Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Nouveaux Trojans ciblant le e-banking, de nouveaux schémas d'escroquerie dans les réseaux sociaux et autres événements de janvier 2012

Le 08 février 2012

Le début de l’année 2012 n’a pas apporté de surprises mais le laboratoire Doctor Web a reçu quelques exemplaires curieux de programmes malveillants, notamment des trojans visant les systèmes de e-banking, des schémas de propagation de liens malveillants et une nouvelle escroquerie contre le réseau social Vkontakte.

Les menaces de janvier

Le leader des détections par Dr.Web CureIt! est Win32.Expiro.23 (19,23% cas de détection), qui augmente ses droits dans l'OS, recherche les processus lancés et remplace leurs fichiers.

Le numéro deux est Win32.Rmnet.8 (8,86% de cas),virus pénétrant via les périphériques amovibles infectés et capable de s’auto reproduire (faire une copie de lui-même) à l’insude l’utilisateur. Ce programme infecte les fichiers .exe, .dll, .scr, .html, .htm, et dans certains cas .doc et .xls, de plus il est capable de créer un processus autorun.inf. Tout de suite après son lancement, Win32.Rmnet modifie le MBR et enregistre un service Microsoft Windows Service (celui-ci peut jouer le rôle d'un rootkit dans l'OS), puis il cherche à supprimer le service RapportMgmtService, en intégrant des modules malveillants intitulés iexplore.exe. Win32.Rmnet vole les mots de passe des clients ftp Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP. Ces informations peuvent ensuite être utilisées par les malfaiteurs pour les attaques réseau ou le stockage de différents objets malveillants sur des serveurs distants. Nous trouvons assez souvent deux autres virus Trojan.WMALoader et Trojan.Inor.

Les menaces visant le e-banking

Une nouvelle modification du Trojan.PWS.Ibank a été détectée en janvier, ce programme malveillant permet de transmettre aux pirates les données, les clés et les informations sur les configurations d'un grand nombre de logiciels de e-banking. La particularité de cette modification est la compatibilité avec un serveur VNC. Le code du serveur permet de travailler avec un protocole de serveur Zeus (Trojan.PWS.Panda), effectuant une gestion à distance. De plus, ce trojan possède un module servant à intercepter les informations traitées par le logiciel le plus répandu dans les institutions financières publiques en Russie. Ce trojan possède une architecture complexe et permet aux malfaiteurs d’effectuer des commandes depuis un serveur distant. Les informations techniques importantes ont été transmises directement aux institutions judiciaires.

Un autre programme malveillant détecté par Doctor Web devait permettre de réaliser une attaque de phishing sur les clients d’une banque russe. Le Trojan.Hosts.5590 crée un nouveau processus, y insère son propre code, s’enregistre dans la clé autorun du registre sous le nom Eldesoft.exe.

screen

Si l’utilisateur utilise Microsoft Internet Explorer pour accéder à son site de e-banking, le trojan lance la fonction crypt32.dll pour installer un faux certificat. Le trojan intercepte le message de l'OS demandant une confirmation de création d'un nouveau certificat.

screen

Si un autre navigateur est utilisé pour accéder au site de e-banking, le trojan utilise la bibliothèque nss3.dll pour installer son certificat. Contactant le centre de commande distant, le Trojan.Hosts.5590 reçoit un fichier de configuration avec une adresse IP de serveur de phishing et les noms de sites de e-banking que le trojan doit remplacer. Ensuite, une fausse page sera affichée à l’utilisateur via HTTPS, et les données d’identification seront transmises aux malfaiteurs. Grâce aux actions du service de sécurité de la banque ainsi qu'aux efforts des spécialistes Doctor Web, ce programme malveillant ne représente pas de danger pour les utilisateurs.

L’action des Winlocks diminue

Le nombre de personnes qui se sont adressées au support technique parce que leurs PC ont été bloqués par les winlock a diminué de 25%.

Ceci est lié non seulement à la diminution des modifications de ce trojan mais également au service www.drweb.com/xperf/unlocker, permettant de trouver le code de déblocage du PC bloqué par le Trojan.Winlock. De 13 à 15 000 utilisateurs en moyenne visitent cette page par jour.

Mais il existe des winlock ne possédant pas de code de déblocage, comme le Trojan.Winlock.5490, menaçant les français et ce lançant uniquement sur les PC localisés en français. Durant son lancement, le trojan vérifie s'il n'est pas lancé sur les machines virtuelles : VirtualBox, QEmu, VMWare etc, si oui, il arrête de fonctionner.

screen

Il lance le processus svchost.exe et introduit son code dans ce processus, puis il masque le Panneau de configuration Windows et arrête tous les processus explorer.exe et taskmgr.exe. Ensuite, il s’inscrit dans la clé autorun du registre et affiche un message demandant de payer 100 euros avec une carte de paiement Paysafecard ou Ukash. Les données de la carte de crédit sont envoyées sur le serveur et l’utilisateur reçoit un message : Veuillez attendre, votre paiement sera traité dans les 24 heures. Le trojan ne possède pas de code de déblocage et se supprime au bout d’une semaine. Doctor Web a néanmoins mis en place une procédure pour tenter de débloquer les PC infectés par une variante de Trojan.Winlock.

Les utilisateurs de Vkontakte de nouveau menacés

Les utilisateurs de Vkontakte surfant dans le réseau social depuis des mobiles supportant le Java ont vu augmenter le nombre de messages spam reçus via ICQ . Les malfaiteurs proposent de télécharger une application Vkontakte pour mobile.

screen

Le programme est un fichier .jar capable de se lancer sur presque tout mobile Java. Pendant l‘installation, l'application envoie un SMS sur un numéro payant et demande d’introduire le code reçu sur la page des malfaiteurs, c’est ainsi que l’utilisateur s’abonne à un service payant.

screen screen

Les résultats des moteurs de recherche

Les méthodes d’escroquerie ne cessent de se développer. En janvier, les pirates ont travaillé sur les résultats des moteurs de recherche.

Suite à une recherche sur un moteur, plusieurs pages s’affichent avec des liens vers des pages web correspondant à la requête (Search Engine Results Page, SERP). Les utilisateurs peuvent ouvrir plusieurs pages de résultats dans leur navigateur puis les consulter l’une après l’autre. Parmi une de ces pages, peut se trouver une fausse page, une page créée par des pirates, or, la plupart des utilisateurs font confiance aux résultats des moteurs de recherche et ne se méfient pas. Les pirates ont même créé de fausses pages de navigateurs, ainsi, le site LiveTool est une copie pirate d’un grand navigateur russe, Yandex. En cliquant sur le lien "A propos de l'entreprise", l’internaute est redirigé vers une fausse page du réseau social Vkontakte.

screen screen

Une fausse page peut s’afficher dans les résultats d’une vraie page de navigateur. Une page SERP créée par des pirates contient les liens correspondants à la recherche de l’utilisateur pour qu’elle ne soit pas suspecte. C’est le passage sur la fausse page SERP, en cliquant sur un lien affiché dans les résultats de la recherche, qui fait que l’utilisateur se retrouve sur des pages pirates propageant un logiciel malveillant. Aujourd’hui, parmi les fausses pages, nous trouvons surtout des copies de réseaux sociaux et des sites propageant des Trojan.SmsSend.

Si, auparavant, les malfaiteurs créaient surtout de fausses pages de réseaux sociaux, maintenant la tendance a changé, des navigateurs entiers sont copiés avec des résultats de recherche correspondants.

Fichiers malveillants détectés dans le courrier électronique en janvier

 01.01.2012 00:00 - 31.01.2012 18:00 
1Trojan.DownLoad2.24758974126 (28.66%)
2Trojan.Oficla.zip831616 (24.47%)
3Trojan.Tenagour.9423106 (12.45%)
4Trojan.Inject.57506258383 (7.60%)
5EICAR Test File (NOT a Virus!)198666 (5.84%)
6Trojan.DownLoad2.32643132938 (3.91%)
7Trojan.Tenagour.3110835 (3.26%)
8Trojan.Siggen2.5868666624 (1.96%)
9Trojan.Siggen2.6202666398 (1.95%)
10Win32.HLLM.Netsky.1851653409 (1.57%)
11Trojan.DownLoad2.3460444053 (1.30%)
12Trojan.Packed.1969644038 (1.30%)
13Trojan.DownLoader5.2645825809 (0.76%)
14Trojan.Siggen.6507024806 (0.73%)
15Trojan.DownLoader4.589022291 (0.66%)
16Trojan.DownLoader4.3140422145 (0.65%)
17Trojan.DownLoader5.88621686 (0.64%)
18Trojan.DownLoader4.6118221133 (0.62%)
19Trojan.PWS.Panda.151320104 (0.59%)
20BackDoor.Bifrost.232846113 (0.18%)

Total analysés: 1,149,052,932
Virus détectés: 3,399,130 (0.30%)

Fichiers malveillants détectés sur les PC des utilisateurs en janvier

 01.01.2012 00:00 - 31.01.2012 18:00 
1Win32.Rmnet.1223948173 (30.31%)
2JS.Click.21814651677 (18.54%)
3JS.IFrame.1178323572 (10.53%)
4Win32.HLLP.Neshta8098226 (10.25%)
5JS.IFrame.1123734140 (4.73%)
6JS.IFrame.953312785 (4.19%)
7Trojan.IFrameClick.32716412 (3.44%)
8Win32.Virut2672403 (3.38%)
9Trojan.MulDrop1.485421946447 (2.46%)
10Trojan.Hosts.50061369212 (1.73%)
11Trojan.DownLoader.17772906094 (1.15%)
12Trojan.PWS.Ibank.474562056 (0.71%)
13Win32.HLLP.Whboy.45415298 (0.53%)
14Trojan.DownLoader5.18057339809 (0.43%)
15JS.IFrame.176319449 (0.40%)
16Trojan.Packed.22271318517 (0.40%)
17Trojan.PWS.Ibank.456280158 (0.35%)
18Trojan.DownLoader.42350221567 (0.28%)
19Win32.Virut.56218322 (0.28%)
20JS.Autoruner213647 (0.27%)

Total analysés: 114,007,715,914
Virus détectés: 79,017,655 (0.07%)

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web
Expérience dans le développement depuis 1992
Les internautes dans plus de 200 pays utilisent Dr.Web
L'antivirus est fourni en tant que service depuis 2007
Support 24/24

Dr.Web © Doctor Web
2003 — 2020

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg