Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Doctor Web : rapport viral du mois d'août 2015

Le 28 août 2015

Le mois d'août a été marqué par l'apparition d’un logiciel malveillant infectant des routeurs tournant sous Linux, ainsi que d’un miner capable de s’auto répliquer et de se propager via un réseau local. Les chercheurs ont également observé la distribution d'un Trojan Downloader dans des documents Word, un installateur de logiciels indésirables de la famille LoadMoney, ainsi que plusieurs nouvelles applications malveillantes ciblant les utilisateurs d’appareils mobiles sous Android.

Les tendances du mois d'août

  • L'apparition d'un logiciel malveillant infectant les routeurs sous Linux.
  • La distribution de Downloaders et installateurs ciblant Microsoft Windows
  • La hausse du nombre de Trojans ciblant Google Android

La menace du mois

L'apparition de la crypto monnaie a été de pair avec le développement de logiciels malveillants conçus pour la récolter (ce que l’on nomme le « mining »). Si les spécialistes ont constaté que l'intérêt des cybercriminels envers ce type de logiciels a diminué, car la récolte de la crypto monnaie nécessite de plus en plus de ressources, ils continuent toutefois à recevoir des échantillons de Trojans-miners, dont l'un a été baptisé Trojan.BtcMine.737.

L'architecture interne du Trojan.BtcMine.737 se présente comme un système de poupées gigognes incluant trois installateurs : le premier représente un dropper — il essaie d'arrêter les processus du Trojan.BtcMine.737 s'ils ont déjà été lancés dans le système puis il extrait de son corps et enregistre dans le dossier temporaire le fichier exécutable d'un autre installateur, le lance et supprime son fichier original. Le deuxième installateur a plus de fonctionnalités, qui ressemblent beaucoup à celles d’un ver réseau : il enregistre et lance sur le disque de l'ordinateur ciblé le fichier exécutable, puis crée ses copies dans plusieurs dossiers, ouvrant l'accès à l’un de ces dossiers via le réseau local. Dans les dossiers ciblés, ses copies s'affichent comme des fichiers avec le nom Key et l'icône de l'archive WinRAR..

screen

Puis le Trojan se copie dans le dossier racine de tous les disques de la machine infectée, énumère tous les ordinateurs disponibles dans l'environnement réseau et essaie d'accéder à ces ordinateurs en utilisant les mots de passe et logins disponibles dans sa liste. De plus, le malware essaie de lancer sur l'ordinateur infecté le point d'accès Wi-Fi ouvert, si le matériel approprié est disponible. Si le logiciel malveillant accède à l'un des ordinateurs du réseau local, il essaie d'y sauvegarder et d’y lancer sa copie. Le logiciel CNminer.exe, que le Trojan.BtcMine.737 sauvegarde sur le disque à la deuxième étape de son installation, représente un installateur de l'utilitaire conçu pour récolter la crypto monnaie. Pour plus d'infos sur cette menace, vous pouvez lire l'article correspondant sur le site de Doctor Web.

Statistiques de l'utilitaire de désinfection Dr.Web CureIt!

screen

Données des serveurs de statistiques de Doctor Web

screen

screen

Botnets

Les spécialistes de Doctor Web continuent de surveiller le grand botnet créé à l'aide du virus de fichier Win32.Rmnet.12 Leur moyenne quotidienne de croissance est représentée dans les graphiques ci-dessous :

screen

screen

Rmnet —famille de virus de fichiers distribués sans l'intervention de l'utilisateur, capables d'injecter un code parasite dans les pages web (cela permet de recueillir les données bancaires de la victime), de voler les cookies et les mots de passe pour les clients FTP et d’exécuter des commandes distantes.

Le botnet Win32.Sector est toujours opérationnel — sa moyenne quotidienne de croissance est représentée dans le graphique ci-dessous :

screen

Le virus de fichier Win32.Sector possède les fonctionnalités suivantes :

Au cours du mois, les spécialistes ont constaté une hausse du nombre d'attaques effectuées à l'aide du Trojan Linux.BackDoor.Gates.5. Par rapport au mois précédent, le nombre d'attaques DDoS a augmenté de 118,3 % pour atteindre 2083. 86,7% des attaques ont été effectuées sur des sites en Chine, 10,7% aux États-Unis.

Trojans Encoders

Nombre de requêtes adressées au support technique de Doctor Web pour le décryptage de fichiers

Juillet 2015Août 2015Evolution
14141425+ 0,77 %

Les modifications des Trojans encoders les plus répandues au mois d'août 2015 :

Dr.Web Security Space 10.0 pour Windows
protège contre les Trojans Encoders

Cette fonctionnalité n’est pas disponible dans Dr.Web Antivirus pour Windows

Protection préventivePrévention de la perte de données
Protection préventivePrévention de la perte de données

Plus d'infos Regardez la vidéo sur le paramétrage

Menaces ciblant Linux

Au cours du mois d'août, les spécialistes de Doctor Web ont examiné plusieurs logiciels malveillants utilisés par les malfaiteurs pour lancer des attaques contre des routeurs tournant sous Linux.

Les chercheurs de Doctor Web supposent qu’initialement, le Trojan ajouté à la base virale Dr.Web sous le nom Linux.PNScan.1, est installé sur les routeurs par les malfaiteurs en exploitant par exemple la vulnérabilité shellshock via le lancement de scripts ou en utilisant les Trojans de la famille Linux.BackDoor.Tsunami, qui, à leur tour, sont distribués par Linux.PNScan.1. Le seul objectif de Linux.PNScan.1 est le piratage du routeur et le téléchargement d’un script malveillant qui installe sur le routeur des backdoors compilés en fonction de l'architecture du routeur — ARM, MIPS ou PowerPC. Si les malfaiteurs ont réussi à pirater un ordinateur ayant une architecture Intel x86 en exploitant la vulnérabilité shellshock, le script prévoit le téléchargement du backdoor. Ces backdoors peuvent exécuter des commandes provenant des malfaiteurs dont l'une est de télécharger l'utilitaire Tool.Linux.BrutePma.1, — nécessaire pour pirater les panneaux d'administration des systèmes de gestion des bases de données PHPMyAdmin.

Les spécialistes de Doctor Web ont également détecté sur le serveur des malfaiteurs d'autres logiciels malveillants : parmi eux —une autre modification du Trojan Linux.PNScan.2, le malware Trojan.Mbot, conçu pour pirater les sites web, le Trojan Perl.Ircbot.13, conçu pour rechercher des vulnérabilités sur les sites fonctionnant avec des systèmes de gestion de contenu, ainsi que ceux utilisant des logiciels de boutique en ligne Les chercheurs de Doctor Web connaissent 1439 cas d'infections et dans 649 cas, ils ont pu géolocaliser les appareils infectés:

screen

Pour plus d'infos sur cet incident et les menaces détectées par les spécialistes de Doctor Web, vous pouvez lire l'article correspondant sur le site de Doctor Web.

Autres logiciels malveillants

Au cours du mois d'août 2015, les chercheurs de Doctor Web ont analysé le Trojan Downloader, distribué sous couvert d'une pièce jointe (dans un document Word), baptisé W97M.DownLoader.507. Pour pouvoir en lire le contenu crypté, la victime potentielle est invitée à activer les macros dans l'éditeur Word.

Si la victime effectue cette action, le Trojan télécharge des fragments de code depuis un serveur distant pour compiler des scripts malveillants, qui à leur tour téléchargent et lancent un Trojan bancaire dangereux. Pour en savoir plus sur cette menace, consultez les actualités sur le site de Doctor Web.

Le malware Trojan.LoadMoney.336, très répandu sur les ordinateurs des utilisateurs, représente un installateur d’applications indésirables. Il se propage de la manière suivante : si l'utilisateur s'adresse au site de partage de fichiers créé par les malfaiteurs, il est redirigé automatiquement vers un site intermédiaire sur lequel le Trojan.LoadMoney.336 est téléchargé sur l'ordinateur. Après son lancement, le Trojan s'adresse à un autre serveur, d'où il reçoit un fichier de configuration crypté. Ce fichier inclut des liens vers des applications de partenaires téléchargées sur Internet ainsi que vers des applications publicitaires et se lance sur l'ordinateur infecté..

pour en savoir plus sur ce Trojan, veuillez consulter l'article correspondant.

Sites dangereux

En août 2015, la base de sites non recommandés par Dr.Web s’est enrichie de 834 753 adresses Internet.

Juillet 2015
Août 2015Evolution
+ 821 409+ 834 753+ 1,62 %
Sites non recommandés

Logiciels malveillants et indésirables ciblant Android

En Août, les spécialistes ont constaté une baisse de l'activité des logiciels malveillants ciblant les appareils mobiles sous Android par rapport au mois précédent. Néanmoins, ils ont découvert un Trojan espion et ont constaté une hausse du nombre de Trojans-Extorqueurs, malwares bancaires, et Trojans SMS. Les événements les plus importants du mois sont :

En savoir plus avec Dr.Web

Statistiques virales Bibliothèque de descriptions virales Tous les rapports viraux Labo Live