Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Menaces virales du mois de mai 2010: il est de nouveau question des bloqueurs de Windows, ainsi que de nouveaux bootkits et encodeurs

Le 1 juin 2010

Le mois de mai 2010 a été marqué par une activité très importante des bloqueurs de Windows (Trojan.Winlock, Trojan.AdultBan), dont une grande partie était des modifications qui ne demandaient plus d’envoyer des SMS payants. Les internautes se sont également heurtés à de nouveaux types d’encodeurs de documents (Trojan.Encoder), ainsi qu’à de nouveaux bootkits que Doctor Web peut désinfecter, tandis que les faux antivirus (Trojan.Fakealert) ont commencé à occuper moins de place dans les rapports statistiques.

Nouvelle vague de bloqueurs

A partir du 14 mai, le serveur de statistiques de Doctor Web a commencé à enregistrer un dépassement de la quantité moyenne de détections des bloqueurs de Windows. Les premiers jours, ce dépassement était assez insignifiant, mais dès le 18 mai, le serveur a enregistré 215 000 détections des Trojan.Winlock et Trojan.AdultBan par jour, contre 1 500 détections par jour auparavant. Cette activité s’est maintenue jusqu’à fin mai.

Même si la vague de diffusion des Trojan.Winlock a été plus importante dans la seconde partie du mois de mai, plus de 920 000 détections de bloqueurs de Windows ont été enregistrées durant tout le mois. Et ce chiffre a dépassé pour la première fois le maximum de janvier 2010.

Bloqueurs sans SMS

A partir du 7 mai, les utilisateurs ont commencé à envoyer des requêtes au support technique se plaignant de bloqueurs qui ne se limitaient plus aux demandes d’envoi de SMS payants, mais réclamaient de leur transférer de l’argent via des terminaux de paiement. Durant tout le mois de mai, les pirates ont utilisé plusieurs systèmes de paiement comme WebMoney, RBKMoney ou "Wallet One". De tels bloqueurs, ainsi que leurs modifications classiques, sont dépistés sans problèmes par les produits antivirus de Dr.Web comme, par exemple, le Trojan.Winlock.

Vers la fin du mois, les internautes ont reçu des propositions de transférer de l’argent sur un compte de portable, enregistré par les pirates chez un des opérateurs russes. Il est à noter que les pirates changent sans cesse ces numéros pour rendre leur dépistage plus difficile.

Dans les notifications envoyées par les nouveaux Trojan.Winlock, il est indiqué que le code de déblocage sera indiqué sur le reçu émis par l’organisme après le transfert de la somme extorquée, si tant est que l’organisme en question émette un tel reçu. Certains pirates ne prévoient même pas de fournir aux internautes les codes de déblocage car une fois l’argent reçu, leur but est atteint.

Les sommes extorquées varient de 250 à 500 roubles, ce qui est plus ou moins égal aux sommes réclamées par les bloqueurs « classiques ».

L’apparition des logiciels malveillants de ce type est devenue le catalyseur de la nouvelle vague de diffusion des bloqueurs qui voient leurs modifications récentes s’ajouter à leurs formes classiques toujours en vigueur. La recherche de nouveaux schémas d’obtention de profit aide les pirates à surmonter les obstacles crées par les sociétés antivirales et les outils de sécurité. Lorsque les pirates apprendront à bien manier les systèmes de paiement automatique, il sera encore plus difficile de leur faire face.

Rappelons que Doctor Web publie régulièrement sur le site Dr.Web Unlocker, les codes de déblocage même pour de nouveaux types de bloqueurs, codifiés par certaines modifications du Trojan.Encoder.

Voici une galerie des bloqueurs de Windows les plus répandus, dépistés sur les ordinateurs des internautes au mois de mai.

Galerie des Trojan.Winlock

Nouveaux bootkits

Au mois de mai, les développeurs de Doctor Web ont découvert de nouveaux types de bootkits (sorte de rootkits qui se dissimulent dans la partie de téléchargement du disque et s’active avant même la mise en marche de tout le système) comme Trojan.Alipop et Trojan.Hashish. Le premier est orienté sur les utilisateurs chinois et provoque une modification du fonctionnement du calculateur des logs (montre leur nombre plus beaucoup plus grand) lors des visites de certains sites. Le second boot – virus est destiné à activer les modules qu’il contient et qui peuvent être utiles aux pirates. LeTrojan.Hashish contient les objets malicieux de la famille Win32.HLLC.Asdas, utilisés pour générer de bandeaux sur de faux sites web. Il contient un logiciel qui contamine les fichiers exécutifs.

Les spécialistes de Doctor Web ont élaboré d’urgence, dans le scanner Dr.Web à interface graphique, les moyens de désinfection de ces nouveaux types de bootkits. Plusieurs produits antivirus présents sur le marché ne possèdent pas de moyens de désinfection des bootkits directement à partir du système contaminé, tandis que les procédés alternatifs peuvent être inaccessibles aux utilisateurs non-qualifiés. Disons simplement que plusieurs antivirus ne sont pas même capables de détecter la présence du bootkit dans le système.

