Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Aperçu de l’activité virale du mois de Mars 2009 présenté par Doctor Web

Le 2 avril 2009

Doctor Web présente son aperçu de l’activité virale du mois de mars 2009. Le mois précédent était riche en nouveaux cas de fraudes où des cybercriminels recouraient aux programmes malicieux. Les botnets sont en progressions permanente. Leurs auteurs utilisent des méthodes de plus en plus agressives pour propager et exploiter les botnets. Le nombre d’ordinateurs bot, infectés, augmente massivement. De plus, l’envoi en masse des messages publicitaires constitue la plupart des sujets de spam.

Botnets

En mars 2009, les botnets Tdss et Shadow se sont fait remarquer. Ils ont commencé à utiliser de nouvelles méthodes pour augmenter l’efficacité de leur fonctionnement et ont continué à se propager, via les disques amovibles et les ressources réseau, en utilisant des vulnérabilités connues. Ceci signifie que certains utilisateurs ne suivent pas les recommandations des éditeurs d’antivirus en matière de respect des règles de sécurité informatique.

Doctor Web accorde beaucoup d’attention à la fourniture d’informations sur les nouvelles menaces informatiques. Ainsi, l’éditeur les présente dans ses actualités et insiste sur cet aspect lors de la formation de ses spécialistes. Doctor Web informe également régulièrement les utilisateurs sur les méthodes de lutte contre les menaces. Les propriétaires de botnets savent qu’il est facile de détecter la présence d’une infection sur un ordinateur, à partir de certaines vulnérabilités ouvertes dans le système et exploitées par le botnet. Ils savent aussi que la plupart des administrateurs des réseaux recourent à ce type de méthode dans leur travail. De ce fait, une nouvelle fonctionnalité est apparue dans la dernière modification Win32.HLLW.Shadow.based. Il s’agit de la fermeture des vulnérabilités utilisées autrefois pour infecter les ordinateurs. Ainsi, il devient plus compliqué de détecter une infection sur un ordinateur à partir des seules vulnérabilités par lesquelles les ordinateurs bots, comme par le passé, reçoivent leurs instructions des criminels.

La dernière modification de Win32.HLLW.Shadow.based génère 50 000 noms de serveurs toutes les 24 heures et utilise 500 de ces noms pour recevoir des instructions. Ce nouvel algorithme de travail rend la résistance au fonctionnement du botnet plus difficile. Il est impossible de définir, à priori, toutes les adresses des serveurs engagés dans son fonctionnement et d’arrêter légalement leur travail.

BackDoor.Tdss, utilisé par les fraudeurs pour l’extension du botnet Tdss, applique des méthodes un peu différentes. Il améliore les rootkits utilisés afin de résister plus effectivement aux logiciels antivirus. Ainsi, les versions modernes de BackDoor.Tdss peuvent résister efficacement au fonctionnement des moniteurs de fichiers antivirus. Outre l’utilisation populaire des vulnérabilités des systèmes d’exploitation Windows, ce backdoor applique une ancienne méthode de propagation des programmes malicieux, connue de tous les utilisateurs, la méthode des codecs pour la vidéo. En effet, en dépit de sa popularité, cette méthode continue à bien fonctionner jusqu’à présent.

Fraude

Le mois précédent était riche en nouveaux cas de fraude où des cybercriminels recouraient aux programmes malicieux.

Les propriétaires de cartes de crédit ont été troublés par l’information sur la détection de programmes malicieux dans certains distributeurs de billets automatiques des banques Russe. Ces programmes collectaient des informations concernant les cartes de crédit et les relevés de comptes envoyés aux distributeurs automatiques de billet à la demande des clients. Ce programme a été classifié par Dr.Web sous le nom Trojan.Skimer. Aujourd’hui, la base de données virales contient environ une dizaine de versions différentes de ce logiciel malicieux. Il faut préciser que les banques avaient reçu du fabriquant de ces automates, préalablement à la découverte par les éditeurs d’antivirus de cette menace, les informations nécessaires à la fermeture des vulnérabilités. La description détaillée des fonctions de Trojan.Skimer est accessible dans la bibliothèque de virus de Doctor Web.

Bien que les vendeurs d’antivirus fournissent une information détaillée des pseudo antivirus, les fraudeurs continuent à utiliser des schémas trompant les utilisateurs afin de les amener à payer un programme sans valeur. De nos jours, où le design web professionnel est appliqué aux faux sites web propageant des antivirus falsifiés, les sites malveillant tiennent à avoir un aspect similaire aux ressources web des vendeurs d’antivirus réels. De tels antivirus falsifiés, comme Antivirus XP 2008, sont connus de beaucoup d’internautes.

La popularité des sites web sociaux en Russie fournit aux créateurs de virus une infinité d’opportunités. Un autre Cheval de Troie, Trojan.PWS.Vkontakte.6, révélé en Mars a été propagé sous l’aspect d’un élément logiciel permettant aux utilisateurs d’un réseau social d’augmenter leur popularité.

Spam

L’envoi de publicités sous forme de spam constitue l’essentiel des sujets des messages de spam du mois du mars. Il est probable qu’aujourd’hui l’offre dépasse la demande. Parmi les sujets de spam les plus populaires, mentionnons la publicité faites sur les copies de DVD, les médicaments, les promotions sur les téléphones portables, les répliques de montres de luxe. D’autres messages incitent les utilisateurs à prendre part à des conférences et à des formations.

Le nombre de programmes malicieux ou de liens vers des sites web malicieux s’est réduit ces derniers mois. L’absence d’envois massifs de spam en rapport avec la diffusion de malwares génère différents effets de bord. Les programmes pour lesquels la diffusion par les courriers électroniques n’est pas traditionnelle peuvent ainsi atteindre les premières positions dans les statistiques antivirus. Ceci survient du fait que les utilisateurs des machines infectés ajoutent, sans le savoir, des fichiers infectés aux fichiers joints, envoyés via leurs courriers électroniques.

En ce qui concerne les envois massifs comme moyen de diffusion des logiciels malicieux, les analystes virus de Doctor Web ont enregistré l’envoi rapide (quelques heures) de Win32.HLLW.Brutus.3. Doctor Web a également enregistré l’envoi plus long de Trojan.PWS.Panda.114, utilisant cependant moins de trafic mail et qui est arrivé sous la forme d’un message prétendument issu de DHL. L’utilisateur était invité à se rendre au bureau de DHL avec une facture imprimée jointe au message. Il est évident que la facture jointe était le fichier malicieux.

Comme précédemment, le mois de Mars a connu des envois de spam offrant aux utilisateurs de prendre part à des schémas similaires aux pyramides financières. Le nombre de ces schemas est en progression. Quoique le nombre de messages de phishing en Mars fût inférieur, les analystes de Doctor Web ont enregistré quelques attaques de phishing ciblant les clients de eBay.

Détection sur des serveurs de messagerie — mars

 01.03.2009 00:00 - 01.04.2009 00:00 
1 Win32.HLLW.Shadow.based 5348 (16.27%)
2 Win32.Virut 3942 (11.99%)
3 Win32.HLLM.MyDoom.based 3887 (11.83%)
4 Trojan.MulDrop.13408 1998 (6.08%)
5 Trojan.MulDrop.18280 1709 (5.20%)
6 Win32.HLLM.Netsky 1629 (4.96%)
7 Win32.HLLM.Beagle 1252 (3.81%)
8 Trojan.MulDrop.16727 1137 (3.46%)
9 Win32.HLLW.Brutus.3 1134 (3.45%)
10 Win32.HLLW.Gavir.ini 964 (2.93%)
11 Win32.HLLM.Alaxala 901 (2.74%)
12 Win32.HLLM.Netsky.35328 511 (1.55%)
13 Win32.HLLM.MyDoom.33808 472 (1.44%)
14 Trojan.MulDrop.19648 443 (1.35%)
15 BackDoor.Poison.78 403 (1.23%)
16 Win32.HLLM.MyDoom.44 393 (1.20%)
17 Trojan.MulDrop.30412 379 (1.15%)
18 Trojan.MulDrop.17431 351 (1.07%)
19 Trojan.MulDrop.30415 351 (1.07%)
20 Win32.HLLW.Sinfin 339 (1.03%)
fichiers scannés au total:407,512,378
fichiers infectés:32,867 (0.0081%)

Détection sur des postes de travail – mars

 01.03.2009 00:00 - 01.04.2009 00:00 
1 Win32.HLLW.Gavir.ini 1292200 (11.60%)
2 Win32.HLLW.Shadow.based 713002 (6.40%)
3 Win32.Virut 590384 (5.30%)
4 Win32.Virut.5 581332 (5.22%)
5 DDoS.Kardraw 436270 (3.91%)
6 Win32.HLLW.Autoruner.5555 426000 (3.82%)
7 Trojan.DownLoader.42350 409721 (3.68%)
8 Win32.Alman 393549 (3.53%)
9 Trojan.Starter.881 253295 (2.27%)
10 Win32.Sector.17 246519 (2.21%)
11 BackDoor.IRC.Itan 245957 (2.21%)
12 Exploit.PDF.56 235196 (2.11%)
13 Win32.Parite.1 176361 (1.58%)
14 Win32.HLLP.Neshta 163406 (1.47%)
15 Win32.HLLM.Lovgate.2 151434 (1.36%)
16 Win32.HLLM.Generic.440 146493 (1.31%)
17 Win32.HLLP.Whboy 142174 (1.28%)
18 Win32.HLLW.Autoruner.6293 139671 (1.25%)
19 Trojan.PWS.Wsgame.4983 116799 (1.05%)
20 Win32.HLLW.Autoruner.6126 115798 (1.04%)
fichiers scannés au total:83,190,605,938
fichiers infectés:11,144,291 (0.0134%)

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg