Le 04 septembre 2007

Le service de veille antivirale de Doctor Web présente l'analyse de l'activité virale du mois d’août 2007.

L'envoi massif des spams contenant des « vers de tempête » est incontestablement l’événement majeur du mois d’août. Pendant la première moitié d'août, les spammeurs ont utilisé la technique bien connue de l'ingénierie sociale consistant à masquer les spam en avertissant l’utilisateur de la réception d'une carte de vœux. Les corps de ces messages contiennent des liens que l’utilisateur est invité à visiter. Durant le mois, l’objet et le contenu de ces messages ont changé : On proposait à l’utilisateur de visualiser un clip sur YouTube et de vérifier ensuite un compte « enregistré » sur un serveur de divertissement. Lors du téléchargement depuis les liens mentionnés avec le navigateur Internet Explorer, le script de téléchargement implanté dans la page web commençait à s’exécuter. Ce script est reconnu par l’antivirus Dr.Web comme VBS.Psyme.434. Lors de l'exécution du script, le programme malveillant est téléchargé et lancé, Dr.Web l'identifie comme Trojan.Packed.142. Suite à cette intervention, la machine contaminée est utilisée comme un robot dans le réseau P2P créé par Trojan.Packed.142 pour envoyer des spams. De plus, les fonctionnalités de Trojan.Packed.142 comprennent la possibilité d’attaques DDoS.

Dans la deuxième décade d’août, le service de veille antivirale de Doctor Web a constaté que ces modules exécutables à télécharger avaient été contaminés par le virus polymorphe nommé, selon le classement de Doctor Web, Win32.Virut.5. Ce virus contamine tous les fichiers exécutables et il est muni de fonctions permettant de gérer les machines infectées via le canal IRC. Les modules exécutables Trojan.Packed.142 contaminés par Win32.Virut.5 ont été propagés pendant plusieurs jours. Il est à noter qu'à la différence de la plupart des logiciels antivirus, Dr.Web est capable non seulement de détecter les fichiers contaminés par Win32.Virut.5. mais aussi d'éradiquer ce virus. Compte tenu de la propagation intense des spams contenant ces « vers de tempête », il est important de les détecter et de les éradiquer rapidement. Cela évoque la situation de l'année dernière marquée par la propagation assez durable de Win32.Polipos par des réseaux de piring puisque aucun autre antivirus que Dr.Web ne pouvait détecter ni éradiquer des fichiers contaminés par ce virus.

Quelque temps après, la diffusion des Trojan.Packed.142 infectés par Win32.Virut.5 s’est arrêtée. On a vu se répéter la situation du mois de mai, qui enregistrait des envois massifs de vers de mail Win32.HLLM.Limar infecté par Win32.Virut. Outre cela, on a pu également constater la propagation de l’autre virus de fichier, nommé Win32.Scproj.7573. Ce virus contamine tous les fichiers exécutables sur les disques durs ainsi que sur les disques amovibles. En général, le virus ne modifie pas la taille du fichier-victime puisqu’il s'enregistre dans le domaine d'octets zéro. La contamination se fait sans aucun effet visuel, on peut s’apercevoir seulement de signes tels que des erreurs d'Explorer, des notifications de programmes sur l'intégrité violée de leurs fichiers etc. Le virus intercepte l'accès Internet des applications infectées ce qui lui permet de déjouer les politiques de sécurité des firewalls des applications respectives. Le corps de virus contient des liens depuis lesquels il peut recevoir des instructions. Quelque temps après le lancement d’Explorer contaminé par le virus, ce dernier vérifie les ressources réseau pour trouver des dossiers réseau disponibles pour l’enregistrement d’information et contaminer tous les fichiers exécutables qu’ils contiennent.

On a vu également la propagation de nouvelles modifications du vers d’envoi massif Win32.HLLM.Beagle mais l’épidémie ne s’est pas répandue.

Les résultats de l’analyse de l'activité du spam en août 2007

Le mois d’août a été marqué par plusieurs envois massifs de spam. Le premier est l’envoi des « vers de tempête » déjà mentionné ci-dessus. Le deuxième envoi a été présenté par des messages contenant en pièces jointes des fichiers au format PDF. La troisième vague comprenait des messages dont le sujet était Here is the news you have been waiting for. Les messages de ce type ont été envoyés depuis les ordinateurs contaminés par les "vers de tempête" Trojan.Packed.142. La tendance à souligner est que les messages spam ont pris un caractère de « virus » : des en-têtes attirants, des propositions de lire un document ou une information importante (ce qui est très typique pour les vers de la famille Win32.HLLM.Netsky), le rapport du serveur sur non livraison de message (typique pour le vers Win32.HLLM.MyDoom, Win32.HLLM.Limar), des pièces jointes au format d’archive ZIP etc.

D’autres spams étaient moins présents que ceux déjà mentionnés. On peut constater que le spam cyrillique a montré un taux accru des publicités proposant aux entrepreneurs d'organiser des envois massifs. Comme d’habitude, le spam dit commercial reste fort présent sous la forme des invitations aux séminaires de comptabilité et de droit fiscal. La présence du spam « culturel » a diminué. Au mois d’août 2007 la base virale Dr.Web a été complétée par 14474 entrées. Voici les résultats du scan en ligne pour le mois d’août :

Nom du virus	Quantité
VBS.Psyme.239	469
Trojan.Packed.142	415
BackDoor.Bulknet	322
VBS.PackFor	284
Trojan.SCKeyLog.20	124
Win32.Virut	107
Trojan.Virtumod	81
Trojan.Peflog.30	56
Trojan.Peflog.31	56
Trojan.DownLoader.29530	33

Nous vous proposons également le tableau sommaire des virus les plus fréquemment détectés sur des serveurs de messagerie en août 2007:

Nom du virus	% du total
Win32.HLLM.Graz	19.16%
Trojan.DownLoader.30541	16.31%
Win32.HLLM.Netsky.35328	15.05%
Win32.HLLM.MyDoom.based	8.03%
Win32.HLLM.Beagle	7.21%
Win32.HLLM.Netsky	4.30%
Win32.HLLM.Netsky.based	3.67%
Win32.HLLM.Perf	2.88%
Win32.HLLP.Sector	2.70%
Exploit.MS05-053	2.49%
Win32.HLLM.Limar.based	2.40%
BackDoor.Bulknet.52	1.92%
Trojan.DownLoader.29243	1.75%
Win32.HLLM.Limar	1.41%
Win32.HLLM.MyDoom.33808	1.35%
Win32.HLLM.Oder	1.01%
Win32.HLLM.MyDoom.49	0,70%
Win32.HLLM.Netsky.24064	0.56%
Win32.HLLM.Beagle.pswzip	0.47%
Win32.HLLM.Generic.391	0.44
Autres logiciels malveillants	6.18%