Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Doctor Web : Doctor Web : rapport viral du mois de janvier 2017

Le 31 janvier 2017

Dans le premier mois de l’année 2017, les analystes de Doctor Web ont détecté un ver qui contamine des archives et supprime d'autres programmes malveillants. Les analystes ont également identifié plusieurs milliers de dispositifs sous Linux contaminés par un nouveau Trojan. De plus, au mois de janvier, un certain nombre de programmes malveillants et dangereux ciblant la plate-forme mobile Android de Google ont été ajoutés à la base virale Dr.Web. Un de ces chevaux de Troie plaçait dans le Play Store un module qui téléchargeait des applis. Le code source d’un Trojan bancaire a été publié et placé en accès libre, et les analystes de Doctor Web s'attendent à une large propagation d’autres Trojans de ce type se basant sur ce code.

Les tendances clés du mois de janvier

  • Propagation d’un ver capable d'infecter des archives et de supprimer d'autres logiciels malveillants
  • Détection de plusieurs milliers de dispositifs Linux infectés
  • Apparition d’un Trojan ciblant Android qui intègre son module à l'application Play Store
  • Propagation d'un Trojan bancaire ciblant Android dont le code source à publié

Menace du mois

Le terme vers (worms) désigne un type de malwares capables de se propager eux-mêmes, sans intervention de l'utilisateur, mais qui ne peuvent pas infecter les fichiers exécutables. Au mois de janvier, les analystes de Doctor Web ont détecté le ver BackDoor.Ragebot.45. Il reçoit des commandes via le protocole IRC (Internet Relay Chat) et après avoir contaminé un ordinateur, y lance un serveur FTP. En utilisant ce serveur, il télécharge sur la machine attaquée sa propre copie.

screen BackDoor.Ragebot.45 #drweb

Le ver se connecte à d'autres ordinateurs sur le réseau en utilisant le système d'accès distant au bureau, Virtual Network Computing, il utilise la méthode de force brute pour trouver le mot de passe. Si le piratage a réussi, le ver ouvre une connexion VNC à l'ordinateur distant. Ensuite, il envoie les signaux des frappes clavier, qui lui permettent de lancer l'interprétateur de commandes CMD. Là, il exécute le code permettant de télécharger sa propre copie via FTP. Il se propage ainsi automatiquement.

De plus, BackDoor.Ragebot.45 est capable de chercher et contaminer des archives RAR sur les supports amovibles et de se copier vers les dossiers d'un certain nombre de programmes. Mais sa principale caractéristique est que ce malware, sur commande des pirates, recherche dans le système d'autres chevaux de Troie. Dès qu'il en détecte, il termine leurs processus et supprime les fichiers exécutables. Pour en savoir plus sur ce ver et les principes de son fonctionnement, consultez notre article.

Statistiques de l'utilitaire de désinfection Dr.Web CureIt!

Statistiques de l'utilitaire de désinfection Dr.Web CureIt! janvier 2017 #drweb

Données des serveurs de statistiques de Doctor Web

Données des serveurs de statistiques de Doctor Web janvier 2017 #drweb

Logiciels malveillants détectés dans le trafic email

Logiciels malveillants détectés dans le trafic email janvier 2017 #drweb

D’après les données du bot Dr.Web pour Telegram

D’après les données du bot Dr.Web pour Telegram janvier 2017 #drweb

Trojans Encoders

Trojans Encoders janvier 2017 #drweb

Au mois de janvier, le Support technique de Doctor Web a reçu de nombreuses requêtes d’utilisateurs touchés par les modifications suivantes de Trojans Encoders:

Dr.Web Security Space 11.0 pour Windows
protège contre les Trojans Encoders

Cette fonctionnalité n’est pas disponible dans Dr.Web Antivirus pour Windows

Prévention de la perte de données
Превентивная защитаЗащита данных от потери

Plus d'infos

En janvier 2017, la base de sites non recommandés par Dr.Web s’est enrichie de 223 127 adresses Internet.

Décembre 2016Janvier 2017Evolution
+ 226 744+ 223 127-1.59%

Sites non recommandés

Menaces ciblant Linux

La propagation massive de programmes malveillants ciblant les OS de la famille Linux n'est pas un phénomène très fréquent, mais il a été enregistré par les experts de Doctor Web en janvier 2017. Il s'agit du Trojan Linux.Proxy.10 destiné à lancer sur les dispositifs contaminés le serveur proxy SOCKS5. Ces dispositifs compromis sont utilisés par les pirates pour assurer leur propre anonymat sur Internet. Selon les informations se trouvant à la disposition des experts de Doctor Web, vers le 24 janvier 2017, le nombre d'appareils Linux infectés était de plusieurs milliers.

Linux.Proxy.10 est propagé en s'authentifiant sur les ordinateurs vulnérables ayant des combinaisons de logins et mots de passe correspondantes : normalement, les utilisateurs disposant de telles données d'authentification sont créés dans le système par d'autres Trojans ciblant Linux (ou ils sont installés sur le périphérique par défaut). Cela signifie que Linux.Proxy.10 attaque principalement les dispositifs qui sont déjà infectés par d'autres logiciels malveillants. Pour plus d'infos sur cette menace, vous pouvez lire cet article.

Au mois de janvier, un nouveau représentant de la famille des programmes malveillants Linux.LadyLinux.Lady.4 a également été détecté. Dans cette version du Trojan, les auteurs ont supprimé la fonction de téléchargement et de lancement de l'utilitaire d'extraction (mining) de crypto-monnaie, ils ont ajouté une option permettant d'effectuer des attaques sur les stockages de données réseau Redis. De plus, ce Trojan s'est enrichi d'un module supplémentaire qui est capable de communiquer avec les serveurs distants en utilisant la technologie RPC (Remote Procedure Call), de leur envoyer des informations sur le système infecté et d'exécuter les commandes shell.

Logiciels malveillants et indésirables ciblant les appareils mobiles

Dans le premier mois de 2017, les spécialistes de Doctor Web ont détecté le Trojan Android.Skyfin.1.origin qui s'est introduit dans le processus actif de l'application Play Store et téléchargeait de manière discrète des applications depuis le catalogue, ce qui augmentait leur popularité artificiellement. Plus tard, les analystes ont identifié le Trojan bancaire ciblant Android Android.BankBot.149.origin dont le code source a été publié par les pirates sur Internet. Un autre Trojan bancaire ciblant Android et détecté au mois de janvier et a reçu le nom de Android.BankBot.140.origin. Il se propageait sous couvert du jeu Super Mario Run. Ce dernier n’étant pas encore disponible pour les appareils Android, les pirates comptaient sans doute sur la naïveté de certains utilisateurs pour la télécharger. Le mois dernier a également été marqué par la détection du malware Android.Locker.387.origin sur Google Play qui bloquait des Smartphones et tablettes.

Les événements les plus importants du mois de janvier sont :

Pour plus d'infos sur les menaces ayant ciblé les appareils mobiles en janvier, consultez notre rapport.

En savoir plus avec Dr.Web

Statistiques virales Bibliothèque de descriptions virales Tous les rapports viraux

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg