le 5 novembre 2013

La mi-Automne 2013 a été marquée par la propagation des Trojans.Ecodeurs : au mois d'octobre, le support technique de Doctor Web a reçu des requêtes de centaines de victimes de modifications du Trojan.Encoder. De nouveaux logiciels malveillants ciblant Android ont été découverts le mois dernier.

Situation virale.

Selon les statistiques de l'utilitaire de traitement Dr.Web CureIt! le Trojan.LoadMoney.1, une application pour télécharger des fichiers générés automatiquement par le programme Loadmoney reste le champion parmi les logiciels malveillants. Le Trojan.LoadMoney.76 se trouve également parmi les plus actifs. Un grand nombre d'ordinateurs sont infectés par le malware Trojan.Hosts.6815, un malware qui modifie le fichier hosts sur l'ordinateur infecté pour rediriger le navigateur de l'utilisateur vers des ressources frauduleuses ou de phishing. Parmi les leaders du mois, nous trouvons également le Trojan-downloader Trojan.InstallMonster.28 et le Trojan publicitaire Trojan.Lyrics.11. Le tableau ci-dessous affiche la vingtaine de malwares les plus répandus selon les statistiques de l'utilitaire de traitement Dr.Web CureIt! :

Botnets.

La dynamique de croissance du botnet formé par le virus de fichiers Win32.Rmnet.12 reste au même niveau en octobre : le premier botnet a enrôlé chaque jour 15 000 machines infectées, et le second, 11 000. L'évolution du volume de deux sous-botnets Win32.Rmnet.12 est représentée sur les graphiques ci-dessous :

Evolution du volume du botnet Win32.Rmnet.12 au mois d'octobre 2013 (1er sous-botnet)

Evolution du volume du botnet Win32.Rmnet.12 au mois d'octobre 2013 (second sous-botnet)

Le volume du botnet Trojan.Rmnet.19 est en chute - au début du mois, le botnet enrôlait 4 640 bots actifs, à la fin du mois, ce chiffre est de 3 851.

Le volume du botnet BackDoor.Bulknet.739 : Le 28 octobre, ce botnet enrôlait 1 539 ordinateurs infectés. Le nombre total d'ordinateurs appartenant à des pharmacies ou à des entreprises pharmaceutiques infectés par le Trojan BackDoor.Dande a un peu diminué. A la fin du mois de septembre, il comprenait 1 232 postes de travail infectés, et à la fin du mois d’octobre, ce nombre était de 1 105.

Le volume du botnet BackDoor.Flashback.39, enrôlant des ordinateurs tournant sous Mac OS X a diminué. A la fin du mois de septembre, le nombre de machines enrôlées était de 38 288, et à la fin du mois d'octobre, de 31 553.

Menaces ciblant Android.

Lors du mois écoulé, les spécialistes de Doctor Web ont détecté plusieurs nouveaux logiciels malveillants ciblant Android, conçus pour le vol de données sensibles. Ainsi, les Trojans Android.Spy.40.origin, Android.SmsSpy.49.origin et Android.SmsForward.14.origin ciblent les utilisateurs coréens et se propagent via des SMS indésirables contenant un lien vers un fichier apk. Ce moyen est très populaire parmi les cybercriminels, ce qui peut démontrer son efficacité.

Comme leurs homologues, ces Trojans peuvent intercepter les messages contenant des données sensibles, personnelles ou professionnelles, les coordonnées bancaires, ainsi que les codes mTAN, largement utilisés par les banques pour confirmer les paiements en ligne. Le Trojan Android.Spy.40.origin est plus préoccupant car il exploite une vulnérabilité du système Android lui permettant d'éviter la détection par les logiciels antivirus. Pour ce faire, les attaquants modifient la structure de son package apk. Pour plus d'information sur cette menace, consultez l'article correspondant sur le site de Doctor Web.

La détection du Trojan Android.Zoo.1.origin, distribué sur un site chinois de jeux, et modifié par les cybercriminels est un autre événement important du mois. Lancé sur l'appareil mobile infecté, Android. Zoo.1.origin recueille et transmet aux pirates les contacts, peut télécharger et installer d’autres logiciels malveillants, envoyer des SMS payants, ouvrir une page spécifiquedans le navigateur, ainsi qu'effectuer d’autres actions.

Par ailleurs, n’'oublions pas les nouvelles modifications des Trojans Android.SmsSend et Android.SmsBot, conçus pour envoyer des SMS payants. Ces modifications ont été ajoutées à la base virale de Doctor Web. Parmi elles, nous trouvons également Android.SmsSend.853.origin, Android.SmsSend.888.origin и Android.SmsBot.7.origin, qui ont été distribués sous couvert d’applications populaires ainsi que via des installateurs d’applications.

Les autres événements du mois.

Gameover continue : Upatre distribue le crypteur CryptoLocker avec le Trojan bancaire Gameover ZeuS.

Le 10 octobre 2013, la société Dell SecureWorks a rapporté la propagation du Trojan bancaire Gameover ZeuS à l'aide du Trojan-Downloader. Le spécialistes de la sécurité informatique ont découvert que le logiciel de cryptage CryptoLocker, qui extorque de l'argent pour le décryptage de fichiers, a été distribué avec le même downloader.

Le Trojan de la famille Trojan.DownLoad, quant à lui, est uniquement conçu pour télécharger d’autres logiciels malveillants sur l'ordinateur de la victime. Il est masqué sous un fichier zip ou pdf et se propage comme une pièce jointe via le spam. Si l'utilisateur ouvre cette pièce jointe, ce Trojan téléchargera sur l'ordinateur les Trojans bancaires de la famille Zbot/ZeuS, ainsi que le CryptoLocker. Ce crypteur bloque l'accès au système, et réclame une rançon pour le décryptage de fichiers.

Des experts ont examiné un échantillon de ce spam. La pièce jointe malveillante contient un downloader Trojan.DownLoad, qui télécharge ensuite le logiciel Trojan.PWS.Panda, qui à son tour télécharge CryptoLocker.

L'utilisateur dont l'ordinateur est infecté par ces programmes malveillants risque de perdre ses identifiants à sa banque en ligne (et le cas échéant, de l’argent), mais également des fichiers, cryptés par CryptoLocker. L'utilisateur ne peut pas décrypter lui-même les fichiers à cause de la complexité de la méthode de cryptage.

Le Trojan CryptoLocker est détecté par l'antivirus Dr.Web sous le nom Trojan.Encoder.304 (sa signature a été ajoutée à la base virale Dr.Web le 25 octobre 2013).

Les utilisateurs de Dr.Web sont protégés contre ces menaces. Cependant, il est recommandé d'observer des précautions supplémentaires : N'ouvrez pas les pièces jointes dans les messages provenant d’adresses non-fiables, évitez les redirections, faites des sauvegardes de fichiers, utilisez des logiciels légaux et mettez-les à jour.

Dexter : nouvelle menace pour les titulaires de cartes bancaires

Une nouvelle modification du logiciel malveillant Dexter a causé des pertes considérables pour les banques sud-africaines. Des centaines de milliers de cartes de crédit et de débit ont été compromises. Dexter infecte les terminaux de paiement (point of sale) dans les chaînes de grande distribution et les restaurants, vole les données des cartes bancaires chargées dans la mémoire vive de l'ordinateur, les crypte et les envoie au serveur des attaquants.

Selon les spécialistes, Dexter a été découvert en 2012. Les modifications détectées sont également connues sous les noms Alina, BlackPOS, Vskimmer. En quelques mois, ces malwares ont infecté des centaines de terminaux de paiement dans 40 pays. La plupart des systèmes infectés se trouvaient, en 2012, en Amérique du Nord et au Royaume-Uni.

Ces modifications sont détectées par l'antivirus Dr.Web sous les noms Trojan.Packed.23683, Trojan.Packed.23684 et Trojan.Packed.23685. Leurs signatures ont été ajoutées à la base virale Dr.Web le 27 septembre 2013.

Trojans bancaires Zeus P2P : l’adresse est connue

Plusieurs spécialistes qui étudient le spam et les sites de phishing rapportent la diffusion, via le spam, de nouvelles modifications du Trojan bancaire Zeus P2P. Selon un site australien, plus de 135.000 boîtes aux lettres ont reçu ce spam.

Les attaquants envoient les messages à partir de fausses adresses, en utilisant le protocole SMTP. Il est supposé que leur adresse réelle est fraud@aexp.com, enregistrée sur un serveur dont l'adresse IP 190.213.190.211, vient de Trinidad et Tobago. Dans le sujet des messages (envoyés prétendument de la part d’institutions d'Etat, de banques, etc), les attaquants indiquent les noms de documents financiers, affichent des notifications de sécurité, afin d’inciter la victime à ouvrir la pièce jointe.

La pièce jointe (masquée sous un fichier *.zip ou *.pdf) est un fichier exécutable. Une fois ouvert, ce fichier télécharge les modifications des Trojans : Trojan.DownLoad3.28161, Trojan.DownLoader10.16610, Trojan.Inject1.27909 (tous les noms sont listés conformément à la base virale Dr.Web).

Il est possible qu'à l'aide de ces Trojans, le Trojan bancaire P2P Zeus pénètre l'ordinateur de la victime.

Les signatures des malwares Trojan.DownLoad3.28161, Trojan.DownLoader10.16610 et Trojan.Inject1.27909 ont été ajoutées à la base virale Dr.Web les 9 et 10 octobre 2013.

Dr.Web détecte le logiciel malveillant P2P Zeus sous le nom Trojan.PWS.Panda.4379. Ce Trojan bancaire est très répandu. Il transmet aux attaquants les identifiants d’accès à des services bancaires, vole les clés et mots de passe pour différents logiciels, effectue du key logging, des captures d'écran, enrôle les appareils infectés dans des botnets, exécute les commandes provenant des serveurs des attaquants, redirige la victime vers des sites de phishing pour voler des données sensibles. Pour éviter l'infection, il faut éviter d’ouvrir les pièces jointes douteuses provenant de sources suspectes, éviter de cliquer sur des liens suspects et il est nécessaire de protéger l'appareil à l’aide de logiciels antivirus, enfin il faut mettre à jour les logiciels installés.

Fichiers malveillants détectés dans le courrier électronique en octobre 2013

Fichiers malveillants détectés sur les ordinateurs des utilisateurs en octobre 2013