicions de fraude.

Virus intégrés

Les créateurs de virus sont connus pour exploiter les nouvelles versions de logiciels afin de diffuser des malwares. Lorsque Apple a sorti iWorks’09, les cybercriminels ont « offert » un package d’installation infecté par le trojan Mac.Iservice. De même, la sortie du nouvel OS d’Apple, Snow Leopard, était un événement à ne pas manquer pour les hackers, qui ont proposé de le télécharger infecté par le virus Mac.DnsChange, via torrent. Le virus imitait les requêtes DNS envoyées par un navigateur.

Un Trojan pour Skype

La fin du mois d’août 2009 a vu la découverte du Trojan.SkypeSpy, capable d’intercepter les flux audio de Skype et de les retranscrire en fichiers MP3. Le code source du Trojan a été rendu public, ce qui a donné lieu à de nombreuses modifications du virus. Cependant, de tels virus ne sont pas diffusés à grande échelle, leur utilisation étant plutôt destinée à l’espionnage industriel qu’à un contrôle total des conversations de tous les utilisateurs Skype. En revanche, cela prouve que toute nouvelle technologie devenant populaire attire tôt ou tard l’attention des cybercriminels.

Un Botnet sous forme de facture

Les activités du Trojan.Botnetlog.11, diffusé via une facture en pièce jointe, ont été découvertes au mois d’août 2009.

Pour inciter l’utilisateur à ouvrir la « facture », il recevait un message d’erreur lui indiquant que ce qu’il avait commandé ne pouvait lui être délivré en raison d’une adresse de destination incorrecte. Une archive zip en pièce jointe a été détectée par Dr.Web comme Trojan.Botnetlog.11.

Vous trouverez plus d’informations sur ce Trojan en lisant la news postée le 12 août 2009 sur le site de Doctor Web : www.drweb.fr, rubrique « Actualités ».

Il est à noter qu’à chaque diffusion de ce Trojan, il apparaît modifié et compressé avec un logiciel différent. Les technologies Dr.Web permettent d’ajouter chaque nouvelle signature du virus à la base virale, augmentant les capacités de détection de trojans de ce type. La dernière modification de ce virus détectée par Dr.Web est Trojan.DownLoad.45107.

Img.5. activité du Trojan.Botnetlog.11 au mois d’août 2009

Phishing sur des sites web

La nouvelle technique de phishing employée par les cybercriminels au mois d’août n’avait pas pour but de leurrer l’utilisateur en lui demandant d’entrer ses informations personnelles sur un site web frauduleux, mais de lui adresser en pièce jointe d’un email, un formulaire à remplir. Il devait ouvrir et remplir un formulaire web, puis cliquer sur « envoyer », adressant ses informations à un serveur piraté.

Img.6. Mailing adressé aux clients d’USAA

Cette nouvelle technique rend le « travail » des cybercriminels plus facile, puisqu’il leur évite de maintenir un site web qui pourrait être fermé à tout moment. De plus, il s’avère difficile de stopper l’activité d’un serveur car il faudrait pouvoir prouver que ses utilisateurs se livrent à une activité de phishing. Cette méthode a été utilisée pour extorquer des informations aux utilisateurs de PayPal et USAA.

Des attaques de phishing classique ont été dirigées contre les clients de Ally Bank, Bank of America, Chase Bank, Key Bank, SunTrust Bank, PayPal et les utilisateurs de eBay.

Conclusions

Win32.Induc a été le fait le plus marquant du mois d’août 2009. De grands débats ont eu lieu sur le fait de savoir si un virus inoffensif devait être détecté et éradiqué. La position de Doctor Web est très claire. Win32.Induc doit être éliminé avant que la méthode utilisée pour le diffuser soit employée par d’autres hackers.

Le second fait marquant est que les réseaux sociaux continuent d’être malgré eux un moyen de diffuser des virus. Les hackers adoptent des méthodes de plus en plus sophistiquées pour répandre des virus. Le contrôle de robots via Twitter constitue un bon exemple de ces nouvelles techniques. Hélas, le manque de discernement de nombreux utilisateurs joue le jeu des hackers.

Une technique inhabituelle a été employée pour faire passer des tests CAPTCHA aux internautes. Cette méthode semble devoir être souvent employée dans l’avenir car le test CAPTCHA demeure un des moyens les plus fréquents pour se prémunir contre le spam.

Enfin, le fait d’avoir rendu public le code source du Trojan.SkypeSpy prouve que de nouveaux trojans capables d’intercepter les conversations Skype peuvent apparaître à l’avenir. Néanmoins, ces menaces touchent plus particulièrement les professionnels qui utilisent Skype.

Virus détectés dans le trafic email au mois d’août 2009

Total scannés : 97,916,911,140
Infectés : 26,740,352(0.0273%)

Virus détectés sur les machines des utilisateurs au mois d’août 2009

Total scannés: 147,141,361,062
Infectés : 16,543,297(0.0112%)