Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Politique et fraude : événements viraux du mois de septembre 2010

Le 4 octobre 2010

Au mois de septembre, les medias ont beaucoup relayé d’informations sur le Trojan.Stuxnet, logiciel malveillant qui s’est répandu très rapidement, ainsi que des hypothèses sur les buts de création de ce trojan. Parallèlement, tandis que les pirates testaient de nouveaux procédés destinés à extorquer de l’argent aux internautes, les propriétaires de réseaux botnet continuaient à berner les administrateurs réseau. Les développeurs de logiciels malveillants pour Android, quant à eux, ont frappé fort.

Le Trojan.Stuxnet et la politique

Au mois de septembre, les news sur le Trojan.Stuxnet ont occupé les premières pages des journaux. Ce qui attirait l’attention était la géographie de sa diffusion, c’est pourquoi les publications ont parfois pris un caractère politique: la diffusion du Trojan.Stuxnet semblait être liée au le sabotage du lancement de la centrale nucléaire en Iran, mais en même temps, personne ne s’intéressait aux nouveautés techniques utilisées par les créateurs du virus lors de son développement. Fin septembre, nous avons entendu que ce trojan était diffusé largement en Chine et qu’il était orienté contre les entreprises chinoises. Certains experts tâchaient de démasquer les développeurs de ce logiciel à l’aide de l’analyse linguistique des signatures, révélées dans le code du trojan.

Le Trojan.Stuxnet est en fait un logiciel malveillant moderne et vraiment très technique. Pour assurer sa large diffusion, ses développeurs se sont servis de quelques vulnérabilités de Windows, inconnues auparavant. Mais les spécialistes de Doctor Web ne font pas attention aux bruits sur son caractère politique, pour eux ce n’est qu’un logiciel pirate de plus et leur but est de protéger les utilisateurs de l’antivirus Dr.Web contre lui. A l’heure actuelle, nous constatons aussi la diffusion d’autres virus non moins techniques comme, par exemple, la modification du rootkit Trojan.Tdss (TDL) qui touche désormais les systèmes 64-bits, qui est difficile à désinfecter.

Fraude sur Internet

Au mois de septembre, nous avons vu croître le nombre d’appels au support technique de Doctor Web concernant le déblocage de l’ordinateur et de l’accès aux sites et aux logiciels populaires. Si au mois d’août il n’y avait que 107 requêtes par jour, au mois de septembre leur nombre a atteint 124.

Dans le même temps, les bloqueurs de Windows cèdent leur place à d’autres logiciels malveillants. Par exemple, au mois de septembre quelques trojans utilisant de toute nouvelles méthodes de redirection des pages dans les navigateurs sont apparus. Les spécialistes ont dépisté aussi des trojans bloquant toute possibilité de travail avec la messagerie instantanée.

En ce qui concerne l’extorsion d’argent, la première place revient aux virements sur des comptes de portables appartenant aux pirates (25%) et à l’envoi de SMS payants (70%). Il est à noter qu’en Russie, dans 80% des cas, les pirates indiquent le numéro 6681.

Doctor Web propose toujours son soutien gratuit aux internautes victimes de fraude.

Redirection des pages

Le mois dernier, les pirates ont appliqué deux nouvelles méthodes permettant de modifier les pages des navigateurs. Comme toujours dans ces cas-là, ils ont introduit de nouvelles inscriptions dans le fichier système hosts, mais en utilisant de nouvelles technologies.

Le Trojan.Hosts.1581 substitue les pages web de plusieurs banques russes par d’autres pages afin de récupérer les codes d’accès aux comptes bancaires des utilisateurs trompés. Nous avons découvert que cette modification du Trojan.Hosts possède un composant rootkit, permettant au trojan de filtrer les opérations avec les fichiers et avec le registre système.

Les trojans de la famille Trojan.HttpBlock ont leur technique à part. Ce logiciel installe son propre serveur web sur l’ordinateur contaminé, et y redirige les sites les plus utilisés comme les sites de recherche. Le but des pirates est d’extorquer de l’argent contre le déblocage de l’accès à ces sites.

Bloqueurs de la messagerie instantanée

Au mois de septembre, le Trojan.IMLock s’est activement diffusé en Russie. Il bloque le lancement des messageries instantanées les plus populaires comme ICQ, QIP et Skype. Il affiche une notification signalant le blocage et annonçant à l’utilisateur que pour avoir de nouveau accès à son compte, il doit envoyer un SMS payant au numéro 6681. Pour effectuer la désinfection, il suffit d’analyser le système avec le scanner Dr.Web.

Un site malicieux destiné seulement à Android

Le mois de septembre a également été marqué par l’apparition d’un logiciel malveillant spécialement conçu pour nuire à Android, Android.SmsSend.2, qui, d’après ses fonctionnalités diffère peu des précédents : il envoie des SMS payants depuis les appareils portables infectés. Mais sa particularité réside dans le fait que le virus s’active uniquement lorsque l’utilisateur est connecté à un site Internet depuis un téléphone tournant sous Android ; à cause de cette particularité, il est difficile de le repérer.

Nouvelles tendances dans les réseaux boot

Vers la fin du mois de septembre, les spécialistes de la société Doctor Web ont découvert un réseau boot composé d’ordinateurs sur lesquels était installée la partie serveur de Radmin. Ce logiciel est largement utilisé pour effectuer une gestion à distance des ordinateurs. Il infecte les PC et les connecte au réseau boot. Selon la classification de Dr.Web, il porte le nom de Win32.HLLW.RAhack.

La contamination ne s’effectuait que sur les ordinateurs dont le mot de passe pour Radmin figurait dans la liste des mots de passe connus du ver. Et il s’est avéré que plusieurs administrateurs utilisent des mots de passe trop simples.

Tendances pour le mois d’octobre

Les tendances du mois d’octobre 2010 pourraient nous offrir des « cadeaux » sous forme de nouveaux types de logiciels malveillants qui substituent les pages web lors de la consultation de certains types de sites et permettent de mettre en œuvre de nouveaux schémas de fraude. C’est un des moyens les plus lucratifs pour les cybercriminels. Les propriétaires de réseaux boot qui servent à diffuser des logiciels malveillants continueront à développer des malwares permettant de dissimuler la contamination et de la rendre invisible pour les utilisateurs.

Fichiers malicieux détectés au mois de septembre dans le trafic du courrier électronique

01.09.2010 00:00 - 01.10.2010 00:00
1 Trojan.DownLoad1.58681 337845 (11.46%)
2 Trojan.Oficla.zip 308357 (10.46%)
3 Trojan.Packed.20878 252490 (8.57%)
4 Trojan.Packed.20312 246976 (8.38%)
5 Trojan.DownLoad.41551 230637 (7.82%)
6 Win32.HLLM.Beagle 118139 (4.01%)
7 Win32.HLLM.MyDoom.33808 102740 (3.49%)
8 Trojan.PWS.Panda.114 90503 (3.07%)
9 Trojan.DownLoader1.17157 65819 (2.23%)
10 W97M.Killer 57658 (1.96%)
11 Win32.HLLM.Netsky.35328 52397 (1.78%)
12 Trojan.Oficla.38 49619 (1.68%)
13 Trojan.PWS.Panda.387 49478 (1.68%)
14 Trojan.Botnetlog.zip 43600 (1.48%)
15 Trojan.MulDrop1.39520 32908 (1.12%)
16 Trojan.DownLoader1.20708 26135 (0.89%)
17 BackDoor.Qbot.20 24706 (0.84%)
18 Trojan.DownLoad2.14991 24681 (0.84%)
19 Trojan.DownLoader1.23313 22101 (0.75%)
20 Exploit.Cpllnk 19668 (0.67%)

Total analysés: 22,631,101,955
Total infectés: 2,947,658 (0.01%)

Fichiers malveillants détectés au mois de septembre sur les ordinateurs des utilisateurs

01.09.2010 00:00 - 01.10.2010 00:00
1 Trojan.Click.64310 8273098 (23.82%)
2 Win32.HLLP.Neshta 5135896 (14.79%)
3 Win32.HLLP.Whboy.45 3690668 (10.63%)
4 ACAD.Pasdoc 1977696 (5.70%)
5 Trojan.DownLoader.42350 1927627 (5.55%)
6 JS.Nimda 1370895 (3.95%)
7 Trojan.WinSpy.925 1300940 (3.75%)
8 Exploit.Cpllnk 1091703 (3.14%)
9 Win32.HLLP.Whboy.101 1042949 (3.00%)
10 Win32.HLLP.Rox 823512 (2.37%)
11 Win32.HLLW.Whboy 795502 (2.29%)
12 Win32.HLLM.Dref 620668 (1.79%)
13 Win32.Virut.56 561893 (1.62%)
14 Win32.Antidot.1 298586 (0.86%)
15 Win32.HLLW.Shadow.based 248724 (0.72%)
16 Trojan.Click1.6029 228104 (0.66%)
17 Trojan.AuxSpy.111 213306 (0.61%)
18 Trojan.Smorchok.334 151676 (0.44%)
19 Win32.Sector.12 145085 (0.42%)
20 Trojan.AuxSpy.13 136102 (0.39%)

Total analysés: 12,949,782,895,195,462
Total infectés: 34,724,949 (0.00%)

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg