Le 5 Octobre 2009

Septembre est la période où les élèves reprennent la direction de l’école et de leurs ordinateurs et où les adultes reprennent le chemin du bureau. L’activité des internautes s’accroît et simultanément, on constate une augmentation des menaces Internet. Parmi les événements viraux les plus signifiants de ce mois de septembre, figurent l’activité accrue du Trojan.Encoder chiffrant les données sur les machines de ses victimes, la poursuite des attaques des simili-antivirus ainsi que les méthodes originales de hacking des réseaux sociaux.

«Correcteur» a déployé une nouvelle vague du Trojan.Encoder

Le 28 Septembre 2009, Doctor Web a constaté l’accroissement, durant le mois, du nombre de victimes du Trojan.Encoder chiffrant les documents des utilisateurs et exigeant une rançon pour le décodage. A ce jour, la somme de la rançon s’élève à 14 euros. Mais pirate oblige, même après le versement de l’argent au malfaiteur «Correcteur», ce dernier n’assure pas la transmission de l’utilitaire-déchiffreur et son fonctionnement dans le système de l’utilisateur attaqué. Tous les jours, les spécialistes de Doctor Web aident des dizaines d’utilisateurs lésés à restaurer les fichiers infectés par ce programme malicieux.

Depuis la publication de cette information, trois nouvelles modifications de Trojan.Encoder — 43, 44 et 45 sont apparues. Elles diffèrent des précédentes par une nouvelle clé de codage des documents ainsi que par de nouvelles coordonnées du malfaiteur. Les spécialistes de Doctor Web ont crée rapidement les outils permettant de décoder les fichiers, auxquels l’accès a été bloqué par les nouvelles modifications du Trojan. La toute dernière modification de Trojan.Encoder est très intéressante : cette version ajoute une extension DrWeb aux fichiers encodés. Suite à l’opposition réussie de Doctor Web au Trojan.Encoder, l’auteur s’est vengé en mentionnant le nom Dr.Web dans le nom des fichiers encodés.

De plus, les spécialistes de Doctor Web ont révélé le lien vers un des sites de l’auteur des modifications du Trojan. Le plus curieux de l’histoire est que le possesseur de cette ressource essaie de faire allusion à Doctor Web en utilisant l’image de l’araignée et du docteur alors que Doctor Web n’a aucune liaison avec ce site. Cette image parait être utilisée pour embrouiller des utilisateurs novices et compromettre Doctor Web.

Le malfaiteur feint d’aider les victimes et tient à se présenter comme la personne qui les aide à restaurer leurs documents. Il propose de parcourir une vidéo sur son site, où le fonctionnement de l’outil de déchiffrage des documents rançonnés est expliqué.

Tous les antivirus ne sont pas utiles

Les simili-antivirus troublent les utilisateurs du monde entier depuis quelques mois. Toutes les ficelles possibles (depuis les sites Internet spéciaux avec de la publicité pour des antivirus inventés jusqu’aux envois de spam traditionnels) sont utilisées pour que l’utilisateur télécharge ce programme malicieux.

La fin du mois de septembre a vu la propagation d’une des modifications du simili-antivirus Trojan.Fakealert.5115. Son pic d’activité a eu lieu le 27 Septembre où plus de 800 000 détections ont été signalées sur les serveurs de statistiques de Doctor Web.

Après le démarrage du Trojan.Fakealert.5115, apparaît une notification informant que le système a été infecté et qu’il faut utiliser un logiciel spécial pour éviter la perte des données. Ensuite, une fenêtre s’affiche informant que Windows chargera automatiquement le logiciel nécessaire et qu’il suffit de cliquer sur ce message.

Après cela, d’autres composants du Trojan.Fakealert.5115, détectés par Doctor Web comme Trojan.Fakealert.4709 et Trojan.Fakealert.5112, sont téléchargés depuis des serveurs spéciaux. Parmi les faux antivirus préconisés par le Trojan.Fakealert.5115, il faut noter cette fenêtre proposant l’antivirus inventé sous le nom de : Antivirus Pro 2010.

de nouvelles modifications des simili-antivirus ont été découvertes :Trojan.Fakealert.5229 et Trojan.Fakealert.5238. Trojan.Fakealert.5229 diffère des autres modifications par le redémarrage du système pendant le fonctionnement du Trojan.

Trojan.Fakealert.5238 se distingue par le fait qu’il ouvre une fenêtre Windows Security Center modifiée informant de la pseudo-protection de la machine par l’Antivirus Pro 2010, mais il faut acquérir une licence.

Après le clic sur l’onglet approprié, un site spécial s’ouvre via lequel il est possible d’acheter le soi-disant antivirus. En réalité, « l’antivirus complet » proposé n’existe pas.

