Le 11 janvier 2012

Parmi les tendances importantes de l’année 2011, il faut nommer l’augmentation des menaces pour Android : les SMS payants à l’insu de l’utilisateur continuent à attirer les malfaiteurs ; les schémas d’escroquerie dans les réseaux sociaux se sont développés et cette tendance devrait perdurer en 2012 ; les modifications des Trojan.Winlock, MBRlock et les troyans crypteurs se sont multipliées; et on a constaté une augmentation des virus dans le secteur du e-banking.

20 fois plus de menaces pour Android en 2011

En 2011, le nombre de menaces pour Android a été multiplié par 20, la majorité d’entre elles étant issue de la famille Android.SmsSend. La menace est dissimulée sous le nom d'un fichier d'installation d'un programme connu et demande d’envoyer un SMS payant pour l’installer : le schéma est simple. Dans la réalité, le programme est disponible gratuitement sur le site de l’éditeur.

Au début de l’année 2011, les bases virales Dr.Web ne comptaient que six signatures de trojans Android.SmsSend, au mois de décembre leur nombre était 45 fois plus important. Voici le graphique illustrant ce développement.

Les très bons résultats de Dr.Web en matière de détection des programmes malveillants pour Android ont été en partie obtenus grâce à la technologie unique Origins Tracing™, créée par Doctor Web. Tandis que les méthodes traditionnelles de détection portent sur la création d'une signature permettant de reconnaître le virus, la technologie Doctor Web est basée sur un algorithme de détection sans signature. Origins Tracing™ crée un algorithme de comportement de tel ou tel programme malveillant qui est ensuite enregistré dans la base virale avec l’extension .origin. Cette technologie améliore considérablement les capacités de détection des menaces inconnues.

Si, au début de l’année 2011, les bases virales Dr.Web comportaient 30 signatures, elles en comptaient 630 à la fin de l’année, soit vingt fois plus. Voici le shéma des différentes menaces touchant Android.

En comparaison, nous avons recensé 212 programmes malveillants pour Symbian OS et 30 pour Windows Mobile ; 923 trojans sont capables de fonctionner sur n’importe quel OS mobile.

Rootkit

Les rootkits, les programmes malveillants capables de cacher leur présence dans l'OS, ne se sont pas montrés plus actifs que l'année passée, mais vu la popularité des systèmes 64 bits, les pirates ont du modifier leurs virus pour les adapter au nouveau système. Les plus répandus de la famille sont les BackDoor.Tdss et BackDoor.Maxplus.

En 2011, les spécialistes de Doctor Web ont détecté un rootkit unique : le Trojan.Bioskit.1, pouvant infecter le BIOS des PC uniquement si le BIOS provient de l’entreprise Award Software. Une nouvelle modification de ce trojan a été détectée mais elle ne représentait pas une menace sérieuse pour les utilisateurs à cause d'une erreur dans le code.

Virus de fichiers

La famille des virus de fichiers s’est agrandie en 2011, avec la propagation de Win32.Rmnet.12, Win32.HLLP.Novosel, Win32.Sector.22, et d’autres encore.

Winlock

L’apparition des winlocks, ransomware bloquant le lancement de la session Windows, date de fin 2009 en Russie. En 2011, ils sont arrivés en CEI (des winlocks créés « spécifiquement » pour les utilisateurs du Kazakhstan, d’Ukraine et de Biélorussie) puis en Europe occidentale. Par exemple, le Trojan.Winlock.3260 détecté en septembre, contient un texte en plusieurs langues et se fait passer pour la police : en Allemagne c'est Bundespolizei, en Grand Bretagne, The Metropolitan Police, en Espagne, La Policìa Española ; l’utilisateur est accusé d’avoir consulté des sites pornographiques et il lui est demandé de payer une somme pour débloquer son PC, via un système de paiement en ligne. Le nombre de modifications des winlock n’a cessé d’augmenter, ce qui s’explique en partie par l'existence de programmes "partenaires" mis en place par les pirates qui recherchent activement, sur les forums, le moyen de propager le virus. En décembre 2011, une des modifications du trojan winlock se faisait passer pour la gendarmerie française et demandait une rançon de 200 euros.

En tout, depuis le début de l’année 2011, l’augmentation des modifications du Trojan.Winlock a plus que doublé et 29,37% des utilisateurs s'adressant au service de support technique Doctor Web sont victimes des winlocks.

Le graphique ci-dessous décrit les pourcentages des demandes adressées au support technique Doctor Web.

MBRlock

Le nombre de programmes infectant le Master Boot Record, MBR, a augmenté considérablement. Les premiers malwares sont apparus en novembre 2010, aujourd'hui ils sont plus de 300. Depuis le début de l’année 2011, leur nombre a été multiplié par 52 : de 6 à 316 modifications détectées. Si les premières modifications de ces trojans débloquaient automatiquement le PC au bout d'un certains temps ou contenaient le code de déblocage, les nouvelles sont beaucoup plus avancées, ce qui ne facilite pas leur traitement. Ainsi, le Trojan.MBRlock.17 qui est apparu en novembre 2011 est différent de ces prédécesseurs parce qu'il enregistre ses composants dans les secteurs du disque dur et que la clé de déblocage est générée selon toute une série de paramètres. A ce jour, c'est l’une des modifications les plus dangereuse de la famille des MBRlock.

Encoders

Les encoders sont des programmes « crypteurs » qui chiffrent les données des disques durs et enjoignent l'utilisateur de payer pour retrouver l'accès à ses informations. En septembre 2011, une véritable épidémie de Trojan.Encoder et Trojan.FolderLock a eu lieu. Les versions existantes sont de plus en plus nombreuses : depuis le début de 2011, le nombre de signatures dans les bases virales a augmenté de 60%.

Escroquerie en ligne

Les schémas d’escroquerie entraînant les utilisateurs à envoyer des SMS payants ou les abonnant à leur insu à des services payants n’ont pas cessé de se multiplier. Ici, nous trouvons de tout : des faux concours, des faux sites d'échange de fichiers, des bases de numéros de téléphones, des sites de généalogie, des recherches de parents et de sosies, des sites de prédiction de l’avenir par les cartes ou par les lignes de la main, des sites de création d’horoscopes et de régimes personnalisés…. Vous verrez sur le graphique ci-dessous le développement des sites pirates selon les mois de l’année.

L’augmentation du nombre de sites recensés en septembre et octobre dans les bases virales Dr.Web est due au renforcement de la lutte contre les sites malveillants pendant cette période, dont nous avons déjà parlé dans les actualités.

Le schéma ci-dessous décrit la progression tout au long de l’année du nombre de sites propageant des malwares.

Les malfaiteurs ont inventé de nombreux schémas de « chasse » aux utilisateurs des réseaux sociaux. En 2011, un grand nombre de sites imitant l’interface des réseaux sociaux a été détecté par Dr.Web.

Trojans de e-banking

Le nombre de trojans volant les informations d’accès aux systèmes de e-banking découvert par Doctor Web a été important en 2011.

Les plus intéressants sont les Trojan.Winspy, dont de nouvelles modifications sont apparues en 2011. Un autre trojan du même type ajouté dans les bases virales est le Trojan.Carberp.1, qui possède un système de protection contre l’analyse. Il peut chercher et transmettre des données aux malfaiteurs, il est capable de faire des captures d’écran, il possède un module lui permettant d'exécuter des commandes envoyées par un serveur distant ; enfin, les malfaiteurs peuvent également utiliser le PC infecté comme un serveur proxy pour télécharger et lancer des fichiers et même détruire l'OS.

Les trojans de la famille Trojan.PWS.Ibank sont également assez populaires, sans oublier les Trojan.PWS.Panda(Zeus ou Zbot) et Trojan.PWS.SpySweep (SpyEye) qui servent surtout à voler les mots de passe (même si ce ne sont pas leurs seules fonctionnalités). En 2011, le premier trojan de e-banking pour Android est apparu sous le nom Android.SpyEye.1. Les plus vulnérables contre le programme Android.SpyEye.1 sont ceux dont le PC est déjà contaminé par l’ancienne version du trojan. En se rendant sur un des sites web de différentes banques dont les adresses sont référencées dans le fichier de configuration du trojan, l'utilisateur lit un message disant que la banque a mis en place de nouvelles mesures de sécurité et qu’il est nécessaire d’installer un logiciel spécialisé pour accéder au site de e-banking . Ensuite, tous les messages reçus par l'utilisateur du mobile seront interceptés par le trojan.

Menaces les plus intéressantes de 2011

En février et mars, les malfaiteurs ont tenté d’attaquer les terminaux de paiement en Russie. Le Trojan.PWS.OSMP est un des premiers programmes menaçant la sécurité des utilisateurs des terminaux de paiement. Il analyse le logiciel de la machine pour trouver le processus maratl.exe, un programme tout à fait légal. Ensuite, il change la mémoire du processus et permet aux malfaiteurs de modifier tout numéro introduit dans le terminal pour y verser de l'argent, le détournant ainsi à leur profit.

Un autre programme dont il faut suivre la progression est le Trojan.PWS.Dande qui permet de voler les données des applications de type "Systèmes de commande en ligne" permettant aux pharmacies de commander les médicaments (Analit : Pharmacia 7.7» pour 1С, «Système de commande en ligne» SEZ-2 édité par «Apteka-Holding», «Rossiiskaia pharmacia», «Katren WinPrice» etc.) Parmi les données volées, on trouve les données sur les commandes effectuées, les mots de passe etc. Nous pouvons supposer que les malfaiteurs s’intéressent surtout aux prix et aux volumes des commandes. Toutes les informations volées sont codées. Ce trojan est un des rares touchant un secteur professionnel particulier.

Durant l'année 2011, un certain nombre de programmes malveillants particulièrement nocifs touchant Android est apparu : parmi eux Android.Gone.1, qui vole toutes les données du mobile, y compris les contacts, les messages, les derniers appels, l'historique du navigateur etc…ceci en l’espace de 60 secondes. Ces données sont enregistrées sur un site pirate sur lequel l'utilisateur peut les récupérer en payant 5 dollars.

Android.DreamExploid, lui, est capable de modifier les droits du PC et de donner les droits administrateur à certains programmes, ainsi que de télécharger des applications et de collecter les informations sur le mobile infecté.

Les tendances pour 2012

En 2012, il faut s’attendre à une augmentation continue des menaces pour Android, ainsi qu’à l’apparition de locker pour cet OS, car un téléphone portable représente un accès facile au portefeuille de l’utilisateur via l’envoi de SMS, l’abonnement à des services etc. Les fonctionnalités considérables des mobiles actuels offrent de larges opportunités aux pirates.

Les menaces contre les systèmes de e-banking vont continuer à se développer ainsi que les attaques contre les banques et les institutions financières publiques. Les attaques contre les utilisateurs des réseaux sociaux vont se multiplier, les pirates réagissant rapidement à tout changement de fonctionnalités dans les réseaux sociaux. Ainsi, en 2011, les pirates ont profité de nouveaux systèmes de votes, d’échange de fichiers et de vidéos. Nous pensons que les pirates vont continuer à multiplier les moyens de gagner de l'argent de façon illégale.

Les analystes de Doctor Web étudient également l'apparition de menaces s'attaquant à des systèmes de gestion industriels dans les entreprises (notamment les systèmes SCADA). Doctor Web pense que les programmes malveillants profitant des vulnérabilités de ces systèmes représentent un grand danger car ils peuvent menacer des pans importants de l'économie, comme la production de l'énergie, le transport, l’extraction des minéraux, du gaz et du pétrole.

Top 20 des fichiers malveillants détectés dans le courrier électronique en 2011

Total analysés : 181,136,303,763
Total virus détectés : 33,407,612 (0.02%)

Top 20 des fichiers malveillants détectés sur les PC des utilisateurs en 2011

Total analysés : 17,743,716,899,610,753
Total virus détectés : 1,560,049,362 (0.00%)