Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Profil
Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24

Nous téléphoner

+7 (495) 789-45-86

Forum

Doctor Web : aperçu de l'activité virale du mois de juillet 2017

Télécharger en PDF

le 31 juillet 2017

Général

En règle générale, l’été est une période un peu plus calme en matière de sécurité informatique, mais cette année, le mois de juillet fait exception. Au début du mois, les spécialistes de Doctor Web ont détecté un backdoor dans l'application bureautique M.E.Doc. Un peu plus tard, les analystes ont pu déterminer la source de propagation du Trojan BackDoor.Dande qui volait des informations sur les achats de médicaments de sociétés pharmaceutiques. A la fin du mois, il s'est avéré que le portail de service public russe gosuslugi.ru a été compromis. Egalement au mois de juillet, quelques programmes malveillants ciblant la plateforme Android.

Les tendances principales du mois du juillet

  • Détection d'un backdoor dans le logiciel M.E.Doc
  • Identification de la source de propagation du backdoor Dande
  • Piratage du portail gosuslugi.ru

Menace du mois

L'application bureautique M.E.Doc populaire en Ukraine a été développée par la société Intellect Service. Dans un des composants de cette application, ZvitPublishedObjects.Server.MeCom, les analystes de Doctor Web ont détecté un enregistrement correspondant à une clé caractéristique du registre Windows : HKCU\SOFTWARE\WC.

#drweb

La même clé de Registre a été utilisée par le ransomware Trojan.Encoder.12703. L'analyse des logs Dr.Web sur l'ordinateur d'un de nos clients a montré que le ransomware Trojan.Encoder.12703 a été lancé par l'application ProgramData\Medoc\Medoc\ezvit.exe, qui est un composant du programme M.E.Doc :

#drweb

Une étude plus approfondie du logiciel a révélé qu'une de ses bibliothèques, ZvitPublishedObjects.dll contient un backdoor capable d'exécuter les fonctions suivantes:

De plus, le module de mise à jour de M.E.Doc permet d'exécuter la charge utile à l'aide de l'utilitaire rundll32.exe avec le paramètre # 1, technique utilisée pour lancer Trojan.Encoder.12544 . Pour en savoir plus sur l'enquête menée par Doctor Web, consultez cet article publié sur notre site.

Statistiques

Selon les statistiques de Dr.Web Antivirus

#drweb

Données des serveurs de statistiques de Doctor Web.

#drweb

Logiciels malveillants détectés dans le trafic email

#drweb

D’après les données du bot Dr.Web pour Telegram

#drweb

Ransomwares

#drweb

Au mois de juillet, le Support technique de Doctor Web a reçu de nombreuses requêtes d’utilisateurs touchés par les modifications suivantes des ransomwares :

Sites dangereux

Au cours du mois de juillet 2017, la base de sites non recommandés par Dr.Web s’est enrichie de 327 295 adresses Internet.

Juin 2017Juillet 2017Evolution
+ 229,381+ 327,295+ 42.6%

À la mi-juillet, les chercheurs de Doctor Web ont détecté que le portail de service public russe gosuslugi.ru comportait un code potentiellement malveillant. Ce code connectait discrètement le navigateur des visiteurs du site à une des 15 adresses de domaines enregistrées au nom d'une personne physique dont au minimum 5 adresses appartenaient à des sociétés néerlandaises. Pendant la génération automatique de la page du site que l'utilisateur souhaitait consulter, un conteneur <iframe> était ajouté au code de balisage de la page web. Ce code permettait de télécharger ou de demander au navigateur utilisé par l'internaute n'importe quelles données. Toutes les vulnérabilités détectées sur le site gosuslugi.ru ont été corrigées quelques heures après la publication de la news sur cet incident.

Autres événements dans le domaine de la sécurité

En 2011, Doctor Web a signalé l'apparition du Trojan BackDoor.Dande qui espionnait les compagnies pharmaceutiques et les pharmacies en Russie. Après avoir examiné le disque dur fourni par une des sociétés concernées, les analystes ont établique le Trojan a été téléchargé et lancé par un des composants de l'application ePrica. Cette application est utilisée par les pharmacies pour analyser les prix des médicaments afin de choisir des fournisseurs appropriés. Ce module téléchargeait du serveur de " Spargo technologies " l'installateur BackDoor.Dande, qui, à son tour, lançait le backdoor sur les ordinateurs cibles. Le module en question possédait la signature numérique « Spargo ».

L'étude menée par Doctor Web a montré que les composants de BackDoor.Dande étaient intégrés directement dans l’une des premières versions de l'installateur ePrica. Les modules du Trojan comptent l'installateur du backdoor ainsi que les composants relatifs à la collecte des informations sur les achats des médicaments, ces composants reçoivent des informations des bases de données des logiciels de pharmacie. L’un d’eux a été utilisé pour copier des informations sur les achats de produits pharmaceutiques depuis les bases de données du programme 1C. Il est important de noter que, même après la suppression du logiciel ePrica, le backdoor restait dans le système et continuait à espionner les utilisateurs. Pour des informations plus détaillées sur l'étude menée par les spécialistes de Doctor Web, consultez l’article publié sur notre site.

Logiciels malveillants et indésirables ciblant les appareils mobiles.

Au début du mois, les spécialistes de Doctor Web ont détecté le Trojan Downloader Android.DownLoader.558.origin au sein du jeu populaire BlazBlue, disponible en téléchargement sur Google Play. Le programme malveillant pouvait discrètement télécharger et exécuter les composants de l’application non analysés. Un peu plus tard, le Trojan Android.BankBot.211. origine a été examiné. Il pouvait gérer les appareils contaminés, voler des informations bancaires confidentielles et d'autres informations dont les mots de passe. À la fin du mois, les analystes ont détecté le Trojan Android.Triada.231, intégré par les pirates dans une des bibliothèques Android ainsi que dans le firmware de certains modèles d'appareils mobiles. Le programme malveillant s'introduisait dans les processus de tous les programmes lancés et à son tour, lançait immédiatement des modules de Trojan.

Les événements les plus importants du mois de juillet relatifs à la sécurité des mobiles sont les suivants :

Pour plus d'informations sur les menaces ayant ciblé les appareils mobiles en juillet, consultez notre rapport.

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2017

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg