le 12 mars 2013

Le mois de février 2013 a été marqué par une croissance des infections par les Trojans de la famille Trojan.Hosts, utilisant, comme d’autres malwares, le piratage des sites Web pour propager des programmes malveillants. Les analystes ont détecté un Trojan ciblant les serveurs sous OS Linux et les fraudeurs sont devenus de plus en plus actifs sur les sites de rencontres.

Situation virale

Le malware le plus répandu en février 2013 selon les statistiques de l'utilitaire de traitement Dr.Web CureIt! reste le Trojan.Mayachok, dont la modification Trojan.Mayachok.18566 dont la modification Trojan.SMSSend ne diminue pas, et le Trojan.SMSSend.2363 garde sa position de leader absolu.

Ce sont des archives payantes souvent téléchargées sous la forme d’un logiciel utile (« légitime »). L’interface affichée lors de l’installation imite le vrai logiciel, mais après le lancement, les malfaiteurs demandent à l’utilisateur d’envoyer un SMS payant ou de s'abonner à tel ou tel service. En général, l’archive contient soit des fichiers sans aucun logiciel, soit contribue à la propagation de malwares plus dangereux. Par ailleurs, le nombre de cas d'infections par les Trojans BackDoor.IRC.NgrBot.42, Trojan.Click2.47013 et Win32.HLLP.Neshta reste considérable. Vous pouvez voir les données sur les menaces détectées en février par l'utilitaire Dr.Web CureIt! dans le tableau ci-dessous:

La menace du mois : Linux.Sshdkit

Le Trojan Linux.Sshdkit, qui infecte les serveurs sous Linux, est considéré par les spécialistes de Doctor Web comme la menace la plus « intéressante » en février. Ce programme malveillant représente une bibliothèque dynamique ; il existe des versions pour 32- et 64- bits Linux. Suite à son installation, le trojan s’intègre dans le processus sshd en interceptant les fonctionnalités d’authentification. Lorsque l'utilisateur entre le nom d'utilisateur et le mot de passe, ils sont envoyés sur le serveur distant des malfaiteurs. L’adresse IP du serveur de gestion se trouve dans le corps du Trojan, mais elle est générée automatiquement tous les deux jours. Afin de la générer, Linux.Sshdkit applique un algorithme très particulier de choix de nom du serveur de gestion.

Linux.Sshdkit génère deux noms DNS selon un algorithme. Si les deux noms sont liés à la même adresse IP, cette adresse est modifiée dans une autre adresse IP, et c'est sur la dernière adresse que le Trojan envoie les informations volées. L'algorithme utilisé est représenté dans le schéma ci-dessous.

Les spécialistes Doctor Web ont réussi à intercepter plusieurs serveurs distants Linux.Sshdkit. Au début du mois de mars, 476 serveurs infectés ont accédé aux serveurs de gestion interceptés. La plupart d’entre eux appartenaient à des hébergeurs et hébergeaient de nombreux sites web auxquels les pirates ont eu accès. La majorité des serveurs contaminés se trouve aux Etats-Unis (132) ensuite vient l'Ukraine avec 37 cas et la troisième place est occupée par les Pays-Bas. Les statistiques obtenues par les spécialistes Doctor Web provenant des serveurs de gestion interceptés sont affichées dans le tableau ci-dessous:

Pour plus d'informations sur cette menace, consultez ce lien.

La propagation du Trojan.Hosts et le piratage des sites Web

À la fin du mois de février et au début du mois de mars 2013, une hausse des attaques sur les sites Web afin de diffuser des malwares a été enregistrée. Les malfaiteurs utilisent des login et des mots de passe déjà volés pour accéder aux ressources via le protocole FTP. Ensuite, ils modifient le fichier .htacess et sauvegardent sur la page un script malveillant. En conséquence, les visiteurs du site Web piraté peuvent contaminer leurs systèmes avec des programmes trojans variés. Les malwares de la famille Trojan.Hosts ont notamment utilisé cette méthode. Les Trojans de cette famille modifient l'un des fichiers (%systemroot%/system32/drivers/hosts), et le navigateur redirige automatiquement la victime vers une page Web malveillante gérée par les pirates. Les sites de devoirs en ligne ont souvent été la cible de ces attaques. Une fois la page téléchargée, l'utilisateur est redirigé vers un site infecté par le Trojan.Hosts et d'autres applications malveillantes.

Menaces ciblant Android

Le mois de février a mis en lumière plusieurs menaces touchant Android. Ainsi, au début du mois, la signature du Trojan Android.Claco.1.origin a été ajoutée aux bases virales Dr.Web. Ce malware a été diffusé sur Google Play sous la forme d'une application pour l'optimisation de la vitesse de l’OS. Lancé sur un appareil mobile, ce Trojan pouvait envoyer un SMS sur commande des pirates, ouvrir une URL dans le navigateur, ainsi que télécharger les données personnelles (les données de la carte mémoire, les messages SMS, des photos et des contacts de l'annuaire) sur un serveur distant. Cependant, la particularité principale d’Android.Claco.1.origin était qu’il pouvait infecter des ordinateurs sous Windows : ce Trojan se connectait au serveur distant pour télécharger les autres fichiers malveillants et les stocker sur la carte mémoire. Parmi ces objets, il y avait un exécutable et le fichier autorun.inf, qui démarrait automatiquement le logiciel malveillant durant les synchronisations avec le PC sous Windows. Il faut noter que, depuis Windows Vista, l'auto-démarrage est désactivé par défaut. La menace n'était donc pas considérable pour les utilisateurs de cette version et au-delà.

Le mois de février a également vu la diffusion du malware Android.Damon.1.origin, qui a été distribué par des pirates informatiques sur des sites Web populaires chinois via des applications modifiées. Android.Damon.1.origin est un Trojan qui peut envoyer un SMS sur commande du serveur distant, passer des appels, ouvrir une URL dans le navigateur, télécharger sur le serveur les données personnelles de l'utilisateur (par exemple les contacts de son annuaire, l'historique des appels, ses coordonnées), ainsi qu'exécuter d'autres tâches.

Par ailleurs, les signatures des nouveaux Trojan SMS Android.SmsSend ont été ajoutées aux bases virales.

Autres menaces du mois de février

En cette fin d'hiver, les site de rencontres ont particulièrement été la cible de fraudeurs. En général, dans leur schéma d’action, les escrocs prétendent être des immigrés d’origine russe, justifiant ainsi le fait qu’ils parlent bien le russe. Dès que la confiance est établie, le malfaiteur annonce à son "amoureuse" qu'il lui envoie un cadeau « de valeur » : une tablette, un Smartphone ou un bijou. Et comme ce n'est pas un cadeau bon marché, il l’envoie via un service de livraison privé. Dès que la somme est payée, le généreux gentleman et le service de livraison disparaissent. Vous pouvez glaner plus d'information ici.

Au début du mois de février, les utilisateurs de Facebook ont été victimes de pirates qui utilisaient une application déjà existante sur le réseau social afin de propager des programmes malveillants. Pour en savoir plus, lisez l'article publié sur le site news.drweb.fr.

Enfin, mi-février, les spécialistes de Doctor Web ont découvert un Trojan-Winlock ironiquement « comique ». Pour savoir pourquoi ce Winlock a fait rire les spécialistes, lisez cet article.

Fichiers malveillants détectés dans le courrier électronique en février 2013

Fichiers malveillants détectés sur les ordinateurs des utilisateurs en février 2013