Les simili-antivirus rapportent aux cybercriminels un revenu significatif pendant quelques années. Durant les derniers mois, la propagation de ce type de logiciels malicieux s’est beaucoup accrue.

Qui veut s’introduire dans le réseau social?

Un auteur de virus (en Russie) a adressé une proposition inhabituelle à ses victimes potentielles sur sa page Internet. Il a publié en détail une méthode d’attaque des comptes utilisateurs d’un réseau social populaire en Russie tout en proposant de protéger ces comptes contre un accès non autorisé.

Pour parvenir à ce but, il est recommandé aux utilisateurs de modifier le fichier hosts par eux-mêmes, ce qui évite au pirate d’inclure cette action dans son logiciel malveillant.

Il est évident que le résultat impatiemment attendu et promis par les auteurs de ce site, n’arrive pas. Dans ce cas, le malfaiteur propose de télécharger un logiciel qui introduira les paramétrages nécessaires automatiquement. L’utilisateur subit une déception cuisante, - il n’y a pas aucun résultat. Ce n’est pas étonnant, puisque le programme est identifié par Doctor Web comme Trojan.DownLoad.47503.

Selon les statistiques, des centaines de visiteurs du site se sont pris au jeu pour devenir « hackers » d’un jour. Le programme malicieux continue à se propager, avec un pic d’activité en date du 28 Septembre.

Trojan.Winlock de nouveau. Maintenant, via ICQ et avec le pinch

Une nouvelle modification du Trojan.Winlock — 252 et du Trojan.PWS.LDPinch.1941 a été diffusée via ICQ durant la dernière semaine de Septembre 2009.

L’utilisateur recevait ce message : « Est-ce que tu reconnais quelqu’un sur cette photo ? » et un lien vers la page web où la photo aurait pu être éditée.

Au téléchargement de la page web, le fichier lock.ex, emballé par des outils de virus est téléchargé. Lors de son lancement, il enregistre sur la machine de l’utilisateur quatre fichiers — explorerr.ex, svcoost.ex, 43.jpg, et 154.bat, le fichier éradiquant le « dropper ».

Explorerr.ex est détecté par Dr.Web comme Trojan.PWS.LDPinch.4308. Il est emballé par l’outil de virus + FSG. L’objet déballé est détecté comme Trojan.PWS.LDPinch.1941. Le svcoost.ex est identifié comme Trojan.Winlock.252.

La propagation du Trojan.Winlock avec le pinch rend cette menace encore plus dangereuse car non seulement le système est bloqué mais les mots de passe trouvés sur la machine de la victime sont également volés.

Les virus de messagerie ne capitulent pas

A ce jour, le Trojan.DownLoad.47256, au sujet duquel Doctor Web a publié une alerte le 22 Septembre 2009, conserve le leadership dans le trafic de mail. La courbe de l’épidémie est descendue mais le serveur des statistiques de Doctor Web continue à signaler des centaines de milliers de détections du Trojan.DownLoad.47256 toutes les 24 heures.

Trojan.Packed.2915 n’est pas loin du Trojan.DownLoad.47256 selon les indices statistiques, qui a remplacé Trojan.Botnetlog.11 (Doctor Web l’a mentionné dans son rapport d’activité virale d’Août). La diffusion du Trojan.Packed.2915 s’effectue par l’imitation de courriers de la part du service DHL.

Comme auparavant, pour chaque nouvel envoi, les malfaiteurs ont appliqué une nouvelle modification du Trojan. Les spécialistes de Doctor Web ont crée l’enregistrement viral Trojan.Packed.2915, qui permet de détecter les modifications du Trojan qui n’ont pas encore été testées dans le laboratoire viral.

Le 25 Septembre a enregistré le pic d’activité du Trojan.Packed.2915. Aujourd’hui, la tendance semble se diminuer mais le nombre d’exemplaires de ce logiciel malicieux continue à se compter par dizaines de milliers par jour.

Face à la circulation intense de différents types de programmes malicieux destinés à rançonner les utilisateurs, Doctor Web recommande de ne pas contacter les cybercriminels et de ne surtout pas faire de virement vers leur adresse ou d’envoyer des SMS. Veuillez faire appel aux spécialistes de Doctor Web. Dans la plupart de cas, ils vous aideront à restaurer l’information perdue à cause d’une attaque de Trojan ou à restaurer le fonctionnement du système. Puisque le trafic email reste un des canaux majeur de propagation des virus, nous vous recommandons d’éviter le lancement des fichiers joints aux messages d’expéditeurs inconnus. Veuillez ne pas essayer d’utiliser les méthodes d’introduction sur les sites ni d’attaque des logiciels décrits sur certains sites. De telles actions peuvent endommager le système et les données et entraînent une responsabilité pénale.

Virus détectés dans le trafic email au mois de Septembre 2009

Virus détectés sur les machines des utilisateurs au mois de Septembre 2009