Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Premier backdoor pour Android et autres événements  d'avril 2011.

Le 3 mai 2011

En avril 2011, des malwares frappent encore Android, de nouvelles vulnérabilités sont découvertes chez Adobe et comme toujours, les actualités sont les sujets privilégiés du spam. Ce mois-ci, c’est le mariage royal en Grande Bretagne qui était en première ligne !

De nouveaux logiciels malveillant pour les téléphones mobiles

En avril, le premier backdoor pour Android a été détecté et il en existe déjà deux modifications. Android.Crusewind utilise un ensemble de nouvelles méthodes. La victime reçoit un message  ressemblant à celui-ci: « Les mises à jour pour MMS/GPRS/EDGE sont disponibles. Pour les activer, veuillez suivre le lien http://.../flash/MM329.apk». En allant à la page indiquée, l'utilisateur reçoit un fichier exécutable du trojan .apk pour Android (le format des fichiers sur l’Android Market)

Image. 1.

Après son installation, le trojan télécharge le fichier de configuration depuis son centre de commande en fichier XML. De plus, ce programme malveillant possède une série de fonctionnalités assez développées. Par exemple il est capable d'envoyer des SMS sur commande du serveur pirate.
Plus les OS pour les mobiles sont développés, plus les programmes malveillants sont compliqués. Ils deviennent très proches, au niveau de leur complexité, des virus pour les ordinateurs personnels. Il fallait s'y attendre. Nous pouvons supposer que lorsque les OS pour les mobiles seront encore plus répandus, les concepteurs de virus vont les adapter à ces OS et les rendre valables notamment pour Android, comme les rootkits par exemple.

De nouvelles modifications du trojan Android.Spy et Android.SmsSend ont été détectées.

Android.Spy.54 a été découvert sur un site chinois www.nduoa.com, qui propose des applications pour Android. Le trojan a été intégré au logiciel Paojiao permettant d'envoyer des SMS ou de composer des appels vers des numéros choisis. Il est traditionnel pour Android.Spy de se propager sous la forme de programmes légitimes.

La nouvelle modification d'Android.Spy travaille en tâche de fond en se connectant aux serveurs pirates et en leur envoyant les données d'identification de la victime, y compris l'identificateur  international IMEI et le numéro individuel IMSI. De plus, le trojan  lance un fichier de configuration xml qui contient des commandes pour envoyer du spam via SMS depuis le téléphone de la victime et des commandes pour ajouter des sites aux favoris des navigateurs.

Adobe continue de « surprendre» ses utilisateurs

On a déjà parlé des vulnérabilités critiques du logiciel Adobe. Et c'est là que le terme de 0-day et vraiment devenu  littéralement 0-week: la vulnérabilité n’a pas été réglée durant tout une semaine, alors que les versions concernées sont restées disponibles pour les utilisateurs.

Le 8 avril 2011, on a découvert une nouvelle vulnérabilité CVE-2011-0611, et en peu de temps les descriptions techniques sont sorties. Comme auparavant, la vulnérabilité rend possible l’intégration d'un objet SWF dans MS Office (fichiers DOC) et dans les fichiers PDF. Récemment, des spams contenant des  Exploit.Rtf.based et Exploit.PDF.2177 exploitant cette vulnérabilité sont apparus.

Image  2. Exploit.Rtf.based

Image. 3. Exploit.PDF.2177.PDF.2177

Listes de diffusion et faux antivirus

Des messages spam contenant différentes modifications du trojan Trojan.Download.64325 sont apparus. Le trojan téléchargeait le Trojan.FakeAlert.20509 sur l'ordinateur de la victime. La diffusion a été effectuée via le réseau BlackEnergy. En analysant ce réseau, on a découvert de nombreuses adresses électroniques d’entreprises, notamment pharmaceutiques, comme SecureMedical Inc., ce qui nous fait penser à des fuites d’adresses vers les spammeurs.

Liens d'escroc et réseaux sociaux.

Les pirates continuent à exploiter les actualités auprès des utilisateurs des réseaux sociaux, en ignorant toutes les valeurs et les normes éthiques. Notamment, des accidents survenus dans des parcs d'attraction ont été filmés et sont ensuite  apparus dans de nombreux messages spam, y compris sur Facebook pour pousser l'utilisateur à suivre le lien.

