Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Aperçu de l’activité virale du mois de novembre 2008 présenté par Doctor Web, Ltd.

Le 1 er décembre 2008

Le service de veille antivirale de Doctor Web présente l'analyse de l’activité virale du mois de novembre 2008. La fermeture de l’hébergeur web McColo Corporation associé à un taux de 75% de spam par rapport au trafic mondial, scinde le mois de Novembre en deux périodes. Outre le spam, les malfaiteurs ont utilisé d'autres techniques de propagation des codes malicieux et notamment les supports amovibles.

Vers - AutoIt

Le langage de programmation orienté administration de Windows dit AutoIt attire les malfaiteurs par les larges possibilités qu’il offre. Ce mois de novembre en fait la démonstration. AutoIt est caractérisé par sa facilité de programmation. Bien que les programmes AutoIt soient écrits sous forme de scripts, un fichier exécutable peut être créé. De plus, il est possible de compresser sa partie exécutable. Ainsi, les auteurs des virus empêchent leur détection en utilisant des moyens différents tels que le « shrouded code », tout en gardant la fonctionnalité de ces codes.

Les virus propagés avec les médias amovibles sont particulièrement dangereux pour les entreprises et institutions gouvernementales. Les mesures destinées à contrer ce type de menaces consistent à utiliser des logiciels spécialisés permettant de restreindre les possibilités de connexion des supports amovibles aux machines, voir de bloquer l'utilisation de tels dispositifs.

Dr.Web Antivirus version 5.0, qui est disponible actuellement en béta version, est doté d'un module permettant de décompresser les fichiers contenus dans les vers AutoIt et d’analyser les scripts AutoIt. Ce type de virus est classé dans la base virale Dr.Web comme Win32.HLLW.Autoruner.

Virus de mail

Avant la fermeture de l’hébergeur web McColo, une source importante de spam, les envois de spam utilisés comme transport pour des programmes malicieux ce sont montrés nombreux et variés. Ces envois ont utilisé une large gamme de techniques afin d'inciter les internautes à lancer les fichiers malicieux. L'analyse de ces techniques vous est présentée ci-dessous.

Trojan.PWS.GoldSpy.2454 (1,49% - taux de ce programme malicieux parmi le total de messages avec fichiers malicieux en pièces jointes au mois de novembre 2008) a été propagé sous forme de carte de vœux électronique. Etant utilisé depuis longtemps, cette méthode reste toujours efficace. Le nom du fichier exécutable était card.exe. De tels messages, contenant un lien direct vers l’exécutable, ont été également utilisés afin de diffuser une autre modification du virus - Trojan.PWS.GoldSpy.2466.

Pour les envois du trojan Trojan.DownLoad.3735 (1,36%) la technique de double extension a été appliquée – l’archive active_key.zip attachée dans la pièce jointe contenait le fichier active_keys.zip.exe. Le message informait l'internaute que son compte utilisateur avait été bloqué suite à sa requête et lui a proposé de l’activer. Le nom du service associé au compte en question n’été jamais mentionné. Afin d'en savoir plus sur la procédure d’activation, l’utilisateur était invité à ouvrir le document en pièce jointe. Ce document ressemblait à un texte Microsoft Word, alors qu’en réalité il s’agissait d’un exécutable contenant un code malicieux. Une autre modification de ce message contenant un virus informait l’internaute de changements apportés aux termes du contrat conclu avec l'utilisateur.

Dans le but de la propagation de Trojan.PWS.GoldSpy.2456 (4,65%) les malfaiteurs ont utilisé la technique d’intimidation. Le message reçu par l’internaute l'avertissait du blocage à venir de son accès à Internet sous prétexte qu’il n'avait pas respecté la loi relative aux droits d'auteurs. Le même message invitait l'internaute à consulter un aperçu de ces activités, se trouvant dans la pièce jointe, sur des 6 derniers mois. En réalité, le fichier contenait un objet malicieux (user-EA49945X-activities.exe). Ce trojan a été également diffusé avec des messages portant sur les élections présidentielles aux Etats-Unis.

Un autre envoi massif comprenait des messages informant de la non livraison d’un colis suite à une erreur dans l'adresse de destinataire. L’internaute était invité à imprimer « une facture » contenu en pièce jointe - un programme malicieux, détecté par Dr.Web comme Trojan.PWS.Panda.31 (2,50%)), et à récupérer son colis du bureau. En guise d’intimidation, le message annonçait que l’internaute serait obligé de payer les frais de consigne soit $6 par jour, en cas de non récupération du colis dans 10 jours dès réception du message.

Les spécialistes du service de veille antivirale de Doctor Web ont constaté plusieurs envois de spam russophones. Les messages de tels envois contenaient "un rapport renouvelé" détecté par Dr.Web comme Trojan.DownLoad.12539. Le nom de fichier porte une double extension - DocNew.Doc.exe.

Un autre envoi russophone proposait de consulter gratuitement un site pornographique dont tous les liens redirigeaient vers un fichier malicieux contenant Trojan.Clb.23. De nouvelles modifications de Trojan.DownLoad.4419 ont été diffusées sous forme d’invitations à la consultation de vidéos pornographique.

Le mois de novembre 2008 a vu plusieurs envois proposant aux internautes d’apprendre à « gagner facilement de l’argent sur les enchères de eBay». Le fichier html dans la pièce jointe a été détecté par Dr.Web comme Trojan.Click.21795. Ce fichier contient un script chiffré dont l’action consiste à rediriger vers un site de publicités relatives à une formation. D’autres envois de ce genre ont fait la publicité d’envois via les flux RSS ainsi que de publicité gratuite proposée par les services Google, Yahoo etc.

Dès la fermeture de l’hébergeur web McColo Corporation, le taux de spam a été considérablement réduit. Mais peu de temps après, l’envoi des programmes malicieux contenant des messages spams a repris. Actuellement ces envois ne sont que d'une durée très courte mais le nombre de messages est important. Ainsi, l’envoi massif de Trojan.PWS.Panda.31 a recommencé ainsi que celui des messages contenant un script chiffré détecté par Dr.Web comme Trojan.Click.21795.

Les auteurs de Trojan.DownLoad.4419, qui ont changé d’emploi, ont envoyé un message avec le lien vers un faux site web sous prétexte de télécharger une version beta du navigateur Microsoft Internet Explorer 8.

Les envois en allemand qui figuraient dans notre aperçu du mois d’octobre ont également recommencé. Les messages en question informent sur des frais à payer dont « les détails » figurent en pièce jointe. Auparavant, le raccourci et le fichier malicieux (à l’extension anodine) étaient contenus dans le même dossier. Cette fois le fichier malicieux est placé dans le dossier tandis que le raccourci est à l'extérieur. Ce trojan est détecté par Dr.Web comme Trojan.DownLoad.16843 (2,46%).

Phishing

Dans beaucoup de pays, le mois de novembre 2008 a été marqué par des vagues de phishing visant les utilisateurs des systèmes bancaires en ligne et les services associés. Les clients de telles banques comme la JPMorgan Chase Bank ou la RBC Royal Bank ont été concernés ainsi que les utilisateurs des systèmes Google, AdWards et PayPal.

En outre, les escrocs sms se sont fait remarquer. Ces malfaiteurs cherchent toujours de nouvelles techniques de livraison des messages sms de telle façon que les utilisateurs soient intéressés.

Depuis le mois de novembre 2008 la base virale de Doctor Web s'est étoffée de 25 461 entrées virales. Cela fait d’environ 850 nouvelles entrées par jour. Il est à noter qu’avec une seule entrée dans sa base virale, l'antivirus Dr.Web permet de détecter un grand de modifications de virus. Ceci est possible grâce à la technologie de détection Origins.Tracing™. Les statistiques ci-dessous prouvent la nécessité de mettre à jour l'antivirus toutes les heures au minimum. Une telle fréquence est assurée par le module de mises à jour automatique implanté dans des solutions Dr.Web. Le module antispam devient tout aussi indispensable afin d’assurer une protection contre le trafic mail parasite pouvant perturber le fonctionnement des messageries.

Top 20 les plus fréquemment détectés sur les serveurs de messagerie au mois de novembre 2008

 01.11.2008 00:00 - 01.12.2008 00:00 
1Win32.HLLM.MyDoom.based13741 (15.33%)
2Win32.Virut13036 (14.55%)
3Win32.HLLM.Alaxala5705 (6.37%)
4Trojan.MulDrop.134084534 (5.06%)
5Win32.HLLM.Beagle4426 (4.94%)
6Trojan.MulDrop.167274206 (4.69%)
7Trojan.PWS.GoldSpy.24564145 (4.63%)
8Win32.HLLW.Autoruner.26403032 (3.38%)
9Trojan.MulDrop.182802580 (2.88%)
10Trojan.PWS.Panda.312228 (2.49%)
11Trojan.DownLoad.168432192 (2.45%)
12Win32.HLLM.Netsky.353281888 (2.11%)
13Win32.Virut.51497 (1.67%)
14Win32.HLLM.MyDoom.331442 (1.61%)
15Win32.HLLM.Netsky1361 (1.52%)
16Trojan.PWS.GoldSpy.24541328 (1.48%)
17Trojan.MulDrop.196481310 (1.46%)
18Win32.HLLW.MyDoom.430101306 (1.46%)
19Win32.HLLM.Mailbot1305 (1.46%)
20Trojan.DownLoad.37351212 (1.35%)

Top 20 les plus fréquemment détectés sur les PC au mois de novembre 2008

 01.11.2008 00:00 - 01.12.2008 00:00 
1Win32.HLLW.Gavir.ini2039696 (21.98%)
2Win32.HLLM.Lovgate.2414507 (4.47%)
3VBS.Autoruner.7310657 (3.35%)
4Win32.HLLM.Generic.440288404 (3.11%)
5VBS.Autoruner.8277825 (2.99%)
6Win32.Alman275230 (2.97%)
7DDoS.Kardraw252853 (2.72%)
8Win32.HLLP.Whboy198018 (2.13%)
9Trojan.Recycle192769 (2.08%)
10Win32.HLLP.Neshta177445 (1.91%)
11Win32.HLLP.Jeefo.36352168291 (1.81%)
12Win32.Virut.5154206 (1.66%)
13Win32.HLLW.Autoruner.274147315 (1.59%)
14Trojan.DownLoader.42350132782 (1.43%)
15Win32.HLLW.Autoruner.3631120982 (1.30%)
16VBS.Generic.548110152 (1.19%)
17Win32.HLLO.Black.297456 (1.05%)
18Win32.HLLW.Autoruner.280589892 (0.97%)
19Win32.HLLW.Cent88296 (0.95%)
20Trojan.MulDrop.1853886521 (0.93%)

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg