Le 1 Juin 2009

Le fait le plus marquant du mois de mai a été l'apparition de nouveaux cas de ransomware, preuve que les méthodes d’ingénierie sociale s’améliorent et que les outils qui facilitent l’activité des fraudeurs se multiplient. En ce qui concerne le spam, la quantité d’envoi de publicité augmente et de nouvelles méthodes de détournement des filtres antispam apparaissent.

Ransomware

Durant ces dernières années, la création de programmes malicieux a eu de plus en plus une vocation commerciale, faisant apparaître un nouveau type de menace virale : les «ransomware».

C’est l’année 2005 qui a vu le début de la propagation des ransomwares : des Trojans chiffraient les fichiers des utilisateurs et proposaient de contacter les éditeurs du logiciel malicieux afin d’effectuer le déchiffrage. Ensuite, un message annonçait le taux de rachat des données et le mode de paiement. Selon la classification Dr.Web, ces programmes malicieux s’appellent Trojan.PGPCoder et Trojan.Encoder,ces deux appellations désignant également les multiples variantes issues de ces programmes. Pour le déchiffrage des fichiers, les spécialistes de Doctor Web ont créé des utilitaires spéciaux, téléchargeables sur le site de l'éditeur.

Bien que les Trojans bloquant l’accès à Windows aient été connus seulement en 2009, les premiers modèles de ce type de programmes malicieux (Trojan.Winlock) sont apparus en 2005, en même temps que les chevaux de troie cryptant les données des utilisateurs.

Par mesure de simplicité, les fraudeurs ont recouru aux SMS payants pour que les victimes les envoient depuis différents pays du monde.

A partir de 2008, ce type de menaces s’est répandu via l’envoi de bannières pornographiques (Trojan.Blackmailer), avec le même principe de rançon pour récupérer les données. La plupart des Trojans sont destinés au navigateur Internet Explorer mais certaines versions ont été créées pour Mozilla Firefox et Opera.

La méthode de rançon demandée via SMS a également été utilisée par les créateurs du Trojan bloquant Windows, une variation du Trojan.Winlock. Là encore, des utilitaires spéciaux, mis à jour de façon permanente, ont été conçus pour débloquer Windows. Pour la détection des différentes versions du Trojan.Winlock, les techniciens de Doctor Web ont élaboré des signatures spéciales « Trojan.Winlock.origin » qui permettent de détecter les modifications du Trojan même si elles ne sont pas encore répertoriées dans la base virale.

Récemment, le design des modifications du Trojan.Winlock est devenu plus agressif, incluant une horloge avec un compte à rebours. De plus, l’utilisateur reçoit une notification l’informant que la tentative de réinstallation du système mènera à la perte des données.

Il existe beaucoup d’imitateurs du Trojan.Winlock de mauvaise qualité. Dans ce cas, pour débloquer le système, il est requis de saisir le mot de passe spécifié dans le code du Trojan. Mais parfois, la fonction de déblocage n’est pas incluse dans le logiciel malveillant qui propose d’envoyer un SMS à un numéro donné. Ce message ne fait qu’augmenter la popularité des éditeurs de virus dans les réseaux sociaux, tandis que le système d’exploitation reste bloqué.

L’une des dernières innovations des hackers est la création d’un générateur de Trojans bloquant le système Windows, générateur leur permettant de fabriquer de multiples variantes du Cheval de Troie comportant différents messages de rançon.

Sortie des nouvelles versions du GUI Scanner

Au mois de mai de 2009, Doctor Web a publié de nouvelles versions du GUI Scanner pour Windows, faites pour réagir rapidement aux nouvelles menaces virales comme la modification du rootkit BackDoor.Maosboot et du Trojan Trojan.AuxSpy.

Le Trojan.AuxSpy bloque le lancement et empêche le fonctionnement de certains utilitaires aptes à le neutraliser. Bien que le Trojan ne fonctionne pas dans le noyau du système, il est inscrit dans la partie non standard du registre système et a la capacité de se rétablir depuis la mémoire.

L’apparition des programmes malicieux de ce type prouve que non seulement les bases de données virales de l’antivirus doivent être mises à jour mais également tous ses composants.

Vulnérabilité du navigateur Safari

Une vulnérabilité du navigateur Apple Safari 3.2.3, notamment d’un de ses répertoires (le composant libxml) a été découverte au milieu du mois de mai. La vulnérabilité permet l’exécution de code arbitraire à distance. Pour en savoir plus, merci de lire le bulletin de sécurité Apple daté du 12.05.2009. Il est à noter que la vulnérabilité est incluse dans le navigateur Safari indépendamment de la plate-forme utilisée, c’est-à-dire que les machines sous Mac OS X sont vulnérables ainsi que les machines sous MS Windows. Outre cela, cette vulnérabilité permet aux hackers d’installer le code malicieux dans le système.

Spam

Le taux de spam dans les messages a conservé, au mois de mai, le niveau du mois précédent. A noter, l’augmentation des messages incitant les entreprises à utiliser le spam pour faire de la publicité, arguant de la légitimité de ce type d’envois et du fait que de grandes entreprises y ont recours.

Il existe également une progression des messages proposant des gains immédiats sur Internet.

Malgré leur faible efficacité, les envois de phishing continuent. Parmi les victimes des fraudeurs, les clients des nouveaux systèmes mis en ligne par certaines institutions financières. On peut mentionner, au mois de mai, l’envoi de phishing ciblant les utilisateurs du système Comerica Business Connect de la banque américaine Comerica Bank.

Détection sur des serveurs de messagerie — mai

Détection sur des postes de travail – mai