Revenir vers la liste d'actualités
Nouvelle vague de bloqueurs
A partir du 14 mai, le serveur de statistiques de Doctor Web a commencé à enregistrer un dépassement de la quantité moyenne de détections des bloqueurs de Windows. Les premiers jours, ce dépassement était assez insignifiant, mais dès le 18 mai, le serveur a enregistré 215 000 détections des Trojan.Winlock et Trojan.AdultBan par jour, contre 1 500 détections par jour auparavant. Cette activité s’est maintenue jusqu’à fin mai.
Même si la vague de diffusion des Trojan.Winlock a été plus importante dans la seconde partie du mois de mai, plus de 920 000 détections de bloqueurs de Windows ont été enregistrées durant tout le mois. Et ce chiffre a dépassé pour la première fois le maximum de janvier 2010.
Bloqueurs sans SMS
A partir du 7 mai, les utilisateurs ont commencé à envoyer des requêtes au support technique se plaignant de bloqueurs qui ne se limitaient plus aux demandes d’envoi de SMS payants, mais réclamaient de leur transférer de l’argent via des terminaux de paiement. Durant tout le mois de mai, les pirates ont utilisé plusieurs systèmes de paiement comme WebMoney, RBKMoney ou "Wallet One". De tels bloqueurs, ainsi que leurs modifications classiques, sont dépistés sans problèmes par les produits antivirus de Dr.Web comme, par exemple, le Trojan.Winlock.
Vers la fin du mois, les internautes ont reçu des propositions de transférer de l’argent sur un compte de portable, enregistré par les pirates chez un des opérateurs russes. Il est à noter que les pirates changent sans cesse ces numéros pour rendre leur dépistage plus difficile.
Dans les notifications envoyées par les nouveaux Trojan.Winlock, il est indiqué que le code de déblocage sera indiqué sur le reçu émis par l’organisme après le transfert de la somme extorquée, si tant est que l’organisme en question émette un tel reçu. Certains pirates ne prévoient même pas de fournir aux internautes les codes de déblocage car une fois l’argent reçu, leur but est atteint.
Les sommes extorquées varient de 250 à 500 roubles, ce qui est plus ou moins égal aux sommes réclamées par les bloqueurs « classiques ».
L’apparition des logiciels malveillants de ce type est devenue le catalyseur de la nouvelle vague de diffusion des bloqueurs qui voient leurs modifications récentes s’ajouter à leurs formes classiques toujours en vigueur. La recherche de nouveaux schémas d’obtention de profit aide les pirates à surmonter les obstacles crées par les sociétés antivirales et les outils de sécurité. Lorsque les pirates apprendront à bien manier les systèmes de paiement automatique, il sera encore plus difficile de leur faire face.
Rappelons que Doctor Web publie régulièrement sur le site Dr.Web Unlocker, les codes de déblocage même pour de nouveaux types de bloqueurs, codifiés par certaines modifications du Trojan.Encoder.
Voici une galerie des bloqueurs de Windows les plus répandus, dépistés sur les ordinateurs des internautes au mois de mai.
Galerie des Trojan.Winlock
Nouveaux bootkits
Au mois de mai, les développeurs de Doctor Web ont découvert de nouveaux types de bootkits (sorte de rootkits qui se dissimulent dans la partie de téléchargement du disque et s’active avant même la mise en marche de tout le système) comme Trojan.Alipop et Trojan.Hashish. Le premier est orienté sur les utilisateurs chinois et provoque une modification du fonctionnement du calculateur des logs (montre leur nombre plus beaucoup plus grand) lors des visites de certains sites. Le second boot – virus est destiné à activer les modules qu’il contient et qui peuvent être utiles aux pirates. LeTrojan.Hashish contient les objets malicieux de la famille Win32.HLLC.Asdas, utilisés pour générer de bandeaux sur de faux sites web. Il contient un logiciel qui contamine les fichiers exécutifs.
Les spécialistes de Doctor Web ont élaboré d’urgence, dans le scanner Dr.Web à interface graphique, les moyens de désinfection de ces nouveaux types de bootkits. Plusieurs produits antivirus présents sur le marché ne possèdent pas de moyens de désinfection des bootkits directement à partir du système contaminé, tandis que les procédés alternatifs peuvent être inaccessibles aux utilisateurs non-qualifiés. Disons simplement que plusieurs antivirus ne sont pas même capables de détecter la présence du bootkit dans le système.
Les faux antivirus diminuent
Même si au mois de mai, la tendance à une réduction considérable de la diffusion du Trojan.Fakealert a été visible, les pirates ont amélioré sa qualité. Les ressources IT européennes consacrées à la lutte contre les logiciels malicieux ont publiés des manuels de plus en plus complexes sur la désinfection des nouveaux faux antivirus. Mais les pirates travaillent également de leur côté et de nouvelles modifications de malwares posent toujours de nouveaux problèmes. Cette « course aux armements » ressemble bien à la lutte contre les bloqueurs de Windows, qui sont diffusés parmi les internautes parlant russe.
Voici une galerie de faux antivirus diffusés le mois dernier.
Galerie des Trojan.Fakealert
Encodeurs
Le mois de mai 2010 a également vu apparaître de nouvelles modifications des encodeurs de fichiers Trojan.Encoder, ainsi que les moyens de les créer. Leur nombre a augmenté à partir du milieu du mois. Ils proposaient à leur victime de communiquer avec les pirates via ISQ ou bien d’envoyer un SMS payant. Le nombre de détections par jour a atteint 1 300 - 1 900 tandis qu’auparavant leur niveau moyen était de 500.
D’autre part, les nouvelles modifications du Trojan.Encoder ont pour but de discréditer Doctor Web. Dans ce cas, les fichiers codés portent le logo de Dr.Web et certains créateurs de virus attribuent même son nom à leurs créations.
Doctor Web prie les internautes de ne pas faire attention à ces provocations et de ne pas hésiter à contacter le laboratoire antivirus Doctor Web aussitôt que des problèmes liés aux trojans encodeurs apparaissent. Ces provocations signifient que nos employés font activement face aux pirates.
Le pourcentage de logiciels malicieux parmi tous les logiciels analysés à l’aide des produits Dr.Web au mois de mai 2010 a diminué dans le trafic de courrier aussi bien que sur les machines des utilisateurs. Cela peut résulter de la diminution notable des faux antivirus (ils ne font plus partie du TOP vingt des malware), aussi bien que de la baisse d’activité de grands botnets.
Fichiers malicieux détectés au mois de mai dans le trafic du courrier électronique
01.05.2010 00:00 - 01.06.2010 00:00 | ||
1 | Trojan.Botnetlog.zip | 112576 (22.36%) |
2 | Win32.HLLM.MyDoom.54464 | 95952 (19.05%) |
3 | Trojan.Winlock.1651 | 49108 (9.75%) |
4 | Win32.HLLW.Shadow.based | 43598 (8.66%) |
5 | Trojan.DownLoad.37236 | 19956 (3.96%) |
6 | Win32.HLLW.Autoruner.4360 | 16815 (3.34%) |
7 | BackDoor.Siggen.17777 | 14187 (2.82%) |
8 | Trojan.Oficla.45 | 12008 (2.38%) |
9 | Trojan.MulDrop.64815 | 8296 (1.65%) |
10 | JS.Click.136 | 6842 (1.36%) |
11 | BAT.Lucky.2671 | 6301 (1.25%) |
12 | Win32.HLLW.Kati | 6181 (1.23%) |
13 | Win32.HLLM.Netsky.18401 | 6056 (1.20%) |
14 | Trojan.MulDrop.55238 | 5556 (1.10%) |
15 | Win32.HLLM.Netsky.35328 | 5447 (1.08%) |
16 | Win32.HLLM.Netsky.based | 5314 (1.06%) |
17 | Win32.HLLM.Netsky | 4859 (0.96%) |
18 | Trojan.DownLoad1.55035 | 4034 (0.80%) |
19 | Exploit.PDF.820 | 3936 (0.78%) |
20 | Trojan.DownLoad1.54042 | 3928 (0.78%) |
Total analysés: | 8,016,805,833 |
Total infectés: | 503,569 (0.00628%) |
Fichiers malveillants détectés au mois de mai sur les ordinateurs des utilisateurs
01.05.2010 00:00 - 01.06.2010 00:00 | ||
1 | Trojan.PWS.Webmonier.364 | 3224492 (13.66%) |
2 | ACAD.Pasdoc | 741227 (3.14%) |
3 | Win32.HLLW.Shadow | 664019 (2.81%) |
4 | Win32.HLLM.Dref | 659756 (2.80%) |
5 | VBS.Sifil | 507591 (2.15%) |
6 | Win32.HLLP.Neshta | 370930 (1.57%) |
7 | Trojan.WinSpy.641 | 364950 (1.55%) |
8 | Win32.HLLP.Jeefo.36352 | 323031 (1.37%) |
9 | Win32.HLLW.Shadow.based | 318348 (1.35%) |
10 | Trojan.Winlock.1678 | 306182 (1.30%) |
11 | Win32.HLLW.Autoruner.21042 | 243231 (1.03%) |
12 | Win32.HLLW.Gavir.ini | 222372 (0.94%) |
13 | Trojan.Winlock.1686 | 191359 (0.81%) |
14 | Win32.HLLW.Autoruner.5555 | 170284 (0.72%) |
15 | Trojan.DownLoad.32973 | 165409 (0.70%) |
16 | Win32.HLLP.PissOff.36864 | 156540 (0.66%) |
17 | Trojan.Inject.8798 | 132271 (0.56%) |
18 | Trojan.Winlock.1793 | 122261 (0.52%) |
19 | Win32.Virut.5 | 113156 (0.48%) |
20 | DDoS.Pamela | 110075 (0.47%) |
Total analysés: | 855,347,743,950 |
Total infectés: | 23,604,815 (0.00276%) |
Votre avis nous intéresse
Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.
Other comments