La saison des vacances est passée, le thermomètre est redescendu et les créateurs de virus sont redevenus actifs et plus imaginatifs. Telle est la tendance d’octobre. Le fait marquant de ce mois-ci est le fait que les auteurs de virus masquent leurs programmes malveillants sous de faux antivirus. Par ailleurs, le mois d’octobre a encore une fois confirmé que les courriers électroniques et les sites web malicieux sont les canaux essentiels de transmission des virus vers les ordinateurs des utilisateurs. Ces programmes sont créés en quantités industrielles !

Les faux antivirus – leaders en Octobre

Sur la vingtaine de programmes malveillants les plus propagés en Octobre, près de la moitié représentent différentes modifications du Trojan.Fakealert. Cela montre que les faux antivirus (ou simili antivirus) sont devenus la source principale de profit des créateurs de virus.

Selon les statistiques de Doctor Web, durant les deux premières semaines d’Octobre, le nombre de faux antivirus créés s’élevait à 2.5 millions par jour. A ce jour, leur nombre a baissé pour atteindre encore 1 million par jour. Les effets visuels utilisés dans les nouvelles modifications du Trojan.Fakealert n’ont pas été modifiés depuis la publication de l’aperçu de Septembre.

Comment les utilisateurs en viennent-ils à lancer les programmes malicieux sur leurs machines ? Pour atteindre leur but, les hackers utilisent différentes techniques en fonction du groupe cible. La plupart des faux antivirus se propagent dans des fichiers install.exe, compressés en ZIP. Cette archive est présentée comme une mise à jour du système de messagerie utilisé (le message est envoyé de la part de l’administrateur du serveur de messagerie utilisé) ou comme une mise à jour du client de messagerie Microsoft Outlook. L’utilisateur est alors informé de l’augmentation de menaces et est invité à télécharger cette soi-disant mise à jour pour mieux se protéger. En réalité, il télécharge le faux antivirus qui, au redémarrage de l’ordinateur, fera croire à une attaque et entraînera l’utilisateur à acheter un (faux) outil de protection. De même, ce type de virus sont diffusés via un email comportant la signature du FAI et alertant l’utilisateur sur le fait que le contenu qu’il a récemment téléchargé était protégé par le copyright. Le message l’invite à consulter la pièce jointe, sensée être un rapport sur les fichiers téléchargés par l’internaute depuis les six derniers mois. Là encore, la pièce jointe contient le faux antivirus qui se décelnchera au redméarrage du PC. Enfin, une nouvelle technique consiste à envoyer en pièce jointe un fichier « install.zip », contenant une variante du Trojan.Fakealert que le hacker fait passer pour un utilitaire capable de neutraliser le virus Conficker (Win32.HLLW.Shadow.based selon la classification de Dr.Web).

Les hackers qui créent des faux antivirus ont également pris en considération la popularité de l’interface web Outlook Web Access. Les utilisateurs de ce service reçoivent le Trojan.Fakealert via un lien vers une page web imitant l’interface OWA où il est proposé à l’utilisateur de télécharger les nouveaux paramétrages de son compte de courrier électronique.

Les voleurs des mots de passe talonnent les faux antivirus

A l’égal des faux antivirus, les programmes malicieux qui volent les informations de login des comptes utilisateurs pour l’accès aux sites web ainsi qu’aux ressources web-money, réseaux sociaux, messageries etc., sont devenus une des menaces les plus importantes du mois d’octobre.

Trojan.PWS.Panda.122 demeure le premier représentant de ce type de programmes malicieux. Ce programme malveillant vole les mots de passe auprès de différents services, dont la liste est délivrée par les malfaiteurs depuis des sites frauduleux. La liste peur varier au fil du temps.

Les auteurs de plusieurs modifications du Trojan.PWS.Panda.122 sont très imaginatifs quant à la propagation du Cheval de Troie, qui ne se limite pas à l’envoi de spam comportant des liens vers des sites frauduleux. Durant la première moitié du mois d’Octobre, le Trojan.PWS.Panda.122 a été propagé masqué sous des mises à jour pour Microsoft Outlook. La présentation des messages et des sites ne diffère pas des envois du Trojan.PWS.Panda qui ont été effectués en juin 2009.

Les cyber-criminels se sont également fait passer pour le fisc américain et ont imité le site de l’IRS (Internal Revenue Service). Dans certains cas, le service Yahoo! Geocities a été utilisé pour l’hébergement des sites web malicieux. Les messages proposaient aux utilisateurs d’examiner leurs remboursements en cours de la part du fisc sur le site de l’ IRS, d’’où l’utilisateur téléchargeait lui-même le programme malicieux masqué.

A partir de la dernière semaine d’Octobre, le Trojan.PWS.Panda.122 s’est répandu via le Federal Deposit Insurance Corporation, FDIC – l’agence fédérale des Etats-Unis qui s’occupe de l’assurance des dépôts bancaires. L’utilisateur était informé que la banque était en faillite et qu’il pouvait obtenir de l’information sur une éventuelle compensation sur le site web du FDIC. L’utilisateur téléchargeait et démarrait alors une nouvelle modification du voleur de mots de passe.

Enfin, on a remarqué en octobre la diffusion, dans les systèmes de messagerie instantanée, de liens vers des sites malicieux depuis lesquels les utilisateurs téléchargeaient une des modifications du Trojan.PWS.LDPinch masqué sous une vidéo.

Avez-vous bien saisi l’adresse de livraison ?

Ces derniers mois ont vu la propagation de différentes modifications de deux types de programmes malicieux - Trojan.Botnetlog.11 et Trojan.BhoSpy.97 – imitant les messages d’entreprises de transport, notamment DHL et UPS. Le message informe que le colis ne peut pas être envoyé parce que l’adresse saisie par l’utilisateur n’existe pas.

Le Trojan.Botnetlog.11 a la capacité d’exploiter les vulnérabilités du système sur lequel il se lance. Après l’installation et le démarrage dans le système, le Cheval de Troie essaie de se connecter au serveur du malfaiteur pour recevoir les ordres et le téléchargement des composants supplémentaires du programme malicieux. Le code Trojan.Botnetlog.11 exécutable est masqué à l’aide d’un algorithme élaboré spécialement.

Le Trojan.BhoSpy.97 est installé dans le système en tant que plug-in du navigateur Microsoft Internet Explorer. Outre la capacité de télécharger les fichiers, qui constitue la fonctionnalité essentielle de cette version du logiciel, ce Cheval de Troie peut supprimer les fichiers systèmes en rendant le système non-opérationnel.

Les derniers jours d’Octobre ont vu la propagation du Trojan.Botnetlog.11 envoyé de la part de Facebook. Les messages informaient que Facebook avait mis en place un nouveau système d’accès des utilisateurs à leurs ressources. Il était proposé à l’utilisateur de renouveler son compte suivant le lien proposé pour utiliser le nouveau système. Le lien menait vers un site web falsifié, depuis lequel le programme malicieux se propageait imitant l’outil de mise à jour du compte.

Les bloqueurs Windows deviendraient-ils plus sympathiques avec les utilisateurs ?

La propagation de programmes malicieux limitant l’accès de l’utilisateur au système et exigeant de payer le déblocage a continué au mois d’Octobre. Selon la classification de Doctor Web, ces types de programmes sont appelés Trojan.Winlock.Cependant, plusieurs variantes de ce malware découvertes en octobre bloquaient seulement une partie du système, laissant l’utilisateur utiliser certains programmes. Auparavant, le Trojan ne permettait aucune action sur un système compromis.

Cette nouvelle version du malware laisse la possibilité aux victimes de prendre des mesures d’urgence, de trouver des fichiers du Cheval de Troie, par exemple, et de les envoyer à un laboratoire d’analyse de virus.

Les spam remarquables du mois d’Octobre

Quelques envois de courte durée se sont distingués sur le nombre total des envois. A noter, l’envoi du Trojan.PWS.Panda.122, adressé en pièce jointe comme un fichier exécutable, sans être masqué dans un fichier zippé. Il est difficile, dans ce cas, de deviner l’intention des hackers qui envoient un malware sans le déguiser ; Néanmoins, ce Trojan a atteint son but sans difficulté. A noter également, l’envoi du Trojan.Packed.683, envoyé en pièce jointe dans une archive avec mot de passe, ce que n’avaient pas vu les analystes depuis longtemps. Cependant, cet envoi n’a pas duré.

La fraude sans virus

Ces derniers temps, les fraudeurs recourent le plus souvent aux outils d’Internet sans utiliser de virus à proprement parler.

Pour forcer l’utilisateur à envoyer de l’argent au fraudeur, il existe plusieurs pirouettes.

Les sites web prétendant fournir de l’information aux utilisateurs sur leur consommation de SMS, leurs appels entrants et sortants etc. sont devenus un des instruments les plus populaires de la fraude sans virus. Pour recevoir de l’information depuis ce type de sites, la victime doit saisir son numéro de téléphone. Afin de rendre ces sites plus crédibles, les fraudeurs présentent de l’information sur l’opérateur. Naturellement, le fait de payer pour un service ne fournit en réalité aucune prestation à l’utilisateur.

Par ailleurs, les malfaiteurs essaient, via des sites web innocents, de provoquer l’intérêt des utilisateurs pour les drogues dites « drogues sonores ». L’utilisateur, contre paiement, peut télécharger des fichiers sonores sensés lui faire éprouver des sensations proches de celles provoquées par des drogues « physiques ». En réalité, l’utilisateur ne reçoit pas les fichiers payés ou n’a aucune sensation.

Pour la publicité de ce type de sites, des outils légaux comme Google AddWord sont utilisés en parallèle de ressources criminelles. De la publicité à grande échelle a été réalisée pour ces sites via des comptes compromis d’utilisateurs de réseaux sociaux.

Donc, le mois d’Octobre a confirmé la tendance des derniers mois – les messages électroniques, les sites web malicieux, les systèmes de messagerie instantanée et les sites web de réseaux sociaux restent les canaux essentiels de pénétration des programmes malicieux. Les cybercriminels combinent différentes techniques de fraude pour atteindre leurs objectifs et trompent leurs victimes en leur donnant de fausses astices ou en exploitant leur manque de compétences. Doctor Web insiste sur le fait que pour résister aux attaques, les utilisateurs doivent installer des antivirus sur leurs machines et paramétrer les mises à jour automatiques des bases virales et des composants de protection. De même, l’utilisation d’un antispam est indispensable. L’antispam permet d’éviter les messages dangereux parmi les e-mails avant que l’utilisateur ne les ouvre. Néanmoins, la règle de protection élémentaire reste la vigilance. Adressez-vous à des professionnels si vous avez un doute !.

Virus détectés dans le trafic email au mois d’Octobre2009

Virus détectés sur les machines des utilisateurs au mois d’Octobre 2009