La victoire de l'antivirus Dr.Web sur la nouvelle modification du Rootkit backdoor. Tdss fut un événement clé du mois de novembre 2009. Ce Rootkit utilise diverses technologies de dissimulation dans le système afin de fournir aux hackers un contrôle complet sur l'ordinateur infecté. De plus, on assiste à une propagation accrue des logiciels malicieux sous l’aspect de logiciels spéciaux capables de dépister les déplacements des propriétaires de téléphones portables. La diffusion de messages via les réseaux sociaux reste la voie principale de distribution des Trojan. Quant au flux des virus diffusés via les courriers électroniques, il a connu, vers la fin du mois de novembre, une certaine récession locale.

Le composant backdoor. Tdss 565. et ses successeurs

Le 12 Novembre 2009, la société Dr.Web , a porposé à ses utilisateurs une nouvelle version du scanner, qui, le premier parmi les solutions antivirus, a été capable de s’opposer au Rootkit Tdss BackDoor.565 ( largement connu aussi comme TDL3), étant installé directement dans le système infecté.

Ce type de rootkits comprend de nombreuses modifications toutes récentes qui sont capables de contourner presque toutes les technologies antivirus modernes et d’injecter le programme nocif dans le système sans que l'utilisateur et la plupart des programmes antivirus ne s’en rendent compte.

Parmi ces "innovations" du BackDoor.565Tdss, une nouvelle méthode d'installation dans le système, qui est susceptible de tromper pratiquement tous les outils d’analyse comportementale. Ce fait a démontré que les auteurs des virus élaborent non seuleument de nouveaux modèles de virus, difficiles à détecter grâce aux technologies de signature et aux technologies heuristiques, mais tentent également de s'opposer (et dans certains cas avec succès) aux outils modernes d’analyse comportementale.

Les auteurs de virus ont également inauguré la création d’ un disque chiffré virtuel propre pour le disque dur de l’utilisateur, qui contient certains fichiers nécessaires au fonctionnement du virus approprié. On utilise une technique spéciale, permettant de dissimuler l'utilisation de ce périphérique, pour monter ce disque dans le système.

Le rootkit infecte également un des drivers, qui est responsable du fonctionnement des disques de l’ ordinateur. Le virus détermine automatiquement le type d'interface utilisé par les disques sur l’ordinateur à infecter, et infecte ensuite le driver qui correspond à cette interface.

De backDoor.Tdss 565 utilise d’autres méthodes spécifiques posant un problème de détection et de traitement aux sociétés antivirus. Les créateurs de l’ antivirus Dr.Web ont été les premiers à le résoudre, et leurs développements ont été intégrés à la version actuelle du scanner de Dr.Web, disponible dans tous les produits antivirus Dr.Web, conçus pour fonctionner dans le système opérationnel Windows !

Faux navigateurs et moteurs de recherche

De faux antivirus, dont l’existence a été signalée à plusieurs reprises par Doctor Web dans ses actualités, continuent à se diffuser activement.

Aujorud’hui,le thème du logiciel mobile gagne en popularité parmi les pirates. Ce n'est pas étonnant, car presque chaque personne de nos jours possède un téléphone portable. Ces derniers mois, les malfaiteurs exploitant ce thème pour la réalisation de leur schémas frauduleux, n’ont pas utilisé de logiciels nocifs. Mais en novembre, on voit apparaître plusieurs lettres d’information en russe traitant de logiciels destinés à surveiller les utilisateurs de téléphones mobiles. Le but de ces lettres était la diffusion de programmes nocifs pour le vol de mots de passe.

Au début du mois de novembre, un message électronique a été diffusé, prétendant fournir un logiciel permettant de trouver l'emplacement exact du propriétaire de n'importe quel téléphone portable. Des victimes potentielles furent attirées par l’ opportunité d’essayer ce programme gratuitement. Tandis qu’en fait, le fichier exécutable de l'application était le programme de vol de mots de passe Trojan.PWS.AccHunt.11.

Un autre programme similaire, Trojan.PWS.Multi.109, était distribué sous l’aspect d’un logiciel aussi «utile» que le précédent, mais maintenant surnommé "localisateur". Dans l’archive, joint à la lettre, il y avait 2 fichiers, dont l'un était un moyen d'installation tout à fait légitime, tandis que l'autre représentait un package d'installation spécialement préparé. Le programme d'installation du script était créé par les hackers de telle manière que l'installation du package se produise avec succès, mais on demandait à l'utilisateur un autre paquet d’installation qui n’était pas présent dans l'archive. On peut conclure alors que les architectes du logiciel ont oublié de mettre dans le package d'installation certains fichiers manquants, et les utilisateurs devaient abandonner leurs tentatives ultérieures de "localiser′" quelqu’un. En faisant cela, ils n’ont pas pensé qu' ils avaient déjà tenté une fois de faire marcher ce programme, c’est pourquoi leurs mots de passe étaient déjà entre les mains des pirates.

Même à Dance City il ne fait pas toujours beau

Ce n'est pas un secret que les utilisateurs d’Internet dépensent des sommes considérables pour se procurer des avantages dans les jeux enligne, apportant des revenus considérables à leurs auteurs et aux titulaires de droits. Les pirates profitent de ce canal pour créer divers schémas de fraude et créer également des canaux supplémentaires pour la distribution de programmes malveillants.

Dans ce rapport, nous présentons certains shémas criminels dirigés contre les utilisateurs du jeu en ligne très populaire aujourd’hui en Russie : « Dance City ». La popularité de ce jeu est croissante. Il existe un certain nombre de joueurs qui cherchent à l’aide de moyens divers (y compris malhonnêtes) à obtenir certains privilèges virtuels. L’objectif du jeu est d’avancer en gagnant des points, mais pour certains joueurs cela semble être trop long et fastidieux. Afin d’accélérer le processus de développement de votre personnage et son niveau dans le jeu, vous pouvez transférer une certaine quantité d'argent réel sur un compte virtuel.

Les pirates, connaissant toutes les particularités du jeu, proposaient à leurs participants des logiciels sensés leur permettre d’augmenter chaque jour la somme sur leur compte virtuel, et obtenir ainsi des privilèges d’administrateur du jeu, ainsi que d’autres possibilités qui auraient pu leur être utiles dans cette virtuelle "ville de danses".

En fait, les utilisateurs qui se laissent manipuler deviennent des victimes des pirates.Il n’existe pas seulement le risque de transférer des sommes considérables sans rien recevoir en échange. Mais également le fait que les pirates recevant les données du compte utilisateur et de son personnage, pour le développement duquel l’utilisateur a pu passer plus d’un mois, s’en servent pour mettre en vente ce personnage. Les pirates utilisent souvent les services comme files4money WAP.Yahoo.com, files4sms WAP.Yahoo.com, mix-fichier pour recevoir l'argent de leurs victimes.

Outre le vol de l'argent des utilisateurs, les pirates propagent des programmes prétendus gratuits, qui en fait leur permettent de s’introduire dans le système du jeu. De plus, ils diffusent avec cela divers logiciels malicieux, citons par exemple le cas de la diffusion du BackDoor.Dax.47.

Virus détectés dans les courriers électroniques au mois de novembre

La diffusion de nouvelles modifications des voleurs de mots de passe Trojan.PWS.Panda ainsi que du virus-trojan de la famille Trojan.Proxy, s’est poursuivie au mois de novembre. Toutefois, comme les sociétés antivirus informent constamment les utilisateurs sur les emailings malveillants, les auteurs de virus sont amenés à renouveler leurs méthodes.

Ces derniers mois la diffusion de logiciels malveillants a été déguisée sous l’envoi de messages sensés provenir de l'administration du réseau social Facebook. En novembre les utilisateurs de MySpace sont devenus une nouvelle cible des pirates. Tout comme les utilisateurs de Facebook, ils reçoivent des messages leur signalant que le mot de passe pour l’accès au réseau social a été modifié pour des raisons de sécurité et qu’il s peuvent le trouver dans le fichier archivé attaché. Dans d’autres messages, il leur est proposé de télécharger un utilitaire capable d’apporter lesmodifications nécessaires pour que l’utilisateur puisse réussir à ouvrir sa session sur le site du réseau social. En réalité, le lien de téléchargement conduit à un site Web créé par des cybercriminels.

Les pirates envoient souvent des messages utilisant les noms d’organisations largement connues, qui jouissent d’un respect unanime, ce qui leur permet de diffuser des programmes malveillants. En novembre, ils ont choisi de se dissimuler derrière l’Association des paiements électroniques NACHA (The electronic payment association). Dans les messages envoyés par les pirates, on signalait à l’utilisateur que son paiement électronique avait été annulé et qu’il pouvait trouver les détails sur le site Web de l'Association. Le faux site contenait le Trojan.PWS.Panda.

De manière générale, l’activité des pourriels, associée à la propagation des logiciels malveillants, avait atteint le niveau du mois précédent dans la première moitié du mois de novembre. Mais à partir du milieu du mois on a pu constater une nette diminution de ce type de messages qui ont été réduits de moitiépar rapport au début du mois. Toutefois, cette diminution apparaît comme une accalmie.

Phishing

Pour accéder aux comptes des utilisateurs du réseau social " V kontakte", les pirates ont utilisé le chat. Le lien de référence conduisait vers un site frauduleux, où l’utilisateur indiquait les données de son compte. Ces données devenaient la proie des pirates, après quoi l’utilisateur était redirigé automatiquement vers le site réel du réseau social. Ainsi, l’utilisateur pouvait ne pas s’aperçevoir du fait qu’on lui avait dérobé son mot de passe.

Outre les schémas simples, les hackers ont également activement utilisé des combinaisons plus complexes. Au cours de la seconde moitié du mois de novembre ils ont envoyé des messages provenant soi-disant de Google et proposant aux internautes de gagner de l’argent en suivant un lien.

Dans certains cas, le lien dirigeait l’utilisateur vers un post Twitter contenant un autre lien. Dans d’autres cas, le lien amenait l’utilisateur sur une page web utilisant les services Google.

Dans les deux cas, l’objectif des hackers était d’amener l’utilisateur vers un faux site web afin de récupérer ses données personnelles. Afin de ne pas lui laisser le temps de nourrir des soupçons, ils ont introduit un compte à rebours sur le faux site web et fait en sorte que rien ne se passe après l’entrée des données de l’utilisateur.

Virus détectés dans le trafic email en novembre

Virus détectés en novembre sur les ordinateurs des utilisateurs