Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Doctor Web : rapport viral du mois de septembre 2015

le 1er octobre 2015

Le début de l'automne apporte son lot de malwares : au cours du mois de septembre2015, les chercheurs ont détecté la propagation de plusieurs installateurs d’applications indésirables et publicitaires ciblant Windows et Mac OS X, d’un nouveau Trojan ciblant les terminaux POS, ainsi que des malwares ciblant Linux et Android.

Les tendances du mois de septembre 2015

  • L'apparition d'un nouveau Trojan infectant les terminaux POS
  • La propagation d’applications indésirables et publicitaires ciblant Windows et Mac OS X
  • La propagation de nouveaux logiciels malveillants ciblant Google Android et Linux

La menace du mois

Les terminaux POS tournant sous Windows ont toujours été une cible intéressante pour les malfaiteurs qui ont déjà élaboré plusieurs moyens de voler des traces de cartes bancaires dans la mémoire de ces appareils en utilisant des logiciels malveillants. Les chercheurs de Doctor Web ont examiné une menace de ce type au cours du mois de septembre qui a reçu le nom Trojan.MWZLesson, et qui représente une modification du malware BackDoor.Neutrino.50.

Trojan.MWZLesson peut exécuter les commandes suivantes :

Pour plus d'infos sur cette menace, vous pouvez lire l'article correspondant sur le site de Doctor Web.

Statistiques de l'utilitaire de désinfection Dr.Web CureIt!

Selon ces données, en septembre 2015, Dr.Web CureIt! a détecté 155 554 503 applications malveillantes, indésirables et potentiellement dangereuses.

screen

Données des serveurs de statistiques de Doctor Web.

screen

Logiciels malveillants détectés dans le trafic email

screen

Botnets

Les spécialistes de Doctor Web continuent de surveiller le grand botnet créé à l'aide du virus de fichier Win32.Rmnet.12. Sa moyenne quotidienne de croissance en septembre 2015 est représentée dans les graphiques ci-dessous :

screen

screen

Rmnet — famille de virus de fichiers distribués sans l'intervention de l'utilisateur, capables d'injecter un code parasite dans les pages web (cela permet de recueillir les données bancaires de la victime), de voler les cookies et les mots de passe pour les clients FTP et d’exécuter des commandes distantes.

Le botnet Win32.Sector est toujours opérationnel — sa moyenne quotidienne de croissance est représentée dans le graphique ci-dessous :

screen

Le virus de fichier Win32.Sector possède les fonctionnalités suivantes :

Au cours du mois, les spécialistes ont détecté plusieurs attaques effectuées à l'aide du Trojan Linux.BackDoor.Gates.5. Par rapport au mois précédent, le nombre d'attaques DDoS a augmenté de 263.5% pour atteindre 7572. Les leaders des attaques sur les sites se trouvent aux Etats-Unis, suivis par la Chine. La répartition géographique de ces attaques DDoS perpétrées à l’aide de Linux.BackDoor.Gates.5 est présentée dans le graphique ci-après :

screen

Trojans Encoders

Nombre de requêtes adressées au support technique de Doctor Web pour le décryptage de fichiers

Août 2015Septembre 2015Evolution
14251310- 8 %

Les modifications des Trojans encoders les plus répandues au mois de septembre 2015 :

Dr.Web Security Space 10.0 pour Windows
protège contre les Trojans Encoders

Cette fonctionnalité n’est pas disponible dans Dr.Web Antivirus pour Windows

Protection préventivePrévention de la perte de données
Protection préventivePrévention de la perte de données

Plus d'infos

Menaces ciblant Linux

En septembre, les spécialistes de Doctor Web ont détecté des Trojans ciblant Linux. Parmi les plus intéressants Linux.Ellipsis.1 et Linux.Ellipsis.2. Le second est conçu pour pirater des appareils en utilisant des attaques par dictionnaire. Les cybercriminels utilisent le Trojan Linux.Ellipsis.1 afin de garantir leur anonymat lors de l'accès aux appareils piratés. Ce malware a un comportement assez étrange que les spécialistes de Doctor Web ont qualifié de " paranoïaque ".

La tâche principale du Trojan Linux.Ellipsis.1 est de lancer un serveur proxy sur l'ordinateur infecté : les malfaiteurs l'utilisent pour pirater des appareils infectés ainsi que pour brouiller les pistes. Pour cela, il contrôle les connexions via une adresse locale et un port spécifiés et analyse tout le trafic entrant.

Linux.Ellipsis.1 comprend une liste de lignes dont la présence dans le trafic réseau prévoit le blocage de l'échange de données entre le serveur distant et le PC de la victime via une adresse IP. Il vérifie également toutes les connexions réseau de l'ordinateur et envoie au serveur de gestion l'adresse IP du nœud avec lequel la connexion est établie. Si le serveur répond par la commande " kill ", le Trojan arrête l'application qui a établi cette connexion et bloque cette adresse IP pour 2 heures. Pour plus d'informations sur l'architecture et le fonctionnement de ces menaces consultez l'article publié sur notre site Web.

Logiciels malveillants ciblant Mac OS X

УLes spécialistes détectent souvent des installateurs de logiciels publicitaires et indésirables ciblant Windows, mais au cours du mois de septembre, ils ont découvert un malware de ce type ciblant Mac OS X. Cet échantillon, Adware.Mac.WeDownload.1 représente un faux package d'installation du lecteur Adobe Flash Player et se propage via un programme de partenariat qui vise à gagner de l'argent sur le trafic de fichiers.

screen Adware.Mac.WeDownload.1 #drweb

Après avoir envoyé la requête appropriée, Adware.Mac.WeDownload.1 reçoit la liste des applications qu'il proposera à l'utilisateur d'installer. Par exemples les logiciels indésirables ou même malveillants Program.Unwanted.MacKeeper, Mac.Trojan.Crossrider, Mac.Trojan.Genieo, Mac.BackDoor.OpinionSpy, des représentants de la famille Trojan.Conduit et d'autres. Le nombre et la liste de logiciels à installer dépendent de la géolocalisation de l'IP de la victime.

Pour plus d'infos sur cette menace, vous pouvez lire l'article correspondant sur le site de Doctor Web.

Autres logiciels malveillants

Au cours du mois, les chercheurs ont constaté une large propagation de malwares installateurs d’applications publicitaires, indésirables et potentiellement dangereuses, créés au sein de « programmes partenaires » qui visent à monétiser le trafic de fichiers.

Au début du mois, les spécialistes ont examiné le malware Trojan.InstallCube.339, qui peut être téléchargé par les utilisateurs sur des sites de partage de fichiers et des trackers Torrents. Après son lancement, le Trojan reçoit ses données de fonctionnement du serveur de gestion et affiche une fenêtre de dialogue avec des informations sur l'objet téléchargeable. Il faut noter que cette fenêtre possède une icône du logiciel-client de mTorrent. La particularité des serveurs de gestion de ce logiciel malveillant est qu'ils permettent de télécharger la charge utile dans le cas où l'adresse IP de l'ordinateur-client est russe. Vous pouvez consulter plus d’information sur ce Trojan dans cet article.

Un autre installateur dangereux, dont nous avons parlé au cours du mois, porte le nom Trojan.RoboInstall.1. Comme ses " homologues ", il se propage via les sites de partage de fichiers, faux Torrents et autres ressources, créés par les malfaiteurs. Ces logiciels malveillants sont souvent utilisés par les développeurs d’applications gratuites, car ils gagnent de l'argent sur chaque utilitaire que ce Trojan installe sur l'ordinateur. Il est à noter que Trojan.RoboInstall.1 ne comprend pas de cases à cocher pour les fichiers exécutables à télécharger, c'est pourquoi l'utilisateur ne peut pas bloquer le téléchargement de ces fichiers.

A la fin du mois, les malfaiteurs ont effectué un envoi de spam contenant des malwares usurpant le nom de Doctor Web.

screen

Les cybercriminels invitaient à tester l'utilitaire « Dr.Web CureIt 2 », sous couvert duquel le Trojan Trojan.PWS.Stealer.13052, conçu pour voler les mots de passe, était téléchargé sur l'ordinateur de la victime. Pour augmenter le nombre d'infections, les pirates demandent de désactiver l'antivirus installé sur l'ordinateur pour éviter les conflits lors de l'installation de l'utilitaire. Pour en savoir plus sur cette menace, consultez les informations publiées par Doctor Web.

Sites dangereux

En septembre 2015, la base de sites non recommandés par Dr.Web s’est enrichie de 399 227 adresses Internet.

Août 2015Septembre 2015Evolution
+ 834 753+ 399 227- 51.39 %
Sites non recommandés

Logiciels malveillants et indésirables ciblant Android

Le mois écoulé a été marqué par l'émergence de nouveaux logiciels malveillants ciblant les appareils mobiles. Les spécialistes ont découvert un Trojan dans le catalogue App Store, ainsi que des cas de téléchargement de logiciels malveillants sur Google Play . En septembre, les chercheurs ont détecté un Trojan intégré au sein d'un des firmwares officiel d’Android. De plus, les utilisateurs ont été de nouveau ciblés par des Extorqueurs Android et d'autres logiciels malveillants.

Les événements les plus importants du mois sont :

En savoir plus avec Dr.Web

Statistiques virales Bibliothèque de descriptions virales Tous les rapports viraux Labo Live

Editeur russe des solutions antivirus Dr.Web
Expérience dans le développement depuis 1992
Les internautes dans plus de 200 pays utilisent Dr.Web
L'antivirus est fourni en tant que service depuis 2007
Support 24/24

Dr.Web © Doctor Web
2003 — 2021

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg