Le service de veille antivirale de Doctor Web présente l'analyse de l’activité virale du mois de juin 2008.

Situation virale

Le fauteur de troubles au mois de juin est sans aucun doute un virus de fichiers très dangereux Win32.Sector.5 (classé par certains éditeurs antivirus comme Sality) qui à connu une propagation accrue. Le nombre d’appels au support technique Doctor Web de la part des entreprises concernées permet de parler d’une véritable épidémie. Les utilisateurs atteints par ce virus témoignent que les premiers cas d’infection avec cette modification virale de la famille Sector datent du mois de février 2008. Le mois dernier l’épidémie prend une envergure impressionnante et inquiétante. Parmi les victimes on peut compter des banques, des réseaux commerciaux, des développeurs de logiciel, des institutions de recherches et des sociétés d'ingénierie ainsi que des établissements nationaux de culture.

Les premiers exemples de la famille Sector sont apparus au début de 2003. Depuis 5 ans le virus a évolué tout en gardant ces caractéristiques malicieuses auxquelles ont été ajoutés de nouveaux aspects. A chaque version le virus devenait de plus en plus silencieux, n’informant pas ses victimes de sa présence sur leurs PC. Les spécialistes du laboratoire antivirus de Doctor Web assimilent ce type de transformation du virus à un signe de son utilisation éventuelle aux fins de dissimulation d'autres programmes malicieux moins sophistiqués mais néanmoisn aussi dangereux. Ces derniers pourraient avoir été créés pour le vol d'information confidentielle ou pour les attaques spam.

Une fois pénétré l'OS, Win32.Sector.5 implante son code dans la mémoire de tous les processus en cours, efface certaines branches de la base de registre et rend ainsi impossible le redémarrage en mode sans échec. Il infecte ensuite les fichiers ayant l'extension .exe et .scr sur tous les disques accessibles et sur les ressources réseau. Pour une propagation rapide, le virus infecte également les fichiers d’auto démarrage et ceux qui sont fréquemment lancés. De plus, Win32.Sector.5 supprime les fichiers et les processus antivirus et bloque l'accès aux sites web des éditeurs antivirus pour empêcher le téléchargement des mises à jour. A la différence d’autre antivirus qui peuvent verrouiller ou supprimer le fichier infecté par Win32.Sector.5, Dr.Web est capable de réparer tels fichiers. Les utilisateurs de l’antivirus Dr.Web qui mettent à jour régulièrement leurs bases virales sont hors de danger. Si vous utilisez un autre antivirus mais pensez que votre PC peut être infecté par Win32.Sector.5, il est fortement recommandé de vérifier votre machine avec le kit de désinfection gratuit CureIt ! qui est disponible en téléchargement ici. ici.

A propos des trojans

Le début juin est marqué par l'apparition d'une nouvelle modification du trojan de la famille Encoder – Trojan.Encoder.18 selon le classement Dr.Web (Gpcode en classement d’autres éditeurs antivirus). Après s’être introduit dans le système, le trojan recherche les fichiers ayant les extensions voulues (notamment des fichiets de MS Office) et encrypte ensuite les données contenues dans lesdits fichiers. Puis le programme malicieux propose à l'utilisateur de payer pour pouvoir décrypter les données. Dans le cas décrit ci-dessus le décryptage de données présente un problème très compliqué puisque l'auteur du virus a utilisé la clé de 1024 bits.

Les utilisateurs de l’antivirus Dr.Web sont bien protégés contre Trojan.Encoder.18. En effet, grâce à la technologie de détection sans signature - Dr.Web Origins Tracing™ - utilisée par Dr.Web, ce virus est détecté comme Trojan.Sespy.origin bien avant la détection de ladite modification par le service de veille antivirale Doctor Web.

Un tel scénario était prévisible l’année dernière. L’auteur de Trojan.Encoder avait utilisé des clés d'encryptage plus courtes. Certains éditeurs antivirus ont profité de telle maladresse du malfaiteur pour démontrer leurs capacités en matière de décryptage. Mais il est évident que les chances de victoire dans ce genre compétition étaient illusoires. Il fallait s’attendre à voir apparaître tôt ou tard une clé assez longue dont le déchiffrage rapide serait impossible.

La mission des spécialistes de Doctor Web est de mettre en œuvre une détection préventive des programmes potentiellement dangereux. L’objectif est d’empêcher ces derniers de réaliser sa fonction destructrice. Comme la pratique le démontre, cette conception est beaucoup plus efficace que les tentatives de mobiliser la communauté internationale pour "hacker" des clés RSA de quelques ko.

Quand l’utilisateur crée ses faux positifs

Le 22 juin, une curieuse panique s'est emparée des utilisateurs de messagerie instantanée ICQ. Celle-ci fut due à l’apparition dans leur liste de contacts d’un nouveau contact soi-disant viral ayant le numéro 12111. Le service support de Doctor Web reçu un grand nombre d’appels et eu du mal à expliquer que le contact ne pouvait être envisagé comme virus, ceci avant que le problème ne soit pas expliqué sur le site ICQ.

Activité spam

Le mois de juin a été marqué par une diminution de la taille des spams. Nous avons constaté plusieurs dizaines de vagues spam avec des en-têtes attirants et dont le corps comportait un lien de téléchargement avec un commentaire de quelques mots. Les derniers temps la redirection vers des sites web devient de plus en plus populaire chez des spammeurs en tant que moyen pour déjouer les filtres antispam. Il est à noter que cette technique renferme un véritable danger puisque les liens redirigent souvent vers des pages infectées, depuis lesquelles les utilisateurs risquent de télécharger un trojan. Le mois dernier le service de veille antivirale de Doctor Web attirait déjà l’attention des utilisateurs sur de tels envois. Le service de veille antivirale a constaté plus de 50 envois similaires dont la majeure partie présente des envois spam de longue durée.