Le 1er juillet 2015
Au mois de juin, les chercheurs de Doctor Web ont détecté un certain nombre d’attaques visant des sites web de différentes organisations, notamment le Centre de Recherche sur l’Opinion Publique Russe (VCIOM). De nouveaux malwares ciblant Windows, OS X et Android ont été analysés.
Principales tendances de Juin
- Augmentation des attaques de sites web
- Nombre croissant de programmes d’installation ciblant OS X et diffusés par Internet
- Nouveaux malwares ciblant Windows et Android
Menace du mois.
Au début du mois de Juin 2015, les analystes de Doctor Web ont détecté un nouveau Trojan baptisé Trojan.Proxy.27552 et destiné à envoyer du spam. Ce Trojan comporte quelques particularités : il peut par exemple provoquer un BSOD (écran bleu de la mort) juste après le processus d’installation. Il stocke égalment la liste des adresses des serveurs de contrôle et de commande dans le registre système Windows.
L’objectif principal du Trojan.Proxy.27552 est d’envoyer du spam avec un serveur de spam distant. De plus, les liens contenus dans les messages de spam envoyés par le Trojan redirigent les utilisateurs vers des sites piratés. Plus d’informations sur cette menace dans la news publiée par Doctor Web.
Statistiques de Dr.Web CureIt!
Trojan.DownLoad3.35967
Trojan capable de télécharger d’autres programmes malveillants sur Internet et de les installer sur la machine infectée..
Trojan.Yontoo
Plug-in pour les navigateurs qui affichent des publicités sur les pages web.
Trojan.Click
Programmes malveillants destinés à générer du trafic pour plusieurs sites web en redirigeant les utilisateurs vers des pages spécifiques.
Trojan.LoadMoney
Famille de Trojans “downloader” générés par des serveurs appurtenant au programme LoadMoney. Ces applications téléchargent et installment plusieurs programmes non sollicités dans le système infecté.
Trojan.Siggen6.33552
Ce programme malveillant est destine à l’installation d’autres malwares.
Statistiques des serveurs Doctor Web
Trojan.DownLoader13.34458
Trojan capable de télécharger d’autres programmes malveillants sur Internet et de les installer sur la machine infectée.
Trojan.Siggen6.33552
Trojan destiné à l’installation d’autres malwares.
Trojan.InstallCube
Famille de programmes “downloader” destines à installer des applications non sollicitées et inutiles sur l’ordinateur.
Trojan.Installmonster
Famille de programmes malveillants créés via le programme d’affiliation Installmonster. Ces applications téléchargent et installent des programmes non sollicités sur les machines infectées.
Statistiques sur les programmes malveillants détectés dans le traffic email.
Trojan.Oficla
Famille de Trojans principalement distribués via email. Lorsque l’un de ces Trojans infecte le système, il masque son activité. Le Trojan.Oficla enrôle la machine dans un botnet, ce qui permet aux cybercriminels de charger d’autres malwares sur la machine. Après l’infection du système, les cybercriminels contrôlant le botnet, contrôlent alors la machine. Ils peuvent notamment télécarhger, installer et utiliser les logiciels de leur choix.
Trojan.DownLoader13.34458
Trojan capable de télécharger d’autres programmes malveillants sur Internet et de les installer sur la machine infectée.
Worm.Siggen.12176
Ver de mail distribué via email et comportant des pièces jointes.
W97M.DownLoader.423
Programme malveillant principalement diffusé par email avec des documents Word en pièce jointe. Il est destine à télécharger d’autres malwares sur la machine.
Trojan.Upatre
Famille de Trojans qui téléchargent et installent de manière masquée d’autres applications malveillantes.
Botnets.
Les chercheurs de Doctor Web continuent à observer un certain nombre de botnets actifs. Parmi eux, le botnet créé avec le virus de fichier Win32.Rmnet.12. Le graphique ci-dessous montre l’activité moyenne des deux sous-botnets observés :
Rmnet représente une famille de virus se propageant sans intervention de l’utilisateur. Ils peuvent incorporer du contenu sur des pages web (ce qui, théoriquement, permet aux cybercriminels d’avoir accès, par exemple, aux données bancaires de la victime), ainsi que voler des cookies et des mots de passe stockés par les clients FTP les plus courants, et enfin exécuter d’autres commandes.
