Le 2 mars 2011

Les tendances des mois précédents sont restées d'actualité en février 2011. Les bloqueurs de Windows et les trojans voleurs des mots de passe des utilisateurs de banques en ligne sont très actifs et coopèrent énergiquement avec les faux antivirus.

Des trojans qui bloquent Windows

Le concept du « trojan maître-chanteur » s'est montré assez viable. Les concepteurs de ce type de trojans ont essayé un grand nombre de types de virements d'argent et toute une série de solutions techniques, parfois très inattendues. Leur moyen d’action est le blocage de l'OS lors du démarrage.

De nouvelles versions du Trojan.Winlock sont apparues en février 2011, caractérisées par un type spécifique de boîte de dialogue. De plus, les winlock utilisent désormais de nouveaux moyens pour résister à la détection, leur cryptage est de plus en plus complexe et de nouveaux types de programmes codeurs sont utilisés pour « embrouiller » les données. Un des crypteurs assez répandu montre une icône permettant de le reconnaitre:

L'efficacité de l'escroquerie nous permet de supposer que ce type de virus va continuer à se propager. Il est même très probable que ce type d'escroquerie sera de plus en plus recherché.

Les trojans encoder qui cryptent les données

Un autre type de programme escroc, les ransomware — dont les plus répandus aujourd'hui sont les « trojans encoder » — s'est montré assez actif au mois de février. L'auteur du Trojan.Encoder changé l'algorithme plusieurs fois, mais en tout, le nombre de trojan détectés est resté le même. Les spécialistes de Doctor Web ont développé des utilitaires pour décrypter les données attaquées par les trojans de cette famille.

Vols de mots de passe des utilisateurs de systèmes bancaires en ligne

Le Top des virus parmi les voleurs de données bancaires en février 2011 se compose de programmes analogues au trojan déjà célèbre Trojan.PWS.Panda, également connu sous le nom de Zeus. Tous ces programmes sont des modifications du même prototype viral contenant une série d'URL de systèmes bancaires russes, italiens, américains et allemand:

• libertyreserve.com
• perfectmoney.com
• laiki.com
• bankofcyprus.com
• commbank.com.au
• suncorpbank.com.au
• stgeorge.com.au
• online.westpac.com.au
• anz.com
• sparkasse.de
• commerzbanking.de
• finanzportal.fiducia.de
• deutsche-bank.de
• targobank.de
• postbank.de
• csebo.it
• poste.it
• gruppocarige.it
• cedacri.it
• payment.ru
• ibank.alfabank.ru
• chase.com
• capitalone.com

Certains trojans de cette famille sont détectés par Dr.Web comme Trojan.DownLoader2. Ces trojans ont souvent une fonction de « loader », c'est-à-dire qu'ils téléchargent des faux antivirus (Trojan.FakeAlert) et des (BackDoor).

Augmentation des trojans pour Android

En comparaison avec le mois de janvier, le nombre de trojans pour Android a fort augmenté. Les Android.SmsSend sont élaborés avec Java et leur seule fonction est d'envoyer des messages payants sur des numéros courts, par exemple 6008.

Si, en janvier, nous avons détecté un seul modèle de ce genre de logiciel malveillant, en février il en existe déjà six, ce qui nous permet de dégager une tendance prédisant l'apparition prochaine de programmes de plus en plus complexes et dangereux pour Android.

Autres menaces

Parmi les autres menaces, nous pouvons souligner les nouvelles modifications de Win32.Virut et un niveau élevé de détection de vers de mail comme les Win32.HLLM.NetSky et les Win32.HLLM.MyDoom.

Les concepteurs du Trojan.WinSpy ont renouvelé deux fois pendant le mois de février les composants de leur programme. Ceci a surtout concerné des algorithmes de codage et la structure de fichiers sfcfiles.dll.

Les vers se diffusant par les périphériques ont été moins répandus (Win32.HLLW.Autorunner).

Fichiers malicieux détectés dans le courrier électronique

Fichiers malicieux détectés sur les PC des utilisateurs