Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Doctor Web : rapport viral du mois d'avril 2015

le 30 avril 2015

Le mois d'avril 2015 a vu plusieurs événements intéressants dans le domaine de la sécurité informatique.

Les tendances du mois d'avril.

  • Les tentatives des malfaiteurs de lancer des attaques ciblées sur plusieurs entreprises russes travaillant dans le complexe militaro-industriel.
  • L'émergence d'un nouveau Trojan bancaire multi-composants qui attaque les clients des établissements de crédit.
  • La propagation de backdoors ciblant Windows et Linux.
  • L'apparition de nouvelles modifications de logiciels malveillants ciblant Google Android.

La menace du mois

Au mois d'avril, les spécialistes de Doctor Web ont terminé l'analyse du Trojan multi composants, baptisé Trojan.Dridex.49. Ce logiciel malveillant contient le composant qui crée les données de configuration du Trojan, le composant qui lance le malware, le noyau et les modules additionnels. La particularité du Trojan est l'utilisation du protocole P2P pour la connexion au serveur de gestion.

En fonction des paramètres spécifiés, Trojan.Dridex.49 s'intègre au processus de l'Explorateur (explorer.exe) ou des navigateurs (chrome.exe, firefox.exe, iexplore.exe). Tous les messages qu'il envoie ou reçoit du serveur de gestion sont cryptés. Sur l'ordinateur infecté, ce malware peut jouer un des trois rôles suivants :

Autrement dit, pour l'échange de messages, le botnet Trojan.Dridex.49 utilise la chaîne suivante bot -> node -> admin node -> autres admin node -> serveur de gestion. Pour sécuriser la connexion, les Trojans échangent des clés. Voici le schéma de l'interaction au sein du botnet :

screen

La fonctionnalité principale de Trojan.Dridex.49 consiste à exécuter des injections web, c'est à dire à intégrer un code parasite dans les pages web des banques consultées par l'utilisateur.

Le Trojan peut intercepter les données entrées dans différents formulaires, ce qui permet aux malfaiteurs d'accéder aux comptes bancaires afin de voler de l'argent. Les spécialistes de Doctor Web ont détecté plus de 80 sites sur lesquels Trojan.Dridex.49 peut voler des données, à savoir — Royal Bank of Scotland, TCB, Santander, Bank of Montreal, Bank of America, HSBC, Lloyds Bank, Barclays et d'autres. La signature du Trojan.Dridex.49 a été ajoutée aux bases virales Dr.Web et ce Trojan ne représente aucune menace pour les utilisateurs des logiciels Dr.Web.

Selon les statistiques de l'utilitaire de désinfection Dr.Web CureIt!

Durant le mois d'avril 73 149 430 menaces ont été détectées.

screen

Selon les données des serveurs de statistiques de Doctor Web.

screen

Logiciels malveillants détectés dans le trafic email.

screen

Botnets

Les spécialistes de Doctor Web continuent de surveiller le grand botnet créé à l'aide du virus de fichier Win32.Rmnet.12.

screen

Rmnet—c'est une famille de virus de fichiers, distribués sans l'intervention de l'utilisateur, capables d'injecter un code parasite dans les pages web (cela permet de recueillir les données bancaires de la victime), de voler les cookies et les mots de passe pour les clients FTP et d’exécuter des commandes distantes.

Le botnet Win32.Sector est toujours opérationnel. Ce logiciel malveillant possède les fonctionnalités suivantes :

screen

Le volume du botnet construit grâce au BackDoor.Flashback.39 n'a presque pas changé et représente 25 000 ordinateurs :

screen

Au cours du mois, les spécialistes ont détecté plusieurs attaques effectuées à l'aide du Trojan Linux.BackDoor.Gates.5. Par rapport au mois précédent, le nombre d'adresses IP uniques qui ont été ciblées a augmenté de plus de 48 % et s’élève à 3320. Il est à noter que les Etats-Unis ont occupé la première place parmi les cibles, devançant le leader du mois précédent, la Chine. La répartition géographique de ces attaques est présentée dans le graphique ci-après :

screen

Trojans Encoders.

Nombre de requêtes adressées au support technique de Doctor Web pour le décryptage de fichiers

Mars 2015Avril 2015Evolution
23611359- 42.4 %

Les modifications des Trojans encoders les plus répandues au mois d'avril 2015 :

Dr.Web Security Space 10.0 pour Windows
protège contre les Trojans Encoders

Cette fonctionnalité n’est pas disponible dans Dr.Web Antivirus pour Windows

Protection préventivePrévention de la perte de données
Protection préventivePrévention de la perte de données

Plus d'infos Regardez la vidéo sur le paramétrage

Menaces ciblant Linux.

Au mois d'avril les spécialistes de Doctor Web ont examiné un nouveau Trojan capable d'infecter les OS de la famille Linux - Linux.BackDoor.Sessox.1. Les pirates peuvent le contrôler via le protocole IRC (Internet Relay Chat), — c'est dans ce chat que le bot reçoit des commandes. Le Trojan scanne les ressources Internet à la recherche de vulnérabilités afin de lancer un script sur le serveur non protégé, qui peut installer dans le système compromis la copie du Trojan.

Le Trojan peut attaquer un site web indiqué par les malfaiteurs en envoyant à répétition des requêtes GET.

Description détaillée du Linux.BackDoor.Sessox.1.

Autres événements du mois d'avril.

Au début du mois, les spécialistes de Doctor Web ont détecté un envoi de spam aux employés d’entreprises russes travaillant dans le complexe militaro-industriel, qui visait à distribuer un dangereux Trojan.

screen

Le malware, baptisé BackDoor.Hser.1 peut envoyer au serveur distant la liste des processus actifs, télécharger et lancer une application sur l'ordinateur infecté, ouvrir la ligne de commande et rediriger l'entrée/sortie vers les serveurs pirates afin de rendre possible l'administration distante de l'ordinateur infecté. Pour plus d'infos sur cette menace, veuillez lire l'article correspondant sur le site de Doctor Web.

Au cours du mois, les spécialistes de Doctor Web ont examiné le logiciel malveillant VBS.BackDoor.DuCk.1 qui peut exécuter des commandes ainsi qu'envoyer au serveur de gestion des captures d'écran. Le backdoor peut vérifier la présence de machines virtuelles ainsi que celle d’un logiciel antivirus. Pour plus d'infos sur cette menace, vous pouvez lire l'article correspondant sur le site de Doctor Web.

Sites dangereux

En mars 2015, la base de sites non recommandés par Dr.Web s’est enrichie de 129 199 adresses Internet.

Mars 2015Avril 2015Evolution
74 108129 199+ 74.3%
Sites non recommandés

Logiciels malveillants et indésirables ciblant Android.

Le mois écoulé a été marqué par l'apparition de nouveaux logiciels malveillants ciblant Android. Les événements les plus éminents du mois sont :

Pour en savoir plus sur les logiciels malveillants et indésirables ayant ciblé Android au cours du mois d'avril 2015, veuillez consulter le rapport viral de Doctor Web.

En savoir plus avec Dr.Web

Statistiques virales Bibliothèque de descriptions virales Tous les rapports viraux Labo Live

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg