Le dernier mois de l’été n’a pas manqué d’informations sur l’activité virale : la prévision de l’apparition d’un rootkit contaminant les systèmes 64-bits de Windows s’est confirmée, de nouvelles modifications de logiciels malveillants pour Android sont apparues, les « ingénieurs sociaux » agissant via les sites Internet et les services de messagerie instantanée, ont été très actifs. Parallèlement, en Russie, les actions contre les bloqueurs de Windows ont porté leurs fruits : pour la première fois, une enquête judiciaire a été ouverte contre les escrocs qui tiraient profit de ce malware.

Rootkit touchant les systèmes 64-bits

Comme nous l’avions prévu dans les tendances 2010, le premier rootkit pour les systèmes 64 bits vient d’apparaître. Il s’agit d’une nouvelle version du BackDoor.Tdss. Les systèmes 64-bits de Windows possèdent des mécanismes de protection qui empêchent les logiciels malveillants de s’introduire dans leur système. Grâce à la technologie PatchGuard notamment, qui empêche les malwares de modifier le noyau du système d’exploitation. Mais le nouveau BackDoor.Tdss contourne ces barrières sans peine car il contient un bootkit. Lors de son implantation dans le système, ce backdoor modifie la partie principale de chargement du disque (MBR) et commence à contrôler le processus de chargement du système d’exploitation. Le driver du rootkit a alors toutes les possibilités de s’installer dans le système avant que les mécanismes de protection interne du système 64-bits ne soient activés.

A l’heure actuelle, la base virale Dr.Web contient des signatures qui permettent de définir les différentes modifications de la nouvelle version du BackDoor.Tdss et Doctor Web développe la version 64-bits de l’antirootkit Dr.Web Shield.

Logiciels malveillants visant Android

Au mois d’août, la base virale de Dr.Web a été « enrichie » de nouvelles modifications des logiciels malveillants pour Android, Android.MobileSpy, un logiciel espion et Android.SmsSend.1, qui diffuse des SMS payants depuis l’appareil portable à l’insu de son propriétaire.

Tous les logiciels visant l’OS Android connus à ce jour n’ont pas de fonction d’auto-reproduction. Cela signifie que l’utilisateur, induit en erreur, installe lui-même ce logiciel dans son système. Les logiciels malveillants sont la plupart du temps distribués sous forme de jeux, fonds d’écran, ou d’applications utiles (dissimulant leur nature réelle sous des fonctionnalités utiles). En outre, le logiciel espion peut être installé par un escroc qui veut avoir accès, ne serait-ce que pour une courte période, à votre outil portable.

Archives malveillantes

Au mois d’août, un grand nombre de sites malveillants a été relevé, proches des sites de téléchargement gratuit de films et/ou de musique. En réalité, ce que télécharge l’utilisateur sont des fichiers exécutables de 8 à 16 Мo, qui sont déterminés par l’antivirus Dr.Web comme des modifications du Trojan.SMSSend. Ces fichiers ont l’apparence d’archives auto-décompressables qui stoppent leur processus de décompression au bout de quelques secondes et adressent une notification à l’utilisateur, lui enjoignant d’envoyer un SMS payant pour achever la décompression. Au final, l’utilisateur est trompé deux fois : il paie quelques centaines de roubles par SMS pour des « archives » qui ne contiennent en réalité aucune information utile.

Les pirates utilisant ce schéma créent des sites basés sur les éléments graphiques de sites Internet connus (Google, «Yandex», service d’échange de fichiers QIP), ou de logiciels populaires (WinRAR), ce qui viole de surcroît les droits d’auteurs des marques concernées.

Faire confiance, oui, mais toujours vérifier!

Durant le mois d’août, les pirates ont démontré par deux fois comment ils savent abuser de la confiance des utilisateurs et comment ils peuvent également les pousser à exécuter un logiciel malveillant. Dans les deux cas, les utilisateurs reçoivent les messages de leurs amis, eux-mêmes victimes de ces schémas malveillants.

Le 16 août, le logiciel Win32.HLLW.Natchs a été diffusé via ICQ. Ses fonctionnalités prévoient l’arrêt du fonctionnement des clients de messagerie basés sur ICQ, la recherche du mot de passe du compte utilisateur afin de s’y connecter. Ensuite il se diffuse automatiquement à la liste des contacts de sa victime. Dans le même temps, le Win32.HLLW.Natchs est capable de dialoguer avec sa victime potentielle et de transmettre des fichiers via le protocole ICQ et non pas via un lien vers un fichier du site néfaste. Tous ces facteurs disposent les utilisateurs à croire à ces messages.

Le 30 août, les visiteurs du réseau social Facebook se sont aperçus de la diffusion de messages spam contenant un lien vers une soi-disant application Facebook (de type apps.facebook), MakeMeLaughNow. Une fois que l’utilisateur avait cliqué sur le lien, le ver se diffusait à toute sa liste d’amis. Cela a montré que le potentiel des logiciels malveillants qui savent s’implanter dans les réseaux sociaux est grand.

Doctor Web conseille aux utilisateurs d’être prudents vis-à-vis des alertes et/ou messages contenant des fichiers exécutables, vis-à-vis des liens vers des ressources inconnues, même si ce sont des personnes connues d’eux qui leur adressent ces messages. Mieux vaut demander confirmation à la personne qui vous l’a envoyé.

Crime et châtiment

Au mois d’août, les autorités juridiques de Moscou ont lancé une enquête judiciaire contre un groupe de pirates qui utilisait les bloqueurs de Windows (Trojan.Winlock selon la classification de Dr.Web). Ce groupe a agi durant toute l’année dernière. Les représentants du droit espèrent que leur enquête aura le support de tous les internautes et de tous les fournisseurs de services Internet. Doctor Web remercie à son tour tous les utilisateurs d’avoir fourni des informations sur les modifications actuelles des trojans-bloqueurs.

Il est à noter qu’au mois d’août, l’activité du Trojan.Winlock a été divisée par deux pour atteindre 140 000 détections par mois. Malgré une baisse, ce chiffre reste conséquent et des centaines de personnes s’adressent chaque jour au support technique de Doctor Web car ils sont confrontés à des schémas d’escroquerie via Internet.

A la tête du «Тоp» des bloqueurs les plus répandus au mois d’août figurent 2 modifications du Trojan.Winlock, mais aucune ne réclame l’envoi de SMS payants. Au lieu de cela, ils proposent de transférer l’argent via un système de paiement électronique ou de faire un virement sur le compte du portable.

Autres actualités

Parmi les fichiers malicieux dépistés au mois d’août sur les ordinateurs des utilisateurs, c’est de nouveau Exploit.Cpllnk qui prend la tête de liste. Cet exploit utilise les vulnérabilités de Windows pour lancer des logiciels malveillants depuis les supports amovibles et les ressources réseau. Les derniers jours du mois d’août ont vu décroître le nombre de ces malwares.

Les utilisateurs européens continuent de souffrir des trojans touchant les banques en ligne. Les pirates volent les codes valables une fois qu’ils utilisent pour effectuer des opérations de débit sur leurs comptes.

De faux antivirus (Trojan.Fakealert) se diffusent en Europe et en Russie en même temps. Dans le premier cas, il est proposé aux utilisateurs d’acheter un « antivirus » avec leur carte bancaire, dans le second, par l’envoi d’un SMS payant. En Russie, les auteurs de ces faux antivirus utilisent des images de sites pornographiques depuis lesquels l’utilisateur russe aurait pu télécharger un logiciel malveillant.

Le courrier électronique continue à servir de voie de diffusion au réseau botnet Oficla (Trojan.Oficla), ainsi qu’au Trojan.PWS.Panda.

Au mois de septembre, on peut s’attendre à des événements liés à l’apparition du rootkit pour les systèmes 64-bits. La tendance à la diminution de l’activité des logiciels malveillants extorquant de l’argent est déjà visible.

Fichiers malicieux détectés au mois d’août dans le trafic du courrier électronique

Fichiers malveillants détectés au mois d'août sur les ordinateurs des utilisateurs