Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Doctor Web : rapport viral du mois de juin 2016

Le 30 juin 2016

Le premier mois de l'été 2016 aura été chargé pour les professionnels de la sécurité. Au début du mois de juin, les analystes de Doctor Web ont achevé l'étude d'un nouveau virus bancaire Bolik, et ont également étudié, entre autres, le Trojan publicitaire sans corps Trojan.Kovter.297. De plus, le mois de juin a été marqué par une augmentation de la fréquence des attaques ciblant des logiciels bancaires russes. Au départ, c’est un Trojan écrit dans le langage utilisé dans les logiciels de comptabilité 1C qui a été détecté. Ce Trojan lançait un dangereux codeur sur l'ordinateur attaqué. Puis c’est au tour du logiciel espion Trojan.PWS.Spy.19338, capable d’enregistrer les frappes clavier dans différentes applications y compris des applications bancaires populaires, d’avoir été analysé. Enfin, juin a vu la détection de Trojans ciblant la plateforme Android sur le catalogue Google Play.

Les tendances principales du mois de juin

  • L'apparition du virus bancaire polymorphe Bolik
  • La propagation du Trojan ciblant l'application de comptabilité 1C
  • L'apparition du Trojan publicitaire sans corps Trojan.Kovter
  • La propagation du Trojan espion Trojan.PWS.Spy.19338

Menace du mois

Les logiciels de la gamme 1C sont très utilisés par les comptables et les économistes des entreprises russes. Les malfaiteurs s’y intéressent également : les analystes de Doctor Web ont déjà rencontré des applications malveillantes écrites dans le langage de programmation 1C. Le Trojan 1C.Drop.1 diffère d’elles par son architecture et sa fonctionnalité - c'est un injecteur (dropper) qui enregistre sur le disque et lance le Trojan Trojan.Encoder.567.

screen Trojan.Encoder.567 #drweb

Le malware est propagé via des messages email ayant pour sujet " Nous avons changé le BIC de la banque ", auxquels est attaché un fichier de traitement externe pour le programme " 1C: Enterprise ". Si l'utilisateur ayant reçu un tel message suit les recommandations proposées et ouvre le fichier dans l'application " 1C: Entreprise ", le Trojan envoie sa copie à toutes les adresses email se trouvant dans la base de clients, puis il extrait de ses propres ressources le Trojan.Encoder.567, le sauvegarde sur le disque et le lance. Ce dangereux codeur, ayant plusieurs modifications à son actif, chiffre les fichiers sur les disques de l'ordinateur contaminé et demande une rançon pour leur déchiffrement. 1C.Drop.1 prend en charge les bases de données 1C suivantes:

Pour plus d'infos sur cette menace, vous pouvez lire l'article publié sur le site de Doctor Web.

Statistiques de l'utilitaire de désinfection Dr.Web CureIt!

Statistiques de l'utilitaire de désinfection Dr.Web CureIt! #drweb

Données des serveurs de statistiques de Doctor Web

Données des serveurs de statistiques de Doctor Web #drweb

Logiciels malveillants détectés dans le trafic email

Logiciels malveillants détectés dans le trafic email#drweb

Trojans Encoders

Trojans Encoders #drweb

Les modifications des Trojans encoders les plus répandues au mois du juin 2016 :

Au mois de juin 2016, le Trojan.Encoder.4860 a également été largement répandu. Il est également connu sous le nom de JS. Crypte. Une particularité de ce Trojan Encoder est qu'il est écrit complètement en langage JScript. Le Trojan s'est donné le nom " virus RAA ", et les fichiers chiffrés reçoivent l'extension *.locked. Après avoir chiffré les fichiers de l'utilisateur, le Trojan.Encoder.4860 place dans les dossiers racines des disques un document RTF dont le contenu est le suivant :

screen Trojan.Encoder.4860 #drweb

Malheureusement, à l’heure actuelle, les experts de Doctor Web ne disposent pas d'outils permettant de déchiffrer les fichiers corrompus par cette version du Trojan Encoder.

Dr.Web Security Space 11.0 pour Windows
protège contre les Trojans Encoders

Cette fonctionnalité n’est pas disponible dans Dr.Web Antivirus pour Windows

Prévention de la perte de données
Prévention de la perte de donnéesPrévention de la perte de données

Plus d'infos

Autres événements

Au début du mois de juin, les analystes de Doctor Web ont achevé l'étude du virus bancaire Trojan.Bolik.1. Ce Trojan est conçu pour voler de l’argent sur les comptes des clients de banques russes, pour voler des informations confidentielles et effectuer de l'espionnage. Ce virus hérite de certaines solutions techniques utilisées dans les Trojans bancaires connus comme Zeus (Trojan.PWS.Panda) et Carberp, mais à la différence de ces malwares, il est capable de se propager sans intervention de l'utilisateur et de contaminer les fichiers exécutables.

Sur commande des pirates, Trojan.Bolik.1 cherche des fichiers exécutables dans les dossiers partagés et sur les périphériques USB connectés à l'ordinateur, puis il les infecte. Dr.Web détecte les programmes contaminés par ce virus comme Win32.Bolik.1. Au sein de chacun de ces programmes, le Trojan bancaire Trojan.Bolik.1 est stocké sous forme cryptée, ainsi que d’autres informations dont ce virus a besoin.

Trojan.Bolik.1 peut contrôler les données transmises et envoyées par les navigateurs Microsoft Internet Explorer, Chrome, Opera et Mozilla Firefox (grâce à cela il est capable de voler les informations que l’utilisateur saisit dans les champs d'entrée sur l'écran). En outre, le virus sait faire des captures d’écran, enregistrer les frappes clavier et il peut créer son propre serveur proxy et un serveur Web sur la machine contaminée, ce qui lui permet d'échanger des fichiers avec les malfaiteurs. Pour en savoir plus sur cette menace, consultez l'aperçu publié par Doctor Web.

Une autre nouveauté du mois de juin est le Trojan sans corps Trojan.Kovter.297. A l'insu de l'utilisateur, ce programme malveillant lance en tâche de fond plusieurs exemplaires du navigateur Microsoft Internet Explorer, et avec leur aide, il visite les sites spécifiés par les pirates en cliquant sur les liens et bannières publicitaires afin d'augmenter le nombre d'affichage des publicités. En fait, une des particularités de ce Trojan est qu'il n'existe pas sur l'ordinateur contaminé sous forme de fichier mais qu’il fonctionne directement dans la mémoire vive, en utilisant pour son stockage le registre Windows par exemple.

screen Trojan.Kovter.297 #drweb

Pour plus d'infos sur Trojan.Kovter.297, consultez l'article publié sur le site de Doctor Web.

À la fin du mois, les analystes de Doctor Web ont détecté un groupe de malwares, parmi lesquels se trouvait Trojan.PWS.Spy.19338 - le Trojan espion ciblant les comptables. L’objectif principal de ce Trojan est de suivre les frappes clavier dans les fenêtres d'un certain nombre d'applications dont le logiciel de comptabilité 1C en différentes versions et SBetC++. Il recueille des informations sur le système infecté et transmet les données du presse-papier de l'ordinateur contaminé aux criminels. Pour en savoir plus sur Trojan.PWS.Spy.19338, consultez notre article.

Au mois de juin, un nouveau malware ciblant Linux, Linux.BackDoor.Irc.13, a été détecté. Le programme malveillant est une modification du Linux.BackDoor.Tsunami, cependant, il ne contient pas de fonctionnalité permettant de réaliser des attaques DDoS. Ce Trojan reçoit des commandes via le protocole IRC (Internet Relay Chat) conçu pour les échanges de messages texte sur Internet.

Les utilisateurs Apple n'ont pas échappé à l’intérêt des cyber pirates : Au mois de juin, les experts de Doctor Web ont détecté un nouveau Trojan ciblant OS X et qui a été nommé Mac.BackDoor.SynCloud.1. A son démarrage, il récupère les logins et mots de passe de tous les utilisateurs authentifiés dans le système à ce moment-là et envoie ces informations au serveur de contrôle. Sur commande des pirates, Mac.BackDoor.SynCloud.1 peut télécharger depuis le serveur de contrôle et lancer sur l'ordinateur contaminé un fichier exécutable ou un script écrit en Python, ainsi qu'effectuer d’autres actions, notamment, mettre à jour sa propre version. Toutes les informations circulant entre le Mac.BackDoor.SynCloud.1 et le serveur de contrôle sont chiffrées.

Sites dangereux

En juin 2016, la base de sites non recommandés par Dr.Web s’est enrichie de 1 716 920 adresses Internet.

Mai 2016Juin 2016Evolution
+ 550 258+ 1 716 920+212%
Sites non recommandés

Logiciels malveillants et indésirables ciblant les appareils mobiles

En juin, les analystes de Doctor Web ont détecté plusieurs applications malveillantes diffusées via Google Play. Une des applications a reçu le nom Android.Valeriy.1.origin. Ce Trojan télécharge des sites Web douteux et affiche des bannières publicitaires proposant aux utilisateurs de saisir leurs numéros de téléphone afin d'avoir accès à différents services. Mais une fois le numéro saisi, le paiement desdits services commence à être prélevé sur le compte de la victime. Le Trojan peut également télécharger d'autres applications malveillantes et exécuter les scritps en JavaScript.

Un autre malware détecté sur le catalogue Google Play a été ajouté à la base de données virales sous le nom Android.PWS.Vk.3. Ce Trojan représente un lecteur pour écouter de la musique publiée sur le réseau social " VKontakte ". Android.PWS.Vk.3 demande à l'utilisateur d'entrer ses login et mot de passe et transmet ensuite ces données aux criminels.

Les événements les plus importants du mois de juin relatifs à la sécurité des mobiles sont les suivants :

Pour plus d'informations sur les menaces ayant ciblées les appareils mobiles en juin, consultez notre rapport.

En savoir plus avec Dr.Web

Statistiques virales Bibliothèque de descriptions virales Tous les rapports viraux

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg