Au mois de janvier 2010, en Russie, la majorité des plaintes des utilisateurs à propos de contaminations actives étaient liées à la famille des logiciels malveillants Trojan.Winlock. Le schéma directeur des malfaiteurs, quant à lui, était basé sur l’envoi de SMS payants. Les méthodes d’extorsion d’argent des cybercriminels ont été perfectionnées et ils ont également inventé de nouvelles voies de diffusion des logiciels malveillants.

Bloqueurs de Windows

L’événement principal du mois de janvier a été une large expansion de diverses modifications du Trojan.Winlock. Ce logiciel malveillant impose sa fenêtre pop-up par-dessus toutes les autres fenêtres ouvertes sur Windows, rendant impossible le fonctionnement de certains logiciels installés sur l’ordinateur. Les malfaiteurs proposent d’obtenir un code de déblocage via un SMS payant, allant de 300 à 600 roubles pour le déblocage d’un ordinateur.

Au mois de janvier, le serveur de statistiques de Doctor Web a fixé à plus de 850.000 les cas de dépistage du Trojan.Winlock sur les systèmes protégés par les produits antivirus Dr.Web (y compris les statistiques des utilisateurs de Dr.Web Enterprise Suite et du service «Dr.Web Antivirus»). Ce chiffre multiplie par 2,15 fois l’indice analogue du mois de décembre 2009 et par 23,4 fois les données de novembre 2009. Il s’agit donc d’une épidémie de grande envergure en Russie et en Ukraine. Ces dernier mois, des millions d’utilisateurs ont été contaminés par ce logiciel malveillant.

Afin d’aider les utilisateurs dans la lutte contre ces trojans, les providers des numéros courts offrent gratuitement les codes de déblocage aux utilisateurs des systèmes contaminés. Les opérateurs de téléphonie mobile ont créé des services aidant les clients à déterminer le prix réel des SMS avant de les envoyer. Les éditeurs d’antivirus ont fourni aux utilisateurs des outils de protection contre Trojan.Winlock.

Le 22 janvier, Doctor Web a créé une page spéciale sur son site, où sont générés gratuitement des codes de déblocage de Windows (en une seule semaine, cette page a reçu plus de 1 000 000 de visites). Une version spéciale de l’utilitaire Dr.Web CureIt! a été créée.

Fraudes via SMS

La facilité d’obtention de bénéfices via les SMS payants a suscité l’intérêt d’autres pirates qui ont créé des sites malveillants basés sur le même principe. Ils proposent ainsi des services qui n’existent pas en réalité et des logiciels possédant des propriétés vraiment fantastiques !

Par exemple, ces sites proposaient aux utilisateurs de faux antivirus en ligne, qui trouvent sur n’importe quel ordinateur des virus identiques dans les mêmes fichiers; des intercepteurs de messages ICQ et de SMS sur les portables; des logiciels qui permettraient de gérer les portables des autres; des scanners portables prétendant déshabiller les gens, insérés sous la caméra du portable, et d’autres «services» et « logiciels» du même type.

Dans la majorité des cas, le paiement de ces «services» et «logiciels» s’effectue via SMS. Néanmoins, cette méthode s’est quelque peu tarie à la fin du mois de janvier, les pirates étant en ligne de mire à cause de l’épidémie de Trojan.Winlock. Ils sont donc retournés vers leurs anciens schémas de paiement (par exemple, via WebMoney), et tâchent maintenant d’inventer de nouveaux procédés d’extorsion d’argent.

Nouveaux schémas de création de bénéfices criminels

Au mois de janvier, un tout nouveau schéma de paiement de « services » via les téléphones portables a commencé à jouir d’une très grande popularité. Le schéma consiste à demander à l’utilisateur d’inscrire son numéro de portable sur le site offrant un soi-disant service. En réponse, le pirate envoie un lien pour activer le service puis débite automatiquement le compte de l’utilisateur.

La nocivité de ce schéma réside dans le fait que n’importe qui peut introduire le numéro d’une tierce personne. A première vue, ces messages sont inoffensifs. Ils peuvent prévenir l’utilisateur que quelqu’un lui a envoyé une photo ou une vidéo. D’autres types de messages proposent de payer le soi-disant service en téléphonant à un numéro payant. Doctor Web conseille à ses utilisateurs de ne jamais ouvrir les liens contenus dans ces SMS, voire de les supprimer sans les ouvrir.

Nouvelles voies de diffusion des logiciels malveillants et du spam

Au mois de janvier, les malfaiteurs ont utilisé de nouveaux moyens de diffusion des logiciels malveillants. Les spécialistes de Doctor Web ont découvert des envois de spam avec des fichiers torrent en pièces jointes. A l’aide de ces fichiers, l’utilisateur pouvait télécharger, à partir du tracker torrent, sans enregistrement, des soi-disant cartes postales électroniques qui étaient en réalité des logiciels malveillants. Les serveurs de messagerie laissent passer de tels messages sans problème, car le fichier torrent ne contient pas de code frauduleux en lui-même.

En outre, les auteurs de spam ont commencé à utiliser de nouveaux moyens de transmission de grands volumes d’information. Par exemple, des spam avec des fichiers mp3 joints durant plus d’une heure ou bien contenant des liens vers des vidéos situées sur les sites malveillants et même sur YouTube.

Conseils aux utilisateurs pour prévenir la contamination du système par Trojan.Winlock et autres logiciels malveillants « en vogue »

1. Installez un antivirus et effectuez des mises à jour suivant les instructions de son éditeur.
2. Utiliser des browsers Internet alternatifs (Mozilla Firefox, Opera ou Google Chrome) et ne tardez pas à installer les mises à jour de protection, recommandées par leurs développeurs.
3. Installez les mises à jour du système de protection de l’OS utilisé lorsqu’elles vous sont proposées
4. N’allez pas sur les sites publicitaires qui apparaissent sous forme de fenêtres pop-up – c’est un grand risque.
5. Si un des sites vous propose de télécharger un codec ou un autre logiciel pour visionner une vidéo, refusez net. Mais vous pouvez noter le nom du logiciel. En allant sur le site officiel de l’éditeur de ce codec, vous pouvez sans hésitation le télécharger et l’installer sur votre ordinateur. Très souvent, Trojan.Winlock est téléchargé sous l’aspect d’un logiciel nécessaire à la consultation du contenu de sites web.

Conseils pour éliminer le Trojan.Winlock

Si vous voyez sur votre écran une fenêtre pop-up qui recouvre toutes les autres et vous propose d’envoyer un SMS sur un numéro court, si vous n’arrivez pas à la fermer et qu’elle apparaît même dans le régime sécurisé de Windows, cela signifie que votre ordinateur est contaminé par une des modifications du Trojan.Winlock.

1. N’envoyez jamais de SMS payants. Chaque SMS envoyé aide les cybercriminels à éditer de toutes nouvelles modifications du Trojan.Winlock.
2. Entrez sur la page de déblocage.
3. Téléchargez la version spéciale de Dr.Web CureIt!et servez-vous de cet utilitaire pour désinfecter votre système du Trojan.Winlock.
4. Entrez sur le site www.freedrweb.com/ et téléchargez Dr.Web LiveCD. Ayant terminé la désinfection avec Dr.Web LiveCD, il est recommandé de scanner le système avec Dr.Web CureIt!.
5. Rendez-vous sur le site officiel de Doctor Web à la rubrique «Aide à la désinfection».
6. Téléphonnez au provider du numéro court et réclamez le code gratuit du déblocage, car vous êtes victime des malfaiteurs qui agissent par l’intermédiaire du provider de ce numéro court.

En conclusion, la quantité de logiciels malveillants au mois de janvier a diminué de 30% par rapport au mois de décembre 2009 dans le trafic de messagerie. De même, la quantité de malwares sur les ordinateurs contrôlés a diminué de 35%. Cette baisse fait suite à une multiplication par deux du trafic malveillant au mois de décembre 2009.

Fichiers malveillants détectés dans le courrier électronique du mois de janvier 2010

Fichiers malveillants détectés sur les ordinateurs des utilisateurs au mois de janvier