Revenir vers la liste d'actualités
Aperçu de l’activité virale du mois d’octobre 2008 présenté par Doctor Web, Ltd.
Le service de veille antivirale de Doctor Web présente l'analyse de l’activité virale du mois d’octobre 2008.
Ce mois d’octobre a été riche en événements. Il s’agit essentiellement de modifications des faux antivirus existants et des différents outils utilisés par les auteurs de virus afin de cacher la présence d’un code malicieux lors de l’envois d’email. En outre, de nouvelles modifications des virus polymorphes ainsi que de nouvelles méthodes d’ingénierie sociale ont été constatées. Cet aperçu vous propose une description des techniques de malfaiteurs et des méthodes permettant de les contrer.
Mise à jour critique de Windows
Le mois d’octobre a été marqué par la sortie d’une mise à jour critique éditée par Microsoft. Destinée à remédier à la vulnérabilité dans les systèmes d’exploitation Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, l’importance et l’urgence de cette mise à jour ont été soulignées dans les messages envoyés par Microsoft à ces utilisateurs. Malgré tout, et cela est surprenant, même le système Microsoft ОС Windows 7, qui vient d'être présenter et reste encore en version pré-bêta, souffre de cette vulnérabilité. La description explique que le problème concerne le système de sécurité Windows. En fait, la vulnérabilité permet au malfaiteur qui a obtenu l’autorisation adéquate, à forcer la protection de Microsoft Windows et à prendre la main sur la machine. L’urgence s’explique également par l’apparition d'un exploit (un programme malicieux profitant d'une vulnérabilité) qui s’est avéré assez actif. Cet exploit est rajouté dans la base de Dr.Web sous le nom Win32.HLLW.Jimmy. Cet événement nous a rappelé que l'absence de mises à jour critiques dans le système a un impact important sur le niveau de sécurité.
Virus de fichiers
Un nombre important de requêtes postées au support portait sur l'apparition d'une nouvelle modification du virus de fichier appartenant à la famille Win32.Sector – Win32.Sector.12. Les utilisateurs de l’antivirus Dr.Web ayant la base mise à jour sont bien protégés contre l'intrusion de ce virus dans le système. Cependant, si la machine est déjà infectée par ce virus, l’utilisateur se trouve face à des problèmes de nettoyage puisque Win32.Sector.12 utilise de telles méthodes que l’intrusion des processus dans la mémoire de processus système et des technologies rootkit pouvant empêcher les produits antivirus. Les virus de la famille Win32.Sector sont capables de télécharger depuis des ressources web et d'installer sur le système des programmes malicieux pouvant se mettre à jour depuis certains sites web. En cas de problèmes de nettoyage de tels virus, les utilisateurs de Dr.Web peuvent compter sur les professionnels du service support Doctor Web.
Envois email
Le mois dernier a été riche en envois des messages contenants des modifications différentes de Trojan.DownLoad.4419. Ce trojan est l'objet de notre aperçu de mois de septembre. Ces messages sont plutôt courts et contiennent un lien vers une soi-disant vidéo pornographique. Si auparavant de tels messages redirigeaient vers des pages imitant le service internet YouTube, certains d’eux, durant le mois d’octobre, contenaient des liens vers d'autres interfaces dont la capture d’écran apparait ci-dessous. Une fois la page ouverte, le téléchargement de l'exécutable malicieux se produit. Un grand nombre et la similitude des modifications de Trojan.DownLoad.4419 ont permis aux analystes de Doctor Web de créer des définitions dont chacune peut identifier un grand nombre d'exemplaires de cette famille. Au mois d’octobre, entre autre, la base virale Dr.Web a été complétée par les entrées Trojan.Packed.1207, Trojan.Packed.1219.
Les auteurs des virus nous ont rappelé au mois d’octobre que des programmes malicieux peuvent être diffusés sous forme d'archives protégées par un mot de passe. Dans la plupart des cas, le mot de passe se trouve dans le corps du message. L’envoi dont le contenu est décrit ci-dessous contient ce type d’archive avec un exécutable classé par Dr.Web comme Trojan.PWS.GoldSpy.2268.
Les éditeurs antivirus rappellent aux utilisateurs d’être vigilants et de vérifier les adresses affichées dans la boîte d'adresse lors de l'ouverture des pages web après avoir cliqué sur des liens contenus dans les messages mails. Les malfaiteurs utilisent souvent des méthodes permettant de remplacer l’adresse de page. Le Trojan.Click.21207 a montré que le virus peut pénétrer sur la machine sans remplacer des pages et cela à l'aide d'un lien qui a l'air d'être normal. Dans ce cas, le lien redirige vers le fichier JPG (sous prétexte de télécharger d’une image « intéressante »), tandis qu’en réalité c’est un script malicieux écrit en JavaScript qui se déroule.
En outre, les envois du mois d'octobre ont été marqués par la présence de Trojan.Packed.1198 attirant les utilisateurs par le nom d’Angelina Jolie inséré dans l'en-tête du message. Il s’agissait en fait d’un envoi massif de spam avec des textes en allemand incitant de prendre connaissance de documentations financières importantes qui se sont avérées des programmes malicieux Trojan.DownLoad.3735 ou Trojan.DownLoad.8932 a été également constaté.
Attention aux messages scam
Le mois d’octobre nous a montré un nombre accru d'envois des messages frauduleux qui ne contiennent aucun programme malicieux mais incitent à envoyer un SMS payants. Ceci sous prétexte de bénéficier d’une offre spéciale proposée par un opérateur mobile. En réalité aucune offre n'a été annoncée. Ce type de fraude devient assez répandu compte tenu du nombre d'appareils mobiles et de la facilité d’avoir un numéro pour réceptionner des sms payants.
ICQ en tant que transport des messages malveillants
Ces derniers temps, le taux de spam envoyé via ICQ est en hausse. Tout comme les spam envoyés par email, les spams diffusés via ICQ contiennent des liens vers les objets malicieux. Il s’agit notamment du programme publicitaire Adware.FieryAds.4. ICQ sert également de média de transport pour les messages proposant d'envoyer des sms payants. Il est à noter un nombre accru des envois spam via ICQ par des programmes malicieux depuis les PC contaminés. L’utilisateur d’un tel PC n’a aucun signe d'infection sur sa machine à moins d’être alerté par son contact que ce dernier a reçu de tels messages spam.
En général, le mois d’octobre montre une activité accrue et des méthodes assez variées utilisé dans le but de propager des programmes malicieux. Malheureusement, les utilisateurs ne sont pas assez vigilants. Ils cèdent souvent aux techniques de l'ingénierie sociale et lancent des programmes malveillants sur leurs machines. C'est pourquoi Doctor Web tient ses utilisateurs informés sur l'activité virale et spam.
Tableaux 1. Top 20 les plus fréquemment détectés sur les serveurs de messagerie au mois d'octobre 2008
| 01.10.2008 00:00 - 01.11.2008 00:00 | ||
| 1 | Trojan.Click.19754 | 29330 (15.85%) |
| 2 | Trojan.PWS.GoldSpy.2268 | 15475 (8.36%) |
| 3 | Win32.HLLM.MyDoom.based | 14635 (7.91%) |
| 4 | Win32.Virut | 13743 (7.43%) |
| 5 | Trojan.DownLoad.3735 | 11076 (5.99%) |
| 6 | Trojan.PWS.GoldSpy.2277 | 10715 (5.79%) |
| 7 | Trojan.Inject.3742 | 10262 (5.55%) |
| 8 | Trojan.MulDrop.17829 | 7002 (3.78%) |
| 9 | Win32.HLLM.Netsky.35328 | 6208 (3.35%) |
| 10 | Win32.HLLW.Autoruner.2640 | 5096 (2.75%) |
| 11 | Trojan.MulDrop.13408 | 4090 (2.21%) |
| 12 | Trojan.MulDrop.16727 | 3950 (2.13%) |
| 13 | Trojan.Copyself | 3484 (1.88%) |
| 14 | Win32.HLLW.Autoruner.1252 | 3376 (1.82%) |
| 15 | Win32.HLLM.Alaxala | 3321 (1.79%) |
| 16 | Trojan.PWS.Panda.31 | 3299 (1.78%) |
| 17 | Win32.HLLM.Beagle | 2646 (1.43%) |
| 18 | Trojan.MulDrop.18280 | 2622 (1.42%) |
| 19 | BackDoor.Bulknet.237 | 1985 (1.07%) |
| 20 | Trojan.PWS.GoldSpy.2278 | 1977 (1.07%) |
Top 20 les plus fréquemment détectés sur les PC au mois d'octobre 2008
| 01.10.2008 00:00 - 01.11.2008 00:00 | ||
| 1 | Win32.HLLW.Gavir.ini | 1336089 (17.58%) |
| 2 | DDoS.Kardraw | 402787 (5.30%) |
| 3 | Win32.Alman | 322084 (4.24%) |
| 4 | Trojan.MulDrop.18538 | 277195 (3.65%) |
| 5 | Win32.HLLP.Whboy | 239879 (3.16%) |
| 6 | VBS.Autoruner.10 | 224391 (2.95%) |
| 7 | Win32.HLLM.Lovgate.2 | 218691 (2.88%) |
| 8 | Win32.HLLM.Generic.440 | 190744 (2.51%) |
| 9 | JS.Click.22 | 172206 (2.27%) |
| 10 | Win32.HLLW.Autoruner.2255 | 152617 (2.01%) |
| 11 | VBS.Generic.548 | 144545 (1.90%) |
| 12 | Trojan.DownLoader.22881 | 110771 (1.46%) |
| 13 | VBS.PackFor | 106047 (1.40%) |
| 14 | Win32.HLLP.Jeefo.36352 | 104866 (1.38%) |
| 15 | Win32.HLLW.Autoruner.2339 | 81624 (1.07%) |
| 16 | Win32.HLLO.Black.2 | 77968 (1.03%) |
| 17 | Trojan.MulDrop.9985 | 77118 (1.01%) |
| 18 | Win32.HLLW.Autoruner.1020 | 70904 (0.93%) |
| 19 | Win32.Sector.20480 | 70541 (0.93%) |
| 20 | Win32.Sector.5 | 69635 (0.92%) |
Appréciez
Partagez
![[VK]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Dites "J'aime"
![[facebook]](http://st.drweb.com/static/new-www/social/no_radius/facebook.png)
Votre avis nous intéresse
Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.
Other comments