Revenir vers la liste d'actualités
Aperçu de l’activité virale et spam du mois de février 2008
Le service de veille antivirale de Doctor Web présente l'analyse de l’activité virale et spam du mois de février 2008.
Le mois de février n’a rien apporté de nouveau à la situation virale. De fin janvier à mi-février, un envoi massif de messages relatifs à la Saint-Valentin contenant le trojan Trojan.Packed.357 s’est fait remarquer. Une caractéristique particulière de l’envoi de ce programme malicieux réside dans l’utilisation du packer constamment modifié pour le transfert du fichier exécutable, ainsi que dans la variété des outils de l’ingénierie sociale pour inciter les utilisateurs à exécuter le fichier malicieux. Une fois lancé, le programme installe dans le système un driver qui porte un nom aléatoire et qui est classé par Dr.Web comme Trojan.Spambot.2569. Ce driver s’enregistre dans la base de registre. De plus, le programme malicieux met dans le système un fichier de configuration afin d’assurer le fonctionnement dans les réseaux P2P. Le code malicieux s’implante ensuite dans %systemroot%\system32\services.exe, puis il ouvre des ports UDP aléatoires et envoie des requêtes aux hôtes distants. Dès réception des réponses positives, il commence à envoyer des spams.
Un autre envoi de spam enregistré au mois de février a été présenté par les messages ayant les sujets suivants "NEW Full mpeg4 Veronika Zemanova", "NEW Stunning video with a naked celebrity Beyonce", "NEW New sexy songs Salma Hayek", "Stunning video Carmen Electra", "Shocking porno dvd Meg Ryan", "Interesting porno Jennifer Lopez".
Le corps de tels messages contient un lien de téléchargement vers le module exécutable classé par Dr.Web comme Trojan.DownLoader.49038.
On a pu constater également un envoi de spam sous forme de carte de vœux, dont le champ sujet contenait [postcard.ru] вам пришла открытка! (vous avez reçu une carte de vœux). Ces messages proposaient de cliquer sur le lien vers un téléchargeur Trojan.DownLoader.35394. Son lancement évoque le téléchargement des programmes à envoyer des spams.
Résultats de l’activité spam au mois de février 2008
En parallèle avec les envois mentionnés, on a constaté une poussé de spam proposant de télécharger des logiciels à des prix intéressants. Une hausse du taux de présence du spam commercial a également été enregistrée.
Statistiques
Au mois de février 2008 la base virale de Dr.Web s’est enrichie de 15700 définitions.
Voici le tableau sommaire des virus les plus fréquemment détectés sur les serveurs de messagerie en février 2008 :
| Tableaux 1. Top 20 les plus fréquemment détectés sur les serveurs de messagerie au mois de février 2008 | ||
| 1 | Win32.HLLM.Netsky.35328 | 78566 (30.60%) |
| 2 | Win32.HLLM.Beagle | 24743 (9.64%) |
| 3 | Win32.HLLM.Netsky | 24111 (9.39%) |
| 4 | Win32.HLLM.Netsky.based | 18699 (7.28%) |
| 5 | Win32.HLLM.MyDoom.based | 18031 (7.02%) |
| 6 | Exploit.MS05-053 | 9163 (3.57%) |
| 7 | Win32.HLLM.Perf | 8470 (3.30%) |
| 8 | Win32.HLLM.MyDoom.33808 | 8073 (3.14%) |
| 9 | Win32.HLLM.Oder | 7634 (2.97%) |
| 10 | Win32.HLLM.Limar.2246 | 5745 (2.24%) |
| 11 | Win32.HLLP.Sector | 4762 (1.85%) |
| 12 | BackDoor.Bulknet.145 | 3968 (1.55%) |
| 13 | Win32.HLLM.Netsky.24064 | 3606 (1.40%) |
| 14 | BackDoor.Bulknet.160 | 3144 (1.22%) |
| 15 | Win32.HLLM.Netsky.28008 | 2912 (1.13%) |
| 16 | Win32.Virut | 2911 (1.13%) |
| 17 | BAT.310 | 2509 (0.98%) |
| 18 | Win32.HLLM.MyDoom.33 | 2077 (0.81%) |
| 19 | Win32.Alman | 1633 (0.64%) |
| 20 | Win32.HLLM.Netsky.28672 | 1412 (0.55%) |
| Tableau 2. Top 20 les plus fréquemment détectés sur les PC au mois de février 2008 | ||
| 1 | DDoS.Kardraw | 929600 (8.95%) |
| 2 | Win32.HLLM.Generic.440 | 225226 (2.17%) |
| 3 | Win32.HLLM.Lovgate.2 | 208820 (2.01%) |
| 4 | Win32.HLLW.Krepper | 142608 (1.37%) |
| 5 | VBS.Igidak | 129691 (1.25%) |
| 6 | Win32.HLLW.Autoruner.437 | 109673 (1.06%) |
| 7 | Win32.HLLP.Sector | 93245 (0.90%) |
| 8 | Win32.HLLP.Jeefo.36352 | 88048 (0.85%) |
| 9 | Win32.HLLW.Autoruner.274 | 85987 (0.83%) |
| 10 | Trojan.Inject.544 | 78436 (0.76%) |
| 11 | Trojan.Recycle | 74398 (0.72%) |
| 12 | Win32.Sector.4 | 73113 (0.70%) |
| 13 | Trojan.Click.17013 | 72738 (0.70%) |
| 14 | Trojan.AppActXComp | 69827 (0.67%) |
| 15 | Win32.HLLW.Autoruner.1053 | 68579 (0.66%) |
| 16 | Win32.HLLM.RoRo | 64822 (0.62%) |
| 17 | Win32.HLLW.Autoruner.1408 | 62208 (0.60%) |
| 18 | Trojan.Landa | 62196 (0.60%) |
| 19 | Win32.Alman | 61227 (0.59%) |
| 20 | Win32.HLLW.Autoruner.1268 | 58046 (0.56%) |
Appréciez
Partagez
![[VK]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Dites "J'aime"
![[facebook]](http://st.drweb.com/static/new-www/social/no_radius/facebook.png)
Votre avis nous intéresse
Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.
Other comments