Le service de veille antivirale de Doctor Web présente l'analyse de l'activité virale du mois de novembre 2007.

La fin octobre et la première décade du mois de novembre ont vu la propagation des spams Storm Worm dont le titre de message était «Dancing Skeleton». Ces messages spams dédiés à Halloween proposent de regarder une image avec un squelette dansant. Dès que l’utilisateur suit, à l’aide du navigateur Internet Explorer, le lien proposé, le script implanté dans la page web est activé et lance à son tour les modules exécutables du vers. Ses fonctionnalités sont les mêmes que dans les versions précédentes : un driver s’intègre dans le système contaminé et le PC devient un élément du réseau P2P effectuant des envois de spams.

Il est à noter que la version originale du vers Storm Worm est apparue au mois de janvier 2007 et qu’elle a propagé des messages sur l’ouragan en Europe. Pour accéder aux soi-disant documents détaillés, l’utilisateur était invité à lancer un fichier exécutable qui se trouvait dans la pièce jointe. Dés que le fichier était lancé, un trojan s’installait sur le PC en ouvrant un trou dans le système. Les fichiers exécutables de ce programme malveillant utilisent des packers polymorphes, Dr.Web les détecte avec les définitions de type Trojan.Packed (par ex. Trojan.Packed.142, Trojan.Packed.200, Trojan.Packed.230).

L’envoi des «Dancing Skeleton» n’a pas duré; on ne l’a plus vu durant tout le mois de novembre. Cependant l’activité virale n’a pas diminué.

Les auteurs du vers Win32.HLLM.Limar dont la présence était plutôt discrète en octobre ont profité de l’inactivité du virus Storm Worm. Plusieurs envois très dangereux ont été effectués au mois de novembre : par mail, dans les messages ICA et via Skype. Le lancement des fichiers proposés infectait le système, empêchait le fonctionnement des logiciels antivirus et d’autres moyens de protection, provoquait des envois de spams.

Outre cela, le mois de novembre a été l’objet d’une vague de spam : les spammeurs attiraient l’attention des internautes par la soi-disant possibilité de gagner de l’argent et/ou d’améliorer leur santé. Le lien caché dans le corps de ces messages activait le script qui téléchargeait un programme malicieux classé par Dr.Web comme Win32.HLLM.Graz.

Compte tenu du fait que c’est lors de l’ouverture des liens que la contamination se fait, Doctor Web propose aux utilisateurs son service gratuit – les plugins pour les navigateurs avec lesquels on peut vérifier toute page avant de l’ouvrir, tout fichier avant de le télécharger. Lors du scan de la page, tous les liens qu’elle contient sont également analysés. Pour en savoir plus, merci de visiter le site de services antivirus gratuits de Doctor Web, Ltd.

La sortie du nouveau service antivirus Dr.Web AV-Desk^™, orienté vers les FAI et les prestataires de services de sécurité, élargit considérablement les capacités du Service de veille antivirale de Doctor Web qui dispose dés maintenant de données sur les infections actives chez des utilisateurs finaux. Sans prétendre donner des informations exhaustives, on peut néanmoins constater que les leaders sont les trojans de classe Password Stealer (PWS), qui volent des mots de passe et toute information confidentielle depuis les PC attaqués. Notamment trois semaines après l’installation de Dr.Web AV-Desk^™ chez certains FAI russes, les résultats de scan d’environ 6,5 milliards de fichiers montrent plus de 3,5 millions de programmes malveillants dont les leaders sont - Trojan.PWS.Wsgame.origin, détecté avec la nouvelle technologie sans signatures Origins Tracing™, virus- parasite Win32.HLLP.Jeefo.36352, les trojansTrojan.Recycle, Trojan.PWS.LDPinch.2468,Trojan.Proxy.1824.

Résultat de l’activité spam au mois de novembre 2007

Outre les envois traditionnels dits commerciaux on peut constater une croissance des spams culturels, contenant des invitations aux expos et spectacles.

Au mois de novembre de 2007 la base virale de Dr.Web s’est enrichie de 13403 définitions.

Résultats des scans en ligne au mois de novembre:

Tableau sommaire des virus les plus fréquemment détectés sur les serveurs de messagerie en octobre 2007 :