Les bloqueurs de Windows restent une des menaces essentielles en Russie en 2010. Jusqu’à 30% d’entre eux extorquent de l’argent via des distributeurs bancaires. Les internautes qui sont enregistrés dans les réseaux sociaux sont également en danger : lors de leur tentative d’ouvrir leurs sites préférés ils reçoivent souvent des alertes sur le blocage de leur compte et une demande d’envoi de SMS payants. Cependant, en Europe, durant tout le mois de juin, des trojans « bankers » ont été diffusés. Ils forçaient les clients des banques à envoyer aux pirates leurs codes TAN (Transaction Authentication Number). Ces codes sont utilisés par certaines banques pour l’autorisation des transactions – mais même ces mesures ne protègent pas leurs clients crédules contre les dommages causés par les pirates.

Lutte contre les bloqueurs de Windows

L’étape suivante a été l’ouverture, au mois de janvier 2010, du site Dr.Web Unlocker. Ce site propose des outils contenant des codes de déblocage pour les numéros courts de portables, utilisés par les pirates pour récupérer des coordonnées de login/mot de passe et extorquer de l’argent et des textes de notifications ont été développés. Avec le temps, des algorithmes générant des codes de déblocage, même pour des combinaisons inexistantes dans la base du site, ont été ajoutés. Depuis le 31 janvier 2010, cette ressource a été utilisée plus de 3 millions de fois et plus de 1,5 million de visiteurs ont été enregistrés. A l’heure actuelle, le service de déblocage de Doctor Web est visité le week-end par 25 000 utilisateurs et par presque 39 000 durant la semaine. Ce n’est déjà plus une simple offre basée sur le modèle « numéro de téléphone – texte d’alerte». C’est un processus de production, dont le développement, la modernisation quotidienne et la réalisation sont au centre de l’attention des spécialistes des différents départements de Doctor Web. Leur but est d’améliorer la qualité du support fourni aux victimes des bloqueurs.

Depuis le 23, les spécialistes du support technique de Doctor Web proposent un support officiel à ceux qui n’ont pas pu trouver la solution en s’adressant au site Dr.Web Unlocker. Tous les internautes peuvent jouir de ce support, la marque de leur antivirus n’est pas prise en considération. Dès le premier jour de fonctionnement de ce service, environ 2000 requêtes ont été enregistrées. Aujourd’hui il y a entre 500 à 1500 appels utilisateurs par jour sur ce thème. Aux heures de pointe, le nombre de ces requêtes représente jusqu’à 95% de tous les appels. A ce jour, presque 90% des utilisateurs en Russie ont eu affaire aux bloqueurs sur leurs propres PC ou sur les ordinateurs de leurs parents ou amis. Doctor Web a choisi une approche complète, qui inclut une aide en ligne aux victimes, des mesures communes avec les organes de justice, en leur communiquant les informations recueillies sur les bloqueurs (statistiques, modes de fonctionnement, numéros courts utilisés, notifications envoyées) aussi bien que la diffusion de l’information sur la situation actuelle de la lutte contre les bloqueurs et les méthodes de prévention et de désinfection des systèmes contaminés.

Au mois de juin, le serveur de statistiques Doctor Web a relevé plus de 420 000 détections de bloqueurs (au mois de mai – plus de 940 000). La plupart d’entre eux sont nommés par Dr.Web comme Trojan.Winlock, Trojan.Adultban et Trojan.Packed.20343.

Vers la fin du mois de juin, dans presque 30% des cas de contamination par les bloqueurs, les pirates réclamaient des virements via des terminaux de paiement pour alimenter le compte de leurs portables. Ayant étudié un grand nombre de cas similaires, les spécialistes de Doctor Web ont conclu que dans la plupart des cas, il était impossible de recevoir les codes de déblocage même après avoir payé – les pirates trompent les utilisateurs deux fois de suite ! Nous recommandons donc de nouveau aux internautes de ne pas envoyer d’argent aux pirates, même si la situation semble être sans issue ! Doctor Web collabore avec la police pour mettre fin à l’activité des extorqueurs. Parallèlement, nous optimisons le processus de décodage.

Galerie des bloqueurs les plus répandus au mois de juin 2010

Réseaux sociaux : une terre promise pour les pirates

Beaucoup d’internautes qui s’adressent au support client de Doctor Web se plaignent de ne plus pouvoir entrer sur les sites des réseaux sociaux ni sur leur messagerie électronique gratuite. Lorsqu’ils souhaitent se connecter, ils reçoivent une notification les informant que leur compte est bloqué à cause, par exemple, de la diffusion de spam et que pour résoudre le problème ils doivent envoyer un SMS. Les logiciels agissant de cette manière portent le nom de Trojan.Hosts.

Vers la fin du mois, plusieurs utilisateurs ont signalé que les nouvelles modifications de Trojan.Hosts, comme la plupart des nouveaux bloqueurs de Windows, demandent de faire des virements via les terminaux de paiement. Les Trojan.Hosts et Trojan.Winlock utilisent les mêmes méthodes frauduleuses et constituent les maillons d’une même chaîne.

Les utilisateurs de banque en ligne courent un grand danger

Au mois de juin, nos collègues en Europe nous ont signalé la diffusion à grande échelle de logiciels malicieux visant les clients des banques utilisant le système de banque en ligne. Il s’agit par exemple des utilisateurs des services de Volksbank (Autriche) et de Postbank (Allemagne).

Pour renforcer la sécurité des transactions Internet, ces banques utilisent le système des codes TAN, qui sont uniques pour chaque transaction. De cette manière, jamais aucun malfaiteur ne peut être propriétaire d’un code PIN, qui est unifié et représente le code de la carte bancaire. Mais les criminels ont trouvé une solution pour contourner cette défense. Les utilisateurs des ordinateurs contaminés par les trojans « bankers » (classifiés par Doctor Web comme Trojan.PWS.Banker et Trojan.PWS.Bancos), lors de leurs tentatives d’utiliser leur banque en ligne, reçoivent une alerte sur la nécessité d’entrer leur code TAN, envoyés en réalité aux pirates.

Lors des visites des sites de banque en ligne, le logiciel malicieux détermine le navigateur utilisé et se lance seulement si c’est Internet Explorer. Ce fait souligne encore une fois que les navigateurs alternatifs peuvent présenter un niveau plus élevé de sécurité.

Les autres tendances de juin sont : une activité continue du réseau botnet Oficla (les modifications de Trojan Oficla sont classées parmi le top-vingt des virus de messagerie) et un grand nombre de scripts, déterminés par Doctor Web comme JS.Redirector.based.3. Ces scripts ont été dépistés dans les documents HTML, joints à des messages spam. Lors de l’ouverture de la pièce jointe, l’utilisateur est renvoyé vers des ressources diffusant des logiciels malveillants ou vers des sites publicitaires concernant pour la plupart des produits médicaux.

Fichiers malicieux détectés au mois de juin dans le trafic du courrier électronique

Fichiers malveillants détectés au mois de juin sur les ordinateurs des utilisateurs