Le service de veille antivirale de Doctor Web présente l'analyse de l’activité virale du mois d’avril 2008.

Sans aucun doute, le principal événement qui a marqué la fin du mois de mars – le début avril, c’est la détection d’une nouvelle modification malicieuse classée par Dr.Web comme BackDoor.MaosBoot. Ce programme malveillant appartient à une nouvelle catégorie de virus combinant un virus de boot et un rootkit. BackDoor.MaosBoot vise les PCs des utilisateurs afin d’y pénétrer pour aspirer des informations financières confidentielles. Le virus dispose d’une vaste liste des programmes « client-banque ». La version modernisée du virus utilise cette liste pour les vols des infos confidentielles.

En mi-avril, le service de veille antivirale de Doctor Web a constaté une poussée des envois spam contenant un installeur du programme malicieux presque oublié Win32.HLLM.Limar. Sans avoir un caractère épidémique, cette poussée nous fait s’attendre à la propagation élargie de ce programme malveillant à l’avenir.

L’événement majeur du mois c’est la fin d’un mythe sur non-existence du programme malicieux connu sous le nom de Rustock.C. Ce programme est classé par Dr.Web comme Win32.Ntldrbot. L’objectif principal de Win32.Ntldrbot – contamination des PC afin d’en transformer en robots depuis lesquels des envois des spams seront effectués, donc il s’agit de la création des botnets – réseaux géants de robots utilisés à des fins malhonnêtes, telles que l’envoi des spams. De plus, tel programme malicieux reste invisible sur des PC. Il est fortement probable que ce rootkit fonctionne ainsi depuis le mois d’octobre 2007 ! Selon les estimes de la société Secure Works le réseau botnet créé par ce Rustock est au 3 eme rang parmi les plus grands réseaux botnets et peut envoyer jusqu’à 30 milliard de messages spam par jour. La « spécialité » du botnet - titres de placement et pharmacie.

Quelques caractéristiques de Win32.Ntldrbot :

• possède d’un protecteur polymorphe puissant empêchant l’analyse et l’extraction du rootkit.
• réalisation sous forme de driver kernel, il fonctionne au niveau le plus bas.
• fonction d’autoprotection, il résiste à la modification de l’heure d’exécution.
• résistance active au débogage : il contrôle l’installation des points d’arrêt de matériel (registres DR); empêche le fonctionnement des débogueurs au niveau kernel : Syser, SoftIce. Le débogueur WinDbg ne fonctionne pas lors de l’activité du rootkit.
• interception des fonctions système avec la technique particulière.
• fonctionne comme virus de fichier, en contaminant des drivers système.
• une espèce de rootkit se rattache au matériel du PC contaminé donc il est fortement probable que cette espèce n’est pas opérationnel sur un autre PC.
• fonction de réinfection qui est activée au moment voulu. En passant à un autre fichier, le rootkit restaure le fichier contaminé. Ainsi, il se promène entre les drivers système, toujours en contaminant seulement un fichier.
• filtrage des requêtes pour le fichier contaminé, il intercepte des procédures FSD du driver de système de fichier et remplace le fichier infecté par le fichier originel.
• il est muni d’une protection contre anti-rootkit.
• comporte une bibliothèque qu’il implante dans un des processus système. Cette bibliothèque est utilisée pour l’envoi des spams.
• un mécanisme particulier de transmission de commandes est utilisé pour la communication du driver avec DLL.

Il est important de noter qu’à l’heure actuelle Dr.Web est le seul antivirus capable non seulement de détecter Win32.Ntldrbot en état actif, mais aussi de désinfecter le système en contaminé.

Statistiques virales du mois d’avril 2008

Tableaux 1. Top 20 les plus fréquemment détectés sur les serveurs de messagerie au mois d’avril 2008.

Tableau 2. Top 20 les plus fréquemment détectés sur les PC au mois d’avril 2008.