Le botnet enrôlant des ordinateurs infectés par Win32.Sector est toujours actif. Il peut exécuter les actions suivantes :
- Télécharger plusieurs fichiers exécutables via un réseau P2P et les lancer sur la machine.
- Injecter son code dans les processus en cours d’exécution.
- Empêcher le fonctionnement de certains antivirus et bloquer l’accès à leurs sites web.
- Infecter des fichiers sur les disques locaux, les supports amovibles (sur lesquels le malware créé un fichier autorun.inf durant le processus d’infection) et dans les dossiers partagés.
En juin, les attaques des ressources web effectuées à l’aide de Linux.BackDoor.Gates.5 ont beaucoup décru. Comparativement au mois précédent, le nombre d’adresses IP attaquées a chuté de 76,6% et est estimé à 1284. Les cybercriminels ont également modifié la cible de leurs attaques. Ainsi, le Canada a été majoritairement ciblé, suivi par la Chine et les Etats-Unis.
Rançongiciels encodeurs
Nombre de requêtes adressées au support technique pour demander un déchiffrement de fichier.
| Mai 2015 | Juin 2015 | Taux |
|---|---|---|
| 1,200 | 1,417 | + 18% |
Les rançongiciels les plus répandus en Juin 2015
- Trojan.Encoder.858
- Trojan.Encoder.567
- BAT.Encoder
Dr.Web Security Space 10.0 pour Windows
protège contre les Trojans Encoders
Cette fonctionnalité n’est pas disponible dans Dr.Web Antivirus pour Windows
| Protection préventive | Prévention de la perte de données |
|---|---|
 |  |
OS X
Des Adwares et des programmes d’installation d’applications non sollicitées ont été détectés parmi les programmes malveillants les plus fréquents touchant OS X. En juin, un nouveau malware de ce type a été ajouté aux bases virales sous le nom Adware.Mac.MacInst.1.
Lors de son lancement, il ouvre une fenêtre de dialogue donnant des informations que le fichier que souhaitait télécharger l’utilisateur.
Une fois le bouton « Suivant » cliqué, le malware affiche un contrat de partenariat informant l’utilisateur qu’en plus du fichier souhaité, d’autres composants seront installés.
Parmi eux, le Trojan.VIndinstaller.3 Cette application installe à son tour des plug-in malveillants pour Safari, Firefox et Chrome. Ces extensions sont détectées comme des trojans appartenant à la famille Trojan.Crossrider. Plus d’information sur cette menace.
Sites web dangereux
Au mois de juin 2015, un certain nombre de pages du site officiel du Centre de Recherche sur l’Opinion Publique Russe (VCIOM) ont été temporairement ajoutées aux bases virales Dr.Web en tant que ressources web diffusant des malwares. Ceci est du au fait que tant la version russe (wciom.ru) que la version anglaise (wciom.com) du site du VCIOM ont été piratées. Sur le serveur compromis, les hackers ont créé une section spéciale sur laquelle ils ont mis en ligne un certain nombre de pages web avec les titres les plus fréquemment recherchés. Ces pages contenaient un lien pour télécharger un fichier, détecté par Dr.Web comme un malware appartenant à la famille des Trojan.DownLoader. Grâce à ce « downloader », les cybercriminels étaient en capacité d’installer un application de mining et d’autres programmes malveillants sur les ordinateurs infectés. A en juger par les statistiques, des dizaines de milliers d’utilisateurs ont été victime de cette attaque.
Durant le mois de juin 2015, 978 982 URLs de sites non recommandés ont été ajoutés aux bases virales Dr.Web.
| Mai 2015 | Juin 2015 | Taux |
|---|---|---|
| + 221 346 | + 978 982 | + 342,28 % |
Programmes malveillants et non sollicités ciblant Android
Au mois de juin, les cybercriminels ont continué à cibler les utilisateurs d’Android. Un certain nombre de programmes non sollicités et malveillants ont été détectés. Parmi les événements viraux les plus marquants ayant touché Android, nous pouvons mentionner :
- Attaques menées en utilisant des Trojans bancaires afin de voler de l’argent
- Emergence de nouveaux ransomwares (rançongiciels)
- Nouveaux cas de Trojans “downloader” utilisés pour distribuer des logiciels malveillants
- Nombre croissant de Trojans SMS
En savoir plus avec Dr.Web
Statistiques virales Bibliothèque de descriptions virales Tous les rapports viraux Labo Live
