Revenir vers la liste d'actualités
Aperçu de l’activité virale du mois de juillet 2008 présenté par Doctor Web, Ltd.
Le service de veille antivirale de Doctor Web présente l'analyse de l’activité virale du mois de juillet 2008.
Les retentissantes épidémies virales appartiennent désormais au passé. Elles ont cédé leur place à un combat silencieux, invisible pour l'utilisateur non averti. Le mois de juillet nous en fait la démonstration et cet aperçu aurait pu s’intituler « Aperçu de l’activité des trojans », puisque ce sont des Chevaux de Troie de toutes sortes qui ont accaparé le devant de la scène durant le mois de Juillet.
A propos des Chevaux de Troie
Parmi les trojans les plus intéressants du point de vue de l’analyse, et en ce qui concerne l'algorithme permettant leur neutralisation, nous pouvons mentionner ceux de la famille Virtumod (selon le classement d’autres éditeurs antivirus Virtumonde/Vundo/Monder). Ces trojans ne figurent pas encore dans le top 10 des programmes malicieux les plus répandus mais ils se font déjà remarquer. Seuls quelques antivirus sont capables de les détecter et de les neutraliser. Ce sont les algorithmes utilisés pas l’auteur de ces trojans qui posent problème aux éditeurs antivirus. L’auteur du trojan développe plusieurs axes d’évolution (3 à 4) du packer polymorphe. Depuis les derniers mois, ce sont environs 10 modifications qui sont sorties, compte tenu du fait que des dizaines de milliers d’échantillons correspondent à chaque type de packer. Cette information est prouvée non seulement par les bases de Dr.Web, mais également pas les collections d’autres éditeurs antivirus ainsi que par les échantillons reçus constamment depuis le serveur de l’analyse antivirus en ligne.
Virtumod – n’est pas le seul représentant actif du « polymorphisme off-line ». Il est tout à fait flagrant que, sans développer les contre mesures technologiques permettant d’ajouter rapidement la détection des packers polymorphes dans le moteur antivirus, la situation va bientôt devenir très difficile.
Ces derniers temps, un autre trojan a largement été diffusé – Trojan.Clb. Il comporte un rootkit et utilise la technique splicing pour cacher les fichiers et certaines branches de la base de registre. Le trojan Trojan.DnsChange.967 mérite également d’être mentionné, il remplace l’adresse DNS du serveur sur les routeurs permettant la configuration depuis l’interface web. Ceci est particulièrement dangereux pour les utilisateurs des réseaux sans fil, dont les routeurs sont souvent configurés via l'interface web. Les utilisateurs de tel service sans fil, qui travaillent par exemple via Wifi, peuvent facilement devenir les victimes de ce remplacement de DNS, à la suite duquel leurs données confidentielles peuvent être aspirées.
Autre fauteur de troubles : le représentant de la famille Trojan.Okuks. Sa détection ne pose aucun problème pour la plupart des éditeurs antivirus mais il n’en est pas de même pour sa neutralisation. Dans le cas où un antivirus n'est pas capable de réparer correctement le système infecté par ce type de trojan, par exemple lorsque le fichier est supprimé mais sans nettoyer la base de registre, la machine va tomber en BSOD directement après le redémarrage.
A propos des « leaders »
Il s’agit des vers de la famille Autoruner, qui sont souvent soumis à l’analyse de Doctor Web via le scanner en ligne.
Ces vers utilisent comme mode de transport les cartes flash qui sont très répandues aujourd’hui. On en utilise partout, au travail, à la maison etc. Mais cette commodité s’accompagne d’un grand risque compte tenu du fait que les virus sont de plus en plus diffusés à l'aide de tels supports amovibles. Non seulement les cartes flash sont visées par les virus mais aussi tout support amovible pouvant être connecté à une machine par le port USB : appareils photos, vidéo, cadres photographiques, téléphones mobiles. Sur le serveur de statistiques de Doctor Web qui affiche la situation globale sur les serveurs protégés par Dr.Web, le vers de la famille Autoruner est au premier rang des menaces au mois de juillet.
Tableaux 1. Top 10 les plus fréquemment détectés sur les serveurs de messagerie au mois de juillet 2008
| 01.07.2008 00:00 - 31.07.2008 23:00 | ||
| 1 | Win32.HLLW.Autoruner.437 | 239451 (18.39%) |
| 2 | Win32.Dref | 109607 (8.42%) |
| 3 | Win32.HLLM.Netsky.35328 | 89795 (6.90%) |
| 4 | Win32.HLLM.Netsky.based | 45561 (3.50%) |
| 5 | Win32.HLLM.Beagle | 42279 (3.25%) |
| 6 | Win32.HLLM.MyDoom.based | 28334 (2.18%) |
| 7 | Win32.HLLM.Generic.440 | 26898 (2.07%) |
| 8 | Adware.Cydoor | 26143 (2.01%) |
| 9 | Win32.HLLP.Jeefo.36352 | 24710 (1.90%) |
| 10 | Win32.Virut | 22588 (1.73%) |
| 11 | Trojan.MulDrop.16727 | 22380 (1.72%) |
| 12 | Trojan.Starter.544 | 21632 (1.66%) |
| 13 | Win32.Sector.20480 | 21616 (1.66%) |
| 14 | Win32.Alman | 21354 (1.64%) |
| 15 | VBS.Igidak | 19669 (1.51%) |
| 16 | Danish.based | 18572 (1.43%) |
| 17 | Trojan.MulDrop.6474 | 18481 (1.42%) |
| 18 | Win32.HLLW.Gavir.ini | 17191 (1.32%) |
| 19 | Win32.HLLW.Autoruner.1831 | 15596 (1.20%) |
| 20 | Trojan.Packed.511 | 13550 (1.04%) |
Tableau 2. Top 10 les plus fréquemment détectés sur les PC au mois de juillet 2008
| 01.07.2008 00:00 - 31.07.2008 23:00 | ||
| 1 | Trojan.Starter.516 | 202341 (18.09%) |
| 2 | Win32.HLLW.Gavir.ini | 106435 (9.51%) |
| 3 | Win32.HLLW.Autoruner.274 | 91205 (8.15%) |
| 4 | Trojan.Recycle | 90006 (8.05%) |
| 5 | Win32.HLLW.Autoruner.437 | 76710 (6.86%) |
| 6 | Trojan.Starter.544 | 72730 (6.50%) |
| 7 | JS.Nimda | 40157 (3.59%) |
| 8 | VBS.Redlof | 38242 (3.42%) |
| 9 | Win32.HLLM.Generic.440 | 37992 (3.40%) |
| 10 | Win32.HLLP.Whboy | 24129 (2.16%) |
| 11 | Win32.HLLW.Autoruner.2272 | 21893 (1.96%) |
| 12 | Adware.SaveNow.128 | 17982 (1.61%) |
| 13 | Program.RemoteAdmin | 17230 (1.54%) |
| 14 | BackDoor.IRC.Sdbot.55 | 15902 (1.42%) |
| 15 | Win32.HLLP.PissOff.36864 | 15670 (1.40%) |
| 16 | Win32.HLLP.Jeefo.36352 | 13282 (1.19%) |
| 17 | Trojan.Packed.511 | 11425 (1.02%) |
| 18 | VBS.Generic.548 | 8984 (0.80%) |
| 19 | Win32.HLLP.Sector | 8273 (0.74%) |
| 20 | Exploit.IFrame.41 | 8101 (0.72%) |
Appréciez
Partagez
![[VK]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Dites "J'aime"
![[facebook]](http://st.drweb.com/static/new-www/social/no_radius/facebook.png)
Votre avis nous intéresse
Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.
Other comments