Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Aperçu de l’activité virale du mois de juillet 2008 présenté par Doctor Web, Ltd.

Le 4 août 2008

Le service de veille antivirale de Doctor Web présente l'analyse de l’activité virale du mois de juillet 2008.

Les retentissantes épidémies virales appartiennent désormais au passé. Elles ont cédé leur place à un combat silencieux, invisible pour l'utilisateur non averti. Le mois de juillet nous en fait la démonstration et cet aperçu aurait pu s’intituler « Aperçu de l’activité des trojans », puisque ce sont des Chevaux de Troie de toutes sortes qui ont accaparé le devant de la scène durant le mois de Juillet.

A propos des Chevaux de Troie

Parmi les trojans les plus intéressants du point de vue de l’analyse, et en ce qui concerne l'algorithme permettant leur neutralisation, nous pouvons mentionner ceux de la famille Virtumod (selon le classement d’autres éditeurs antivirus Virtumonde/Vundo/Monder). Ces trojans ne figurent pas encore dans le top 10 des programmes malicieux les plus répandus mais ils se font déjà remarquer. Seuls quelques antivirus sont capables de les détecter et de les neutraliser. Ce sont les algorithmes utilisés pas l’auteur de ces trojans qui posent problème aux éditeurs antivirus. L’auteur du trojan développe plusieurs axes d’évolution (3 à 4) du packer polymorphe. Depuis les derniers mois, ce sont environs 10 modifications qui sont sorties, compte tenu du fait que des dizaines de milliers d’échantillons correspondent à chaque type de packer. Cette information est prouvée non seulement par les bases de Dr.Web, mais également pas les collections d’autres éditeurs antivirus ainsi que par les échantillons reçus constamment depuis le serveur de l’analyse antivirus en ligne.

Virtumod – n’est pas le seul représentant actif du « polymorphisme off-line ». Il est tout à fait flagrant que, sans développer les contre mesures technologiques permettant d’ajouter rapidement la détection des packers polymorphes dans le moteur antivirus, la situation va bientôt devenir très difficile.

Ces derniers temps, un autre trojan a largement été diffusé – Trojan.Clb. Il comporte un rootkit et utilise la technique splicing pour cacher les fichiers et certaines branches de la base de registre. Le trojan Trojan.DnsChange.967 mérite également d’être mentionné, il remplace l’adresse DNS du serveur sur les routeurs permettant la configuration depuis l’interface web. Ceci est particulièrement dangereux pour les utilisateurs des réseaux sans fil, dont les routeurs sont souvent configurés via l'interface web. Les utilisateurs de tel service sans fil, qui travaillent par exemple via Wifi, peuvent facilement devenir les victimes de ce remplacement de DNS, à la suite duquel leurs données confidentielles peuvent être aspirées.

Autre fauteur de troubles : le représentant de la famille Trojan.Okuks. Sa détection ne pose aucun problème pour la plupart des éditeurs antivirus mais il n’en est pas de même pour sa neutralisation. Dans le cas où un antivirus n'est pas capable de réparer correctement le système infecté par ce type de trojan, par exemple lorsque le fichier est supprimé mais sans nettoyer la base de registre, la machine va tomber en BSOD directement après le redémarrage.

A propos des « leaders »

Il s’agit des vers de la famille Autoruner, qui sont souvent soumis à l’analyse de Doctor Web via le scanner en ligne.

Ces vers utilisent comme mode de transport les cartes flash qui sont très répandues aujourd’hui. On en utilise partout, au travail, à la maison etc. Mais cette commodité s’accompagne d’un grand risque compte tenu du fait que les virus sont de plus en plus diffusés à l'aide de tels supports amovibles. Non seulement les cartes flash sont visées par les virus mais aussi tout support amovible pouvant être connecté à une machine par le port USB : appareils photos, vidéo, cadres photographiques, téléphones mobiles. Sur le serveur de statistiques de Doctor Web qui affiche la situation globale sur les serveurs protégés par Dr.Web, le vers de la famille Autoruner est au premier rang des menaces au mois de juillet.

Tableaux 1. Top 10 les plus fréquemment détectés sur les serveurs de messagerie au mois de juillet 2008

 01.07.2008 00:00 - 31.07.2008 23:00 
1Win32.HLLW.Autoruner.437239451 (18.39%)
2Win32.Dref109607 (8.42%)
3Win32.HLLM.Netsky.3532889795 (6.90%)
4Win32.HLLM.Netsky.based45561 (3.50%)
5Win32.HLLM.Beagle42279 (3.25%)
6Win32.HLLM.MyDoom.based28334 (2.18%)
7Win32.HLLM.Generic.44026898 (2.07%)
8Adware.Cydoor26143 (2.01%)
9Win32.HLLP.Jeefo.3635224710 (1.90%)
10Win32.Virut22588 (1.73%)
11Trojan.MulDrop.1672722380 (1.72%)
12Trojan.Starter.54421632 (1.66%)
13Win32.Sector.2048021616 (1.66%)
14Win32.Alman21354 (1.64%)
15VBS.Igidak19669 (1.51%)
16Danish.based18572 (1.43%)
17Trojan.MulDrop.647418481 (1.42%)
18Win32.HLLW.Gavir.ini17191 (1.32%)
19Win32.HLLW.Autoruner.183115596 (1.20%)
20Trojan.Packed.51113550 (1.04%)

Tableau 2. Top 10 les plus fréquemment détectés sur les PC au mois de juillet 2008

 01.07.2008 00:00 - 31.07.2008 23:00 
1Trojan.Starter.516202341 (18.09%)
2Win32.HLLW.Gavir.ini106435 (9.51%)
3Win32.HLLW.Autoruner.27491205 (8.15%)
4Trojan.Recycle90006 (8.05%)
5Win32.HLLW.Autoruner.43776710 (6.86%)
6Trojan.Starter.54472730 (6.50%)
7JS.Nimda40157 (3.59%)
8VBS.Redlof38242 (3.42%)
9Win32.HLLM.Generic.44037992 (3.40%)
10Win32.HLLP.Whboy24129 (2.16%)
11Win32.HLLW.Autoruner.227221893 (1.96%)
12Adware.SaveNow.12817982 (1.61%)
13Program.RemoteAdmin17230 (1.54%)
14BackDoor.IRC.Sdbot.5515902 (1.42%)
15Win32.HLLP.PissOff.3686415670 (1.40%)
16Win32.HLLP.Jeefo.3635213282 (1.19%)
17Trojan.Packed.51111425 (1.02%)
18VBS.Generic.5488984 (0.80%)
19Win32.HLLP.Sector8273 (0.74%)
20Exploit.IFrame.418101 (0.72%)

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg