Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Le virus de fichiers Win32.Sector a infecté plus d'un million d'ordinateurs

le 21 mai 2014

Parmi les logiciels malveillants, les virus de fichiers ne sont pas très répandus, c'est pourquoi le virus Win32.Sector, utilisé pour créer un botnet, est très intéressant pour les spécialistes de la sécurité informatique. Les spécialistes de Doctor Web ont étudié ce virus afin d'évaluer l'ampleur de l'infection.

Le malware Win32.Sector est connu depuis 2008. Il représente un virus polymorphe infectant les fichiers. Sa fonctionnalité principale est de télécharger depuis un réseau P2P des fichiers exécutables et les lancer sur les ordinateurs infectés. Ce malware a la capacité de s'intégrer dans tous les processus actifs sur le PC infecté ainsi que de désactiver certains antivirus et de bloquer l'accès aux sites de leurs développeurs. Le virus peut infecter les fichiers stockés sur les disques locaux et les supports amovibles (où ce virus crée un fichier autorun.inf lors de l'infection), ainsi que les fichiers stockés dans les dossiers réseaux partagés. Il existe plusieurs modifications du Win32.Sector, qui diffèrent par le protocole d'échange de données avec le réseau P2P ou par des particularités de structure.

Le Win32.Sector n'a pas de serveurs de gestion, mais il utilise la connexion avec les autres bots, qui fonctionnent sur des machines infectées. Le virus détermine si l'ordinateur a une adresse IP externe ou utilise un réseau NAT. Après son lancement sur l'ordinateur infecté, le virus Win32.Sector utilise la liste initiale des adresses IP des autres bots, et établit la connexion. S'il réussit, le virus exécute les commandes suivantes :

  1. Demander un fichier de configuration avec une URL pour télécharger les fichiers (via le protocole UDP).
  2. Demander des plug-ins (via le protocole TCP).
  3. Vérification du NAT-si ce n'est pas utilisé, le bot reçoit un ID unique (via le protocole UDP).
  4. Obtenir l'adresse IP d'une autre machine infectée afin d'établir une connexion (via le protocole UDP).

En utilisant la commande 3, le virus devient un routeur (exécute cette fonction) : Les autres bots fonctionnant dans les réseaux avec NAT sans adresse IP externe se connectent avec ce virus. La commande 4 permet d'obtenir une liste d'adresses IP d'autres ordinateurs infectés. Ces deux commandes ont permis aux spécialistes de Doctor Web d'estimer le total de nœuds du botnet organisé à l'aide de ce virus.

Pour le jour du 20 mai 2014, le botnet Win32.Sector enrôlait 1 197 739 bot, dont 109 783 ayant une adresse IP externe et pouvant exécuter la fonction de routeur. L'évolution du volume du botnet est illustrée sur le graphique ci-dessous.

Evolution du volume du botnet Win32.Sector

Sa moyenne quotidienne de croissance est d'environ 60 000 ordinateurs infectés. L'évolution de l'activité du botnet Win32.Sector est représentée sur le diagramme ci-dessous :

Moyenne quotidienne de croissance du botnet Win32.Sector

Taïwan est relativement touché par le virus Win32.Sector avec 212 401 ordinateurs infectés. l'Égypte (108 770) et l'Inde (106 249) le sont également. En Russie, les spécialistes ont enregistré 15 600 ordinateurs infectés. La propagation du virus de fichiers Win32.Sector selon les pays est représentée sur le diagramme ci-dessous :

Actuellement, les malfaiteurs utilisent le botnet organisé par Win32.Sector afin de distribuer les logiciels malveillants suivants :

Les logiciels antivirus Dr.Web sont capables de détecter et d'éradiquer toutes les menaces énumérées, ainsi que le virus de fichiers Win32.Sector, par conséquent, les utilisateurs de produits Dr.Web sont protégés contre cette menace.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg