Le 3 août 2010

Le mois de juillet 2010 restera en mémoire non seulement à cause de sa chaleur étouffante, mais également à cause de l’apparition des Chevaux de Troie Trojan.Stuxnet et de leur expansion rapide. Ces logiciels malveillants utilisent un moyen alternatif de lancement depuis des supports amovibles et se servent des signatures volées d’éditeurs de logiciels connus. L’utilisation des technologies bootkit est devenue la norme pour ces logiciels malveillants. En outre, le Trojan.Stuxnet a trouvé une vulnérabilité dans Windows et pénètre le système à travers les drivers.

Les bloqueurs de Windows, quant à eux, heurtés à une résistance active, ont diminués le rythme de leur diffusion, et les pirates essaient de trouver une alternative aux SMS payants.

La « nouveauté » de cet été qui a fait se mobiliser l’industrie antivirus est un logiciel de type nouveau classifié par Dr.Web comme Trojan.Stuxnet.1. Sa diffusion rapide est liée directement à une vulnérabilité, inconnue auparavant, du système d’exploitation Windows. Ce trojan se sert de moyens tout neufs pour contourner les mécanismes de protection de Microsoft et il a déjà démontré qu’il est un adversaire sérieux – une des premières applications du programme Trojan.Stuxnet.1 a servi l’espionnage industriel. Le trojan implante deux drivers dans le système. L’un d’eux est un filtre du système de fichiers qui dissimule les composants du logiciel malveillant sur un support amovible. Le second driver est utilisé pour implanter une bibliothèque codée dynamique dans les processus système ainsi qu’un logiciel spécialisé qui sert à atteindre son but essentiel. Les auteurs du trojan ont préparé des surprises désagréables. Primo – l’exploitation mentionnée ci-dessus de la vulnérabilité de Windows : le logiciel malveillant utilise un « maillon faible » dans l’algorithme du traitement du contenu des labels. Il est à noter que Microsoft a réagi rapidement sur la détection de cette vulnérabilité. Selon l’information publiée par le développeur des OS Windows, cette vulnérabilité est propre aux versions 32 et 64 bits de Windows XP à Windows 7 et Windows Server 2008 R2. Les pirates peuvent se servir de cette vulnérabilité pour effectuer un lancement distant des logiciels malveillants. En outre, un code dangereux peut être intégré dans certains types de documents qui ont des labels incorporés et peut être diffusé à l’aide de l’exploitation de la vulnérabilité détectée.

Le 2 août 2010, la société Microsoft a édité un patch pour toutes les versions Windows qui sont susceptibles d’être touchées par cette vulnérabilité. Pour les systèmes où les mises à jour sont automatiques, le patch s’installera automatiquement et il ne faudra que redémarrer l’ordinateur.

Mais les surprises que réservent les auteurs du Trojan.Stuxnet ne sont pas encore terminées. Les drivers qui sont installés par le trojan sont munis de signatures numériques, volées chez les éditeurs de logiciels. Au mois de juillet, il s’est avéré que les signatures de sociétés aussi connues que Realtek Semiconductor Corp. et JMicron Technology Corp.sont utilisées aussi à ces fins. Les pirates ont besoin des signatures pour implanter le trojan en cachette dans le système ciblé.

Il faut noter qu’outre les drivers qui utilisent la signature pour s’installer en cachette, le fichier malicieux est également signé. Il se lance à l’aide de l’exploit de vulnérabilité Windows Shell depuis les supports amovibles. Mais cette signature devient obsolète après la première activation du trojan : un compteur interne de contaminations modifie sans cesse le fichier exécutable, ce qui met la signature hors d’usage.

Le Trojan.Stuxnet.1 a généré de multiples adeptes qui se servent de cette faille de sécurité informatique de Windows. Tous ces labels sont déterminés par Dr.Web comme Exploit.Cpllnk. En quelques jours seulement, les logiciels malveillants utilisant ces types de labels sont arrivés en tête du Top vingt des logiciels viraux dépistés au mois de juillet sur les ordinateurs des utilisateurs. D’ailleurs, le Trojan.Stuxnet.1 occupe la sixième place de cette liste.

A l’heure actuelle, les logiciels exploitant la vulnérabilité détectée se diffusent en masse. Il est probable que cette situation durera encore jusqu’à l’installation du patch qui vient d’être édité par Microsoft et qui est valable pour la plupart des systèmes. Les spécialistes de Doctor Web ont réagi à cette nouvelle menace. Ils ont ajouté à la base virale les procédures de traitement des systèmes contaminés par le trojan.

Utilisation croissante des bootkits.

Les bootkits sont des logiciels modifiant le secteur de chargement du disque. Ils deviennent des composants habituels des logiciels malveillants. L’utilisation des bootkits fait que les moyens ordinaires d’analyse du système ne sont plus capables de détecter l’objet malveillant dans toute sa complexité. Ils ne peuvent que dépister les composants des logiciels malveillants qui se trouvent sur le disque et ont l’aspect de fichiers ordinaires, car ils n’ont aucune possibilité de suivre les modifications du secteur de chargement. De cette manière, même après son traitement, le virus retournera dans le système et ce processus continuera jusqu’à ce que le secteur de chargement du disque soit retourné à son état initial.

Il existe peu de moyens antiviraux pouvant révéler la modification du secteur de chargement et désinfecter le système du bootkit. Dans la plupart des cas, les développeurs d’antivirus proposent de résoudre ce problème à l’aide d’utilitaires spéciaux. Mais un nouveau problème surgit : l’utilisateur ne cherche pas à temps la solution, car il ne peut pas comprendre que son antivirus ne « voit » pas le fait que le secteur de chargement du disque système est modifié par le virus. Les pirates profitent de cette perte de temps précieux.

Un des bootkits qui a inquiété les internautes au mois de juillet est le Trojan.Hashish, déjà bien connu. La contamination par ce bootkit est devenue un problème en Europe au mois de juillet. L’activité de ce logiciel malveillant provoque l’apparition non-sollicitée de fenêtres pop-up contenant de la publicité, sur Internet Explorer. Ces fenêtres s’ouvrent même si un autre navigateur est utilisé.

Les bloqueurs battent en retraite

Au mois de juillet, l’épidémie des bloqueurs s’est affaiblie. Le serveur de statistiques Dr.Web a comptabilisé 280 000 détections de ces virus contre 420 000 au mois de juin. Ce progrès est lié à une action commune efficace des utilisateurs et des sociétés antivirales, telles que Doctor Web. Par exemple, grâce à une résistance accrue contre les pirates utilisant des SMS payants, ceux-ci doivent avoir recourt à d’autres schémas d’escroquerie. Ils utilisent des systèmes de paiement électroniques et proposent même de choisir le moyen de transmission de l’argent pour le déblocage. Dans le même temps, la plupart des requêtes concernant l’activité des bloqueurs indique aujourd’hui un blocage des sites populaires – réseaux sociaux, services gratuits de messagerie, systèmes de recherche - comme un but essentiel. Vers la fin du mois de juillet, la quantité d’appels concernant ce type de bloqueurs a dépassé le nombre de plaintes sur le blocage du bureau de Windows. Il semble que la diffusion des bloqueurs diminuera avec le temps. Cela est lié à une moindre efficacité des schémas alternatifs de paiement, si l’on ne peut plus utiliser les SMS, et aussi à une attention toujours croissante des organes de justice envers ce problème. Il faut noter qu’en outre, le nombre d’utilisateurs munis d’une information précise sur les méthodes de déblocage de leurs ordinateurs, permettant de ne pas transmettre leur argent aux pirates, augmente aussi.

Autres logiciels malveillants du mois de juillet

Une diffusion à grande échelle des modifications du Trojan.Oficla via le courrier électronique bat son plein. Des messages comportant des fichiers HTML (JS.Redirector) en pièce jointe sont également assez répandus. Ces messages redirigent les utilisateurs vers des pages publicitaires et des sites dangereux.

Une activité croissante des virus de fichiers polymorphes Win32.Sector est également visible. Mais Doctor Web traite depuis longtemps les virus complexes polymorphes, et ses développeurs ont encore optimisé au mois de juillet la détection des logiciels de ce type. Les internautes européens ont été inquiétés par les trojans « bankers », les contraignant à soumettre leurs codes TAN aux pirates (nous en avons déjà parlé en détails dans l’aperçu de juin), et de nouvelles variantes de faux antivirus.

On peut conclure que le mois de juillet n’a pas apporté des problèmes insolubles tant pour les développeurs de logiciel antivirus, que pour les utilisateurs. L’activité des utilisateurs de labels à des fins malveillantes classifiée par Dr.Web comme Exploit.Cpllnk, devrait se réduire grâce à la publication par Microsoft d’un remède approprié.

Mais, comme les bootkits deviennent un composant habituel des logiciels malveillants, les vendeurs antivirus doivent prévoir le traitement des secteurs de chargement des disques dans leurs produits, laissant de coté leurs utilitaires isolés.

L’histoire des bloqueurs de Windows et de leurs auteurs démontre sans doute que les mesures utilisées contre eux donnent de bons résultats.

Fichiers malicieux détectés au mois de juillet dans le trafic du courrier électronique

Fichiers malveillants détectés au mois de juillet sur les ordinateurs des utilisateurs