Image. 4, 5. Spam sur un accident dans un parc d'attraction Alton Towers Resort en Grande-Bretagne.

Le mariage royal britannique est devenu le principal sujet des messages spams. En suivant un lien, l'utilisateur se trouvait sur un site proposant de faux antivirus.

Image 6. Spam contenant les informations sur le mariage royal en Grande-Bretagne

Image 7. Page de malfaiteurs

Image 8. Trojan.FakeAlert téléchargé depuis les liens des messages spam

Conclusion

On peut être sûr  de  l'apparition de nouvelles tendances  dans les attaques de virus. Les malfaiteurs se montrent très intéressés par les téléphones mobiles et transfèrent petit à petit leur expérience du PC vers les OS mobiles, notamment Android. Il est très probable qu’ils s’intéressent prochainement à l’OS Apple pur les mobiles.

Fichiers malicieux détectés dans le courrier électronique en avril 2011

 01.04.2011 00:00 - 30.04.2011 23:00 

1

Trojan.Tenagour.3

12454766 (27.22%)

2

Trojan.Inject.28090

4602849 (10.06%)

3

Trojan.Inject.27975

3548126 (7.75%)

4

Trojan.DownLoader2.22364

2805880 (6.13%)

5

Trojan.Inject.28053

2252602 (4.92%)

6

Trojan.DownLoad2.20306

1482644 (3.24%)

7

Trojan.DownLoader2.265

1111063 (2.43%)

8

Trojan.DownLoader2.17823

1098522 (2.40%)

9

Trojan.DownLoader2.1901

912229 (1.99%)

10

Trojan.DownLoader2.2035

797515 (1.74%)

11

Trojan.DownLoader2.2977

752502 (1.64%)

12

Trojan.DownLoader2.25029

653112 (1.43%)

13

Win32.HLLM.MyDoom.33808

629032 (1.37%)

14

Trojan.DownLoader2.10188

573559 (1.25%)

15

Trojan.DownLoader2.32597

563802 (1.23%)

16

Trojan.Fakealert.20459

552961 (1.21%)

17

Trojan.Inject.27968

536032 (1.17%)

18

Trojan.DownLoader2.16572

532366 (1.16%)

19

Trojan.DownLoad2.22234

526171 (1.15%)

20

Trojan.DownLoader2.30543

505686 (1.11%)

Total analysés:

32,697,947,759

Total virus détectés:

45,761,288 (0.14%)

Fichiers malicieux détectés sur les PC des utilisateurs en avril 2011

 01.04.2011 00:00 - 30.04.2011 23:00 

1

Win32.Siggen.8

18929309 (25.86%)

2

JS.IFrame.95

18457256 (25.22%)

3

Win32.HLLP.Neshta

10341001 (14.13%)

4

Win32.HLLP.Novosel

7473876 (10.21%)

5

Win32.HLLP.Whboy.45

2744737 (3.75%)

6

Win32.HLLP.Whboy.101

2583200 (3.53%)

7

Trojan.Click.64310

1786547 (2.44%)

8

ACAD.Pasdoc

948927 (1.30%)

9

Win32.HLLP.Liagand.1

897812 (1.23%)

10

Trojan.MulDrop1.48542

685507 (0.94%)

11

Win32.HLLP.Whboy.105

580001 (0.79%)

12

HTTP.Content.Malformed

533596 (0.73%)

13

BackDoor.Ddoser.131

513468 (0.70%)

14

Win32.HLLP.Rox

423250 (0.58%)

15

Win32.HLLW.Shadow.based

213901 (0.29%)

16

Win32.HLLW.Autoruner.5555

161020 (0.22%)

17

Program.RemoteAdmin

155310 (0.21%)

18

Trojan.DownLoader2.35872

151285 (0.21%)

19

Exploit.Cpllnk

147664 (0.20%)

20

Trojan.DownLoader2.42597

143945 (0.20%)

Total analysés:

218,706,105,678

Total virus détectés:

73,187,388 (0.03%)

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web
Expérience dans le développement depuis 1992
Les internautes dans plus de 200 pays utilisent Dr.Web
L'antivirus est fourni en tant que service depuis 2007
Support 24/24

Dr.Web © Doctor Web
2003 — 2020

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg