Vous utilisez un navigateur obsolète !
L'affichage de la page peut être incorrect.
le 1er octobre 2015
Le début de l'automne apporte son lot de malwares : au cours du mois de septembre2015, les chercheurs ont détecté la propagation de plusieurs installateurs d’applications indésirables et publicitaires ciblant Windows et Mac OS X, d’un nouveau Trojan ciblant les terminaux POS, ainsi que des malwares ciblant Linux et Android.
Les terminaux POS tournant sous Windows ont toujours été une cible intéressante pour les malfaiteurs qui ont déjà élaboré plusieurs moyens de voler des traces de cartes bancaires dans la mémoire de ces appareils en utilisant des logiciels malveillants. Les chercheurs de Doctor Web ont examiné une menace de ce type au cours du mois de septembre qui a reçu le nom Trojan.MWZLesson, et qui représente une modification du malware BackDoor.Neutrino.50.
Trojan.MWZLesson peut exécuter les commandes suivantes :
Pour plus d'infos sur cette menace, vous pouvez lire l'article correspondant sur le site de Doctor Web.
Selon ces données, en septembre 2015, Dr.Web CureIt! a détecté 155 554 503 applications malveillantes, indésirables et potentiellement dangereuses.
Les spécialistes de Doctor Web continuent de surveiller le grand botnet créé à l'aide du virus de fichier Win32.Rmnet.12. Sa moyenne quotidienne de croissance en septembre 2015 est représentée dans les graphiques ci-dessous :
Rmnet — famille de virus de fichiers distribués sans l'intervention de l'utilisateur, capables d'injecter un code parasite dans les pages web (cela permet de recueillir les données bancaires de la victime), de voler les cookies et les mots de passe pour les clients FTP et d’exécuter des commandes distantes.
Le botnet Win32.Sector est toujours opérationnel — sa moyenne quotidienne de croissance est représentée dans le graphique ci-dessous :
Le virus de fichier Win32.Sector possède les fonctionnalités suivantes :
Au cours du mois, les spécialistes ont détecté plusieurs attaques effectuées à l'aide du Trojan Linux.BackDoor.Gates.5. Par rapport au mois précédent, le nombre d'attaques DDoS a augmenté de 263.5% pour atteindre 7572. Les leaders des attaques sur les sites se trouvent aux Etats-Unis, suivis par la Chine. La répartition géographique de ces attaques DDoS perpétrées à l’aide de Linux.BackDoor.Gates.5 est présentée dans le graphique ci-après :
Nombre de requêtes adressées au support technique de Doctor Web pour le décryptage de fichiers
Août 2015 | Septembre 2015 | Evolution |
---|---|---|
1425 | 1310 | - 8 % |
Cette fonctionnalité n’est pas disponible dans Dr.Web Antivirus pour Windows
Protection préventive | Prévention de la perte de données |
---|---|
En septembre, les spécialistes de Doctor Web ont détecté des Trojans ciblant Linux. Parmi les plus intéressants Linux.Ellipsis.1 et Linux.Ellipsis.2. Le second est conçu pour pirater des appareils en utilisant des attaques par dictionnaire. Les cybercriminels utilisent le Trojan Linux.Ellipsis.1 afin de garantir leur anonymat lors de l'accès aux appareils piratés. Ce malware a un comportement assez étrange que les spécialistes de Doctor Web ont qualifié de " paranoïaque ".
La tâche principale du Trojan Linux.Ellipsis.1 est de lancer un serveur proxy sur l'ordinateur infecté : les malfaiteurs l'utilisent pour pirater des appareils infectés ainsi que pour brouiller les pistes. Pour cela, il contrôle les connexions via une adresse locale et un port spécifiés et analyse tout le trafic entrant.
Linux.Ellipsis.1 comprend une liste de lignes dont la présence dans le trafic réseau prévoit le blocage de l'échange de données entre le serveur distant et le PC de la victime via une adresse IP. Il vérifie également toutes les connexions réseau de l'ordinateur et envoie au serveur de gestion l'adresse IP du nœud avec lequel la connexion est établie. Si le serveur répond par la commande " kill ", le Trojan arrête l'application qui a établi cette connexion et bloque cette adresse IP pour 2 heures. Pour plus d'informations sur l'architecture et le fonctionnement de ces menaces consultez l'article publié sur notre site Web.
УLes spécialistes détectent souvent des installateurs de logiciels publicitaires et indésirables ciblant Windows, mais au cours du mois de septembre, ils ont découvert un malware de ce type ciblant Mac OS X. Cet échantillon, Adware.Mac.WeDownload.1 représente un faux package d'installation du lecteur Adobe Flash Player et se propage via un programme de partenariat qui vise à gagner de l'argent sur le trafic de fichiers.
Après avoir envoyé la requête appropriée, Adware.Mac.WeDownload.1 reçoit la liste des applications qu'il proposera à l'utilisateur d'installer. Par exemples les logiciels indésirables ou même malveillants Program.Unwanted.MacKeeper, Mac.Trojan.Crossrider, Mac.Trojan.Genieo, Mac.BackDoor.OpinionSpy, des représentants de la famille Trojan.Conduit et d'autres. Le nombre et la liste de logiciels à installer dépendent de la géolocalisation de l'IP de la victime.
Pour plus d'infos sur cette menace, vous pouvez lire l'article correspondant sur le site de Doctor Web.
Au cours du mois, les chercheurs ont constaté une large propagation de malwares installateurs d’applications publicitaires, indésirables et potentiellement dangereuses, créés au sein de « programmes partenaires » qui visent à monétiser le trafic de fichiers.
Au début du mois, les spécialistes ont examiné le malware Trojan.InstallCube.339, qui peut être téléchargé par les utilisateurs sur des sites de partage de fichiers et des trackers Torrents. Après son lancement, le Trojan reçoit ses données de fonctionnement du serveur de gestion et affiche une fenêtre de dialogue avec des informations sur l'objet téléchargeable. Il faut noter que cette fenêtre possède une icône du logiciel-client de mTorrent. La particularité des serveurs de gestion de ce logiciel malveillant est qu'ils permettent de télécharger la charge utile dans le cas où l'adresse IP de l'ordinateur-client est russe. Vous pouvez consulter plus d’information sur ce Trojan dans cet article.
Un autre installateur dangereux, dont nous avons parlé au cours du mois, porte le nom Trojan.RoboInstall.1. Comme ses " homologues ", il se propage via les sites de partage de fichiers, faux Torrents et autres ressources, créés par les malfaiteurs. Ces logiciels malveillants sont souvent utilisés par les développeurs d’applications gratuites, car ils gagnent de l'argent sur chaque utilitaire que ce Trojan installe sur l'ordinateur. Il est à noter que Trojan.RoboInstall.1 ne comprend pas de cases à cocher pour les fichiers exécutables à télécharger, c'est pourquoi l'utilisateur ne peut pas bloquer le téléchargement de ces fichiers.
A la fin du mois, les malfaiteurs ont effectué un envoi de spam contenant des malwares usurpant le nom de Doctor Web.
Les cybercriminels invitaient à tester l'utilitaire « Dr.Web CureIt 2 », sous couvert duquel le Trojan Trojan.PWS.Stealer.13052, conçu pour voler les mots de passe, était téléchargé sur l'ordinateur de la victime. Pour augmenter le nombre d'infections, les pirates demandent de désactiver l'antivirus installé sur l'ordinateur pour éviter les conflits lors de l'installation de l'utilitaire. Pour en savoir plus sur cette menace, consultez les informations publiées par Doctor Web.
En septembre 2015, la base de sites non recommandés par Dr.Web s’est enrichie de 399 227 adresses Internet.
Août 2015 | Septembre 2015 | Evolution |
---|---|---|
+ 834 753 | + 399 227 | - 51.39 % |
Le mois écoulé a été marqué par l'émergence de nouveaux logiciels malveillants ciblant les appareils mobiles. Les spécialistes ont découvert un Trojan dans le catalogue App Store, ainsi que des cas de téléchargement de logiciels malveillants sur Google Play . En septembre, les chercheurs ont détecté un Trojan intégré au sein d'un des firmwares officiel d’Android. De plus, les utilisateurs ont été de nouveau ciblés par des Extorqueurs Android et d'autres logiciels malveillants.
Les événements les plus importants du mois sont :
Statistiques virales Bibliothèque de descriptions virales Tous les rapports viraux Labo Live