Les faux antivirus diminuent

Même si au mois de mai, la tendance à une réduction considérable de la diffusion du Trojan.Fakealert a été visible, les pirates ont amélioré sa qualité. Les ressources IT européennes consacrées à la lutte contre les logiciels malicieux ont publiés des manuels de plus en plus complexes sur la désinfection des nouveaux faux antivirus. Mais les pirates travaillent également de leur côté et de nouvelles modifications de malwares posent toujours de nouveaux problèmes. Cette « course aux armements » ressemble bien à la lutte contre les bloqueurs de Windows, qui sont diffusés parmi les internautes parlant russe.

Voici une galerie de faux antivirus diffusés le mois dernier.

Galerie des Trojan.Fakealert

Encodeurs

Le mois de mai 2010 a également vu apparaître de nouvelles modifications des encodeurs de fichiers Trojan.Encoder, ainsi que les moyens de les créer. Leur nombre a augmenté à partir du milieu du mois. Ils proposaient à leur victime de communiquer avec les pirates via ISQ ou bien d’envoyer un SMS payant. Le nombre de détections par jour a atteint 1 300 - 1 900 tandis qu’auparavant leur niveau moyen était de 500.

D’autre part, les nouvelles modifications du Trojan.Encoder ont pour but de discréditer Doctor Web. Dans ce cas, les fichiers codés portent le logo de Dr.Web et certains créateurs de virus attribuent même son nom à leurs créations.

Doctor Web prie les internautes de ne pas faire attention à ces provocations et de ne pas hésiter à contacter le laboratoire antivirus Doctor Web aussitôt que des problèmes liés aux trojans encodeurs apparaissent. Ces provocations signifient que nos employés font activement face aux pirates.

Le pourcentage de logiciels malicieux parmi tous les logiciels analysés à l’aide des produits Dr.Web au mois de mai 2010 a diminué dans le trafic de courrier aussi bien que sur les machines des utilisateurs. Cela peut résulter de la diminution notable des faux antivirus (ils ne font plus partie du TOP vingt des malware), aussi bien que de la baisse d’activité de grands botnets.

Fichiers malicieux détectés au mois de mai dans le trafic du courrier électronique

01.05.2010 00:00 - 01.06.2010 00:00
1 Trojan.Botnetlog.zip 112576 (22.36%)
2 Win32.HLLM.MyDoom.54464 95952 (19.05%)
3 Trojan.Winlock.1651 49108 (9.75%)
4 Win32.HLLW.Shadow.based 43598 (8.66%)
5 Trojan.DownLoad.37236 19956 (3.96%)
6 Win32.HLLW.Autoruner.4360 16815 (3.34%)
7 BackDoor.Siggen.17777 14187 (2.82%)
8 Trojan.Oficla.45 12008 (2.38%)
9 Trojan.MulDrop.64815 8296 (1.65%)
10 JS.Click.136 6842 (1.36%)
11 BAT.Lucky.2671 6301 (1.25%)
12 Win32.HLLW.Kati 6181 (1.23%)
13 Win32.HLLM.Netsky.18401 6056 (1.20%)
14 Trojan.MulDrop.55238 5556 (1.10%)
15 Win32.HLLM.Netsky.35328 5447 (1.08%)
16 Win32.HLLM.Netsky.based 5314 (1.06%)
17 Win32.HLLM.Netsky 4859 (0.96%)
18 Trojan.DownLoad1.55035 4034 (0.80%)
19 Exploit.PDF.820 3936 (0.78%)
20 Trojan.DownLoad1.54042 3928 (0.78%)

Total analysés:8,016,805,833
Total infectés:503,569 (0.00628%)

Fichiers malveillants détectés au mois de mai sur les ordinateurs des utilisateurs

01.05.2010 00:00 - 01.06.2010 00:00
1 Trojan.PWS.Webmonier.364 3224492 (13.66%)
2 ACAD.Pasdoc 741227 (3.14%)
3 Win32.HLLW.Shadow 664019 (2.81%)
4 Win32.HLLM.Dref 659756 (2.80%)
5 VBS.Sifil 507591 (2.15%)
6 Win32.HLLP.Neshta 370930 (1.57%)
7 Trojan.WinSpy.641 364950 (1.55%)
8 Win32.HLLP.Jeefo.36352 323031 (1.37%)
9 Win32.HLLW.Shadow.based 318348 (1.35%)
10 Trojan.Winlock.1678 306182 (1.30%)
11 Win32.HLLW.Autoruner.21042 243231 (1.03%)
12 Win32.HLLW.Gavir.ini 222372 (0.94%)
13 Trojan.Winlock.1686 191359 (0.81%)
14 Win32.HLLW.Autoruner.5555 170284 (0.72%)
15 Trojan.DownLoad.32973 165409 (0.70%)
16 Win32.HLLP.PissOff.36864 156540 (0.66%)
17 Trojan.Inject.8798 132271 (0.56%)
18 Trojan.Winlock.1793 122261 (0.52%)
19 Win32.Virut.5 113156 (0.48%)
20 DDoS.Pamela 110075 (0.47%)

Total analysés:855,347,743,950
Total infectés:23,604,815 (0.00276%)

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg