Revenir vers la liste d'actualités
Aperçu de l’activité virale et spam du mois de janvier 2008
Le service de veille antivirale de Doctor Web présente l'analyse de l’activité virale et spam du mois de janvier 2008.
Le mois de janvier s’est montré assez calme en ce qui concerne l’activité virale. Le trafic mail est marqué par la présence permanente de modifications de Storm Worm. Seules les techniques d’ingénierie sociale ont varié : les thèmes sur le Nouvel an et Noël ont cédé la place aux sujets relatifs à la Saint-Valentin, via le Trojan.Packed.336. Très actifs début janvier, les envois de ce type ont presque disparu vers la fin du mois. Le module antispam de Dr.Web a classé ces messages comme spam dès leur apparition.
Une poussée de l’activité des envois spam a été constatée en milieu de mois. Ces spams contenaient dans la pièce-jointe un fichier exécutable qui a été classé comme Win32.HLLM.Limar.2246. Une fois lancé, ce fichier établissait une connexion avec un serveur distant afin de procéder à l’installation du corps de Win32.HLLM.Limar.
La troisième semaine a été marquée par l’envoi du Trojan.MulDrop.10487, installateur du programme d’envois de spams de type BackDoor.Bulknet.
Le 26 janvier a marqué le pic d’envoi de ce spam, avec un taux de présence du Trojan.MulDrop.10487 d’environ 40% dans tout le trafic mail infecté.
Un des événements remarquables du mois de janvier a été l’activité du programme malicieux apparu à la fin de l’année dernière : le nouveau rootkit MBR - BackDoor.MaosBoot, qui s’inscrit dans le secteur boot du disque dur et utilise des technologies rootkits pour rester invisible dans le système d’exploitation infecté. Dr.Web est le premier antivirus capable de nettoyer ce programme malicieux sans outils complémentaires.
Activité spam
Outre les vagues de spams décrites ci-dessus qui ont été générées par la diffusion de programmes malicieux ainsi que les vagues réitératives liées aux activités des virus mentionnés, il est à noter l’envoi massif de messages proposant d’acheter des logiciels de toute sorte.
Des envois publicitaires de type invitation à des séminaires, liquidation d’entreprises ou moyens d’éviter la taxation ainsi que des propositions d’acheter des médicaments de type viagra et cialis ont été constatés quotidiennement. A partir du 10 janvier, on a pu constater une poussée d’envois sur les moyens de diminuer les paiements fiscaux.
Une particularité caractéristique du spam propagé via les canaux alternatifs consiste à utiliser l’ICQ pour la diffusion de programmes de la famille Trojan.PWS.LDPinch à l’aide de liens de téléchargement sous forme de photos, de notifications sur de soi-disant nouvelles versions etc. Des tentatives pour diffuser la nouvelle version du Trojan. Plastix via ICQ ont été détectées le 17 janvier.
Statistiques virales au mois de janvier 2008
| Tableaux 1. Top 20 les plus fréquemment détectés sur les serveurs de messagerie | ||
| 1 | Win32.HLLM.Netsky.35328 | 165729 (30.38%) |
| 2 | Win32.HLLM.Netsky | 53876 (9.88%) |
| 3 | Win32.HLLM.Netsky.based | 45231 (8.29%) |
| 4 | Win32.HLLP.PissOff.36864 | 34810 (6.38%) |
| 5 | Win32.HLLM.MyDoom.based | 32736 (6.00%) |
| 6 | Win32.HLLP.Sector | 19869 (3.64%) |
| 7 | Win32.HLLM.Perf | 18358 (3.37%) |
| 8 | Win32.HLLM.Beagle | 17904 (3.28%) |
| 9 | Exploit.MS05-053 | 16295 (2.99%) |
| 10 | Win32.HLLM.Oder | 13390 (2.45%) |
| 11 | Trojan.MulDrop.10487 | 13299 (2.44%) |
| 12 | Win32.HLLM.Limar.based | 9169 (1.68%) |
| 13 | Win32.HLLM.Netsky.24064 | 8078 (1.48%) |
| 14 | BAT.Zeke.324 | 6708 (1.23%) |
| 15 | Win32.HLLM.MyDoom.33808 | 6665 (1.22%) |
| 16 | Win32.Virut | 5817 (1.07%) |
| 17 | BackDoor.Bulknet.118 | 5653 (1.04%) |
| 18 | Win32.HLLM.Netsky.28008 | 4421 (0.81%) |
| 19 | Win32.HLLM.Limar.2246 | 3942 (0.72%) |
| 20 | Win32.HLLM.MyDoom.33 | 3927 (0.72%) |
| Tableau 2. Top 20 les plus fréquemment détectés sur les PC des utilisateurs | ||
| 1 | DDoS.Kardraw | 215902 (12.46%) |
| 2 | Program.RemoteAdmin | 182702 (10.54%) |
| 3 | Win32.HLLM.Lovgate.2 | 143971 (8.31%) |
| 4 | VBS.Igidak | 81180 (4.68%) |
| 5 | Trojan.Recycle | 69347 (4.00%) |
| 6 | Win32.HLLW.Autoruner.274 | 62268 (3.59%) |
| 7 | Win32.HLLP.PissOff.36864 | 51922 (3.00%) |
| 8 | Win32.HLLP.Zurx | 51641 (2.98%) |
| 9 | VBS.Generic.458 | 39691 (2.29%) |
| 10 | Trojan.Rox | 38619 (2.23%) |
| 11 | Win32.HLLP.Jeefo.36352 | 36237 (2.09%) |
| 12 | Win32.HLLM.Generic.440 | 30076 (1.74%) |
| 13 | Trojan.Regger | 27025 (1.56%) |
| 14 | Trojan.MulDrop.9985 | 26861 (1.55%) |
| 15 | Trojan.DownLoader.42681 | 24014 (1.39%) |
| 16 | Trojan.Virtumod.260 | 21661 (1.25%) |
| 17 | Adware.BitAcc | 20558 (1.19%) |
| 18 | Win32.Sector.4 | 18708 (1.08%) |
| 19 | Win32.HLLW.Autoruner.1053 | 18356 (1.06%) |
| 20 | Win32.Alman | 18058 (1.04%) |
Appréciez
Partagez
![[VK]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Dites "J'aime"
![[facebook]](http://st.drweb.com/static/new-www/social/no_radius/facebook.png)
Votre avis nous intéresse
Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.
Other comments