Le 31 mai 2016
Le dernier mois du printemps 2016 a été marqué par la propagation d'un nouveau backdoor conçu pour surveiller les utilisateurs de Microsoft Windows et surtout pour voler des documents depuis les ordinateurs contaminés. L'activité des auteurs de programmes malveillants ciblant la plateforme mobile Android reste élevée : au mois de mai, les analystes ont constaté une montée de la diffusion de Trojans bancaires mobiles. Les experts de Doctor Web ont également examiné un Trojan exécutant les fonctions de serveur proxy sur la machiné contaminée.
Les tendances principales du mois de mai
- L’apparition d'un Trojan espion dangereux ciblant Windows
- L’apparition d'un Trojan utilisant l'ordinateur contaminé comme un serveur proxy
- La propagation de Trojans bancaires ciblant Android
Menace du mois
Les Trojans espions sont très dangereux puisqu'ils peuvent voler des informations confidentielles représentant une valeur importante pour les utilisateurs. Le Trojan BackDoor.Apper.1 a été analysé par les experts de Doctor Web au début du mois de mai.
Ce backdoor a été propagé à l'aide d'un injecteur qui se présente sous couvert d'un document Microsoft Excel, dans lequel est implantée une macro spéciale. Cette macro recueille une archive auto-extractible par octets et la lance. L’archive, à son tour, contient un fichier exécutable, que les attaquants ont extrait d’un package d'un produit populaire de Symantec. Ce fichier comporte une signature numérique valide de Symantec et au moment de son lancement, il charge en mémoire une bibliothèque dynamique contenant les fonctions principales du Trojan.
Principalement, BackDoor.Apper.1 a été conçu pour voler des documents depuis les ordinateurs contaminés, mais il peut également exécuter d'autres programmes. Vous pouvez consulter plus d’information sur BackDoor.Apper.1 dans cet article publié sur le site de Doctor Web.
Statistiques de l'utilitaire de désinfection Dr.Web CureIt!
Trojan.Zadved
Plug-ins conçus pour remplacer les résultats des moteurs de recherche, afficher de fausses fenêtres pop-up de réseaux sociaux. De plus, il peut remplacer les messages publicitaires affichés sur différents sites.Trojan.InstallCore.1903
Représentant de la famille des programmes-installateurs d'applications indésirables et malveillantes.Trojan.MulDrop
Représentant de la famille des Trojans conçus pour télécharger et installer d'autres logiciels malveillants sur l'ordinateur infecté.Trojan.StartPage
Famille de logiciels malveillants capable de remplacer la page d'accueil dans les paramètres de votre navigateur.
Données des serveurs de statistiques de Doctor Web.
Trojan.Zadved
Plug-ins conçus pour remplacer les résultats des moteurs de recherche, afficher de fausses fenêtres pop-up de réseaux sociaux. De plus, il peut remplacer les messages publicitaires affichés sur différents sites.Trojan.InstallCore.1903
Représentant de la famille des programmes-installateurs d'applications indésirables et malveillantes.BackDoor.IRC.NgrBot.42
Trojan assez répandu qui est connu des spécialistes de la sécurité depuis 2011. Les programmes malveillants de cette famille communiquent avec un serveur de gestion distant via le protocole IRC (Internet Relay Chat) et peuvent exécuter des commandes à distance sur les ordinateurs contaminés.Trojan.BPlug
Plug-ins conçus pour les navigateurs les plus utilisés et qui affichent des publicités.Trojan.KillProc.41114
Représentant de la famille de programmes malveillants capables d'arrêter les processus en cours d'autres applications, ainsi que d'effectuer sur l'ordinateur infecté d'autres tâches malveillantes.
Logiciels malveillants détectés dans le trafic email
JS.Downloader
Famille de scripts malveillants écrits en JavaScript destinés à télécharger et installer d'autres logiciels malveillants sur l'ordinateur.Trojan.Bayrob.57
Trojan capable de voler des informations sensibles sur l’ordinateur infecté et d'effectuer d’autres actions indésirables pour l’utilisateur.Win32.HLLM.Graz
Trojan capable de voler des informations sensibles sur l’ordinateur infecté et d'effectuer d’autres actions indésirables pour l’utilisateur.W97M.DownLoader
Trojan capable de voler des informations sensibles sur l’ordinateur infecté et d'effectuer d’autres actions indésirables pour l’utilisateur.
Trojans Encoders
Les modifications des Trojans encoders les plus répandues au mois de mai 2016 :
Dr.Web Security Space 11.0 pour Windows
protège contre les Trojans Encoders
Cette fonctionnalité n’est pas disponible dans Dr.Web Antivirus pour Windows
| Prévention de la perte de données | |
|---|---|
 |  |
Sites dangereux
En mai 2016, la base de sites non recommandés par Dr.Web s’est enrichie de 550 258 adresses Internet.
| Avril 2016 | Mai 2016 | Evolution |
|---|---|---|
| + 749 173 | + 550 258 | -26.55% |
Autres événements
TeamViewer est un programme populaire d'administration à distance — il permet de prendre la main à distance sur un ordinateur, dans le but de le réparer. La personne qui prend la même peut donc accéder au système d'exploitation via le réseau et exécuter des actions différentes dans l'OS - par exemple, modifier des paramètres ou transmettre des fichiers particuliers. Des cybercriminels utilisent cet utilitaire — ils modifient TeamViewer de sorte que son icône ne s'affiche plus dans la barre des tâches Windows et se connectent ensuite à la machine ciblée à l'insu de son utilisateur.
Le Trojan BackDoor.TeamViewer.49 utilise aussi TeamViewer, mais pour une autre raison : à l'aide de TeamViewer, il charge en mémoire de l'ordinateur une bibliothèque possédant les fonctions malveillantes principales du Trojan. Ce backdoor transforme le PC contaminé en serveur proxy qui redirige le trafic du serveur de contrôle vers un hôte distant spécifié. Cela permet aux pirates d’assurer leur anonymat sur Internet, en se connectant à des hôtes distants par l’intermédiaire de l’ordinateur infecté comme via un serveur proxy. Pour plus d'infos sur le BackDoor.TeamViewer.49 et ses fonctionnalités, consultez l'article correspondant sur le site de Doctor Web.
Logiciels malveillants et indésirables ciblant les appareils mobiles
Les Trojans bancaires contaminant les appareils mobiles sous Android représentent toujours un grand danger pour les utilisateurs. Au mois de mais 2016, c'est avec de tels programmes malveillants que des criminels ont tenté de voler de l'argent depuis les Smartphones et tablettes des utilisateurs. La propagation du Trojan bancaire Android.SmsSpy.88.origin capable d’attaquer des clients des établissements de crédit dans le monde entier a continué à évoluer. En outre, les spécialistes de Doctor Web ont détecté un grand nombre de sites Web frauduleux que les auteurs de virus utilisent pour propager le Trojan Android.BankBot.104.origin ainsi que d'autres Trojans bancaires ciblant Android.
Les événements les plus importants du mois de mai relatifs à la sécurité des mobiles sont les suivants :
- nouveaux cas de propagation du Trojan bancaire Android.SmsSpy.88.origin attaquant de nombreux systèmes de banque ligne dans le monde entier ;
- Propagation de Trojans bancaires via des sites Web frauduleux proposant de télécharger des logiciels conçus pour le piratage des jeux afin d'obtenir des ressources illimitées.
Pour plus d'informations sur les menaces ayant ciblées les appareils mobiles en mai, consultez notre rapport.
En savoir plus avec Dr.Web
Statistiques virales Bibliothèque de descriptions virales Tous les rapports viraux
