Doctor Web présente son aperçu de l’activité virale du mois de Juin 2009, rappelant que le courrier électronique reste le moyen le plus efficace de propagation de virus sur la Toile. Ce mois-ci, le service de veille antivirale de Doctor Web a constaté une forte augmentation du phishing ciblant les utilisateurs des systèmes bancaires en ligne et des systèmes de paiement électronique. A noter également que les cybercriminels tendent vers la création de virus multi-plateformes.

Virus via e-mail

Le mois de juin détient, pour le moment, le record de l’année en matière de propagation de messages infectés et/ou comportant des liens vers des sites malintentionnés. Pendant tout le mois, les cybercriminels ont employé différentes techniques destinées à tromper la surveillance des utilisateurs et à attirer leur attention sur les messages envoyés.

De manière générale, les courriers électroniques comportaient un texte simple, sans mise en forme, et certains d’entre eux avaient la forme des messages types envoyés par les entreprises à leurs clients.

Les fichiers malicieux ont été envoyés via les pièces jointes ou bien l’utilisateur a reçu un lien qui, cliqué, téléchargeait un virus. Peu de hackers ont utilisé de faux sites pour diffuser des virus en Juin.

La thématique de ces messages était très variable. La plupart des fichiers malicieux étaient dissimulés sous des cartes postales électroniques. Certains chevaux de Troie imitaient les mises à jour pour les clients messagerie (Microsoft Outlook, Ritlabs The Bat!), d’autres messages imitaient un reçu de paiement sur une boutique en ligne, ou des changements introduits dans les paramètres du compte de l’utilisateur (sans mentionner le système bancaire ou d’autre système en ligne dans ce message).

Au mois de Juin, les e-mail ont été utilisés pour propager une grande variété de logiciels malicieux. Trojan.PWS.Panda.122, masqué par différents outils, a été le plus répandu, ainsi que Trojan.Siggen.2447, Trojan.DownLoad.29459, Trojan.DownLoad.38602, l’antivirus simulé Trojan.Fakealert.4471.

La fin du mois de juin a également vu la multiplication des liens vers des sites de publicité pour des médicaments.

Logiciel malicieux multi-plateformes

Lors de ces derniers mois, les créateurs de virus ont montré un intérêt constant pour les malwares multi-plateformes leur permettant de toucher des ordinateurs tournant sous différents OS. Jusqu’à maintenant, il existait peu de virus de ce type (malgré quelques tentatives de hackers de créer des virus opérant simultanément sous Windows et sous Linux). Aujourd’hui, cette tendance est croissante.

Doctor Web a mentionné, dans son aperçu viral d’avril 2009, le Trojan.BrowseBan qui peut être installé comme plug-in dans les navigateurs Mozilla, Firefox et Opera.

Au mois de juin, les cybercriminels se sont attaqués à Twitter. Sa popularité donne aux cybercriminels accès à des milliers d’utilisateurs. De plus,Twitter est utilisé par différents systèmes d’exploitation, ce dont ont profité les hackers. L’attaque de juin, mentionnée par les spécialistes de Doctor Web dans ses actualités, a ciblé les utilisateurs de Windows et Mac OS X. le virus était capable de détecter l’OS et de s’y adapter.

Puisque les messages dans le système Twitter ont un nombre de caractères strictement limité, les malfaiteurs utilisent souvent des services permettant de publier des adresses URL courtes (http://tinyurl.com, http://bit.ly) afin de diriger les utilisateurs vers des sites malicieux. De plus, le lien court se remarque moins et il est plus probable que les utilisateurs cliquent dessus, ce qui augmente l’efficacité des attaques..

A la fin du mois, de nombreux liens sensés contenir une vidéo ont été propagés. Le virus de fichier Win32.Virut.56 a été diffusé via cette méthode.

Réseaux sociaux

La popularité croissante des réseaux sociaux rend ceux-ci intéressants pour les créateurs de virus. Les Trojan.Hosts et Trojan.Facebook ont été les chevaux de Troie liés aux réseaux sociaux les plus populaires.

Après l’installation dans un système, le Trojan.Hosts change le fichier hosts afin de rediriger l’utilisateur vers une page lui proposant de s’inscrire, moyennant paiement par SMS, sur un réseau social.

Le Trojan.Facebook a la particularité de propager des liens vers une vidéo depuis l’ordinateur infecté. Les victimes sont les contacts de l’utilisateur. Le visionnage de la vidéo exige l’installation d’un codec qui constitue en réalité le virus. Après l’installation, le cycle se répète.

En réalité, les méthodes employées par les cybercriminels pour propager des virus dans les réseaux sociaux ou via d’autres moyens de communication (messageries instantanées, email etc) ne changent pas. Il s’agit toujours d’un lien de téléchargement ou d’une pièce jointe.

Les utilisateurs qui ont fait face une fois aux méthodes des malfaiteurs, les repèrent facilement la fois suivante. C’est pourquoi les créateurs de virus ne comptent que sur les nouveaux utilisateurs des réseaux sociaux, qui restent très nombreux.

Malgré tout, le nombre des menaces qui touchent ces réseaux reste faible. D’autant que les utilisateurs sont plus informés des risques liés à l’utilisation d’un réseau social par la presse.

Spam

Les spammers commencent à utiliser de plus en plus l’actualité dans leurs envois. C’est ce qui s’est passé quelques heures seulement après l’annonce de la mort de Michael Jackson. L’Iran a également été beaucoup utilisé.

Le mois de juin a été caractérisé par l’augmentation des envois de phishing. Le nombre total de ces envois a augmenté ainsi que le nombre de systèmes bancaires et de systèmes de e-paiement concernés par ce type de menaces. Les envois ciblaient en priorité les banques américaines (Bank of America, JPMorgan Chase Bank, Community State Bank) et australiennes (St. George Bank) ainsi que le système de paiement PayPal, le site de vente eBay et la boutique en ligne Amazon.

Détection sur des serveurs de messagerie — juin

Détection sur des postes de travail – Juin