Doctor Web : rapport viral du mois d'octobre 2015
le 30 octobre 2015
Au cours du mois d’octobre 2015, les chercheurs ont détecté le piratage de certaines ressources web depuis lesquels les malfaiteurs distribuaient un malware sous couvert de l’utilitaire antivirus d'un éditeur connu. De plus, les spécialistes ont détecté le Trojan ciblant Android Android.BankBot.80.origin, qui se fait passer pour le client bancaire d'une institution financière russe, ainsi que le Trojan ciblant iOS — IPhoneOS.Trojan.YiSpecter.2, conçu pour afficher des publicités et télécharger des logiciels à l'insu de l'utilisateur.
Les tendances du mois d'octobre 2015
- Le piratage de sites pour distribuer des logiciels malveillants
- L'apparition d'un nouveau Trojan conçu pour effectuer des injections web
- La propagation de nouveaux logiciels malveillants ciblant Google Android
La menace du mois
IAu cours du mois, les chercheurs de Doctor Web ont détecté le piratage de sites populaires, dont celui d’une série télé russe. Lors de la redirection depuis les résultats de recherche Google vers la page piratée (si certaines conditions sont remplies), un nouvel onglet s’ouvre dans le navigateur, et l'utilisateur ne peut pas le fermer à cause d'un script spécial. Si l'utilisateur clique ou touche un bouton sur le clavier, il verra une fenêtre lui proposant d'installer un plug-in pour le navigateur, que les malfaiteurs distribuent sous couvert d'un utilitaire antivirus.
Ce plug-in, détecté par l'antivirus Dr.Web comme Trojan.BPLug.1041, est conçu pour exécuter des injections web, c'est-à dire intégrer un code parasite dans les pages web consultées par l'utilisateur. Le malware bloque également toutes les publicités provenant des domaines non inclus dans les paramètres du Trojan. De plus, le Trojan.BPLug.1041 en cas d'utilisation du réseau social " Odnoklassniki ", essaie de fournir l'accès à un logiciel à l'API de ce portail de la part de l'utilisateur : ses données personnelles peuvent être utilisées pour promouvoir des groupes, renvoyer du spam ou effectuer des votes.
Statistiques de l'utilitaire de désinfection Dr.Web CureIt!
Trojan.Siggen6.33552
Signature du logiciel malveillant conçu pour installer d'autres malwares.Trojan.Crossrider1.42770
Représentant de la famille de Trojans conçus pour afficher des publicités aux internautes.Trojan.DownLoad3.35967
Un des représentants de la famille des Trojan Downloader conçus pour télécharger du contenu sur Internet et lancer sur le PC infecté d'autres logiciels malveillants.Trojan.LoadMoney
Famille des logiciels « downloader », générés sur les serveurs du programme partenaire LoadMoney. Ces programmes téléchargent et installent différents logiciels indésirables sur l'ordinateur de la victime.
Données des serveurs de statistiques de Doctor Web.
Trojan.InstallCube
Famille de logiciels « downloader », qui installent sur l'ordinateur de la victime des logiciels inutiles et indésirables.Trojan.Siggen6.33552
Signature du logiciel malveillant conçu pour installer d'autres malwares.Trojan.DownLoad3.35967
Un des représentants de la famille des Trojan Downloader conçus pour télécharger du contenu sur Internet et lancer sur le PC infecté d'autres logiciels malveillants.Trojan.LoadMoney
Famille des logiciels « downloader », générés sur les serveurs du programme partenaire LoadMoney. Ces programmes téléchargent et installent différents logiciels indésirables sur l'ordinateur de la victime.
Logiciels malveillants détectés dans le trafic email
Trojan.Encoder.567
Un des représentants de la famille des Trojans-Extorqueurs qui cryptent les fichiers de l'ordinateur infecté puis extorquent de l'argent pour les décrypter. Ce Trojan peut crypter les types de fichiers suivants : .jpg, .jpeg, .doc, .docx, .xls, xlsx, .dbf, .1cd, .psd, .dwg, .xml, .zip, .rar, .db3, .pdf, .rtf, .7z, .kwm, .arj, .xlsm, .key, .cer, .accdb, .odt, .ppt, .mdb, .dt, .gsf, .ppsx, .pptx.Trojan.PWS.Stealer
Famille de Trojans conçus pour voler des mots de passe et d'autres données confidentielles.Trojan.DownLoader15.52331
Un des représentants de la famille des Trojan Downloader conçus pour télécharger du contenu sur Internet et lancer sur le PC infecté d'autres logiciels malveillants.
Botnets
Les spécialistes de Doctor Web continuent de surveiller le grand botnet créé à l'aide du virus de fichier Win32.Rmnet.12. Sa moyenne quotidienne de croissance en octobre 2015 est représentée dans les graphiques ci-dessous :
Rmnet—famille de virus de fichiers distribués sans l'intervention de l'utilisateur, capables d'injecter un code parasite dans les pages web (cela permet de recueillir les données bancaires de la victime), de voler les cookies et les mots de passe pour les clients FTP et d’exécuter des commandes distantes.
Le botnet enrôlant des ordinateurs sous Windows infectés par le virus de fichiers Win32.Sector est toujours opérationnel. Sa moyenne quotidienne de croissance est représentée dans le graphique ci-dessous :
Ce logiciel malveillant possède les fonctionnalités suivantes :
- télécharger des fichiers exécutables depuis un réseau P2P et les lancer sur les ordinateurs infectés ;
- s'intégrer dans tous les processus actifs sur le PC ;
- désactiver certains antivirus et bloquer l'accès aux sites des éditeurs ;
- infecter les fichiers stockés sur les disques locaux et les supports amovibles (où ce virus crée un fichier autorun.inf lors de l'infection), ainsi que les fichiers stockés dans les dossiers réseaux partagés.
Au cours du mois, les spécialistes ont constaté la réduction des attaques effectuées à l'aide du Trojan Linux.BackDoor.Gates.5. Au cours du mois écoulé, le nombre de sites attaqués a diminué de 33,29% et représente 5051. La cible numéro 1 reste la Chine, mais les Etats-Unis sont en 3ème place, cédant leur deuxième position à la France.
Trojans Encoders
Nombre de requêtes adressées au support technique de Doctor Web pour le décryptage de fichiers
| Septembre 2015 | Octobre 2015 | Evolution |
|---|---|---|
| 1 310 | 1 471 | +12,29% |
La modification des Trojans encoders la plus répandue au mois d'octobre 2015 est le Trojan.Encoder.567.
Dr.Web Security Space 11.0 pour Windows
protège contre les Trojans Encoders
Cette fonctionnalité n’est pas disponible dans Dr.Web Antivirus pour Windows
| Prévention de la perte de données | |
|---|---|
 |  |
Sites dangereux
En octobre 2015, la base de sites non recommandés par Dr.Web s’est enrichie de 264 970 adresses Internet.
| Septembre 2015 | Octobre 2015 | Evolution |
|---|---|---|
| +399 227 | +264 970 | -33,6% |
Parmi les sites ajoutés par les spécialistes de Doctor Web à la liste de sites non recommandés, nous trouvons des boutiques en ligne qui offrent des marchandises assez étranges et douteuses. Par exemple des cordelettes contre le mauvais œil, des appareils pour gonfler les lèvres etc.
Logiciels malveillants et indésirables ciblant les appareils mobiles
Au cours du mois, les chercheurs ont constaté une baisse de l’activité des Trojans bancaires ciblant les appareils mobiles. Début octobre, ils ont découvert un Trojan ciblant les Smartphones et les tablettes Apple. Il faut noter que ce Trojan cible les appareils standards ainsi que les appareils jailbreakés. Un nouveau malware qui sait éviter les outils de sécurité de Google a été détecté sur Google Play. Au cours du mois, les chercheurs ont détecté de nouveaux Trojans ciblant les firmwares mobiles, ainsi qu’un nouveau Trojan bancaire.
Les événements les plus importants du mois sont :
- L'apparition d'un nouveau Trojan infectant les appareils mobiles sous iOS
- La détection d'un logiciel malveillant sur Google Play
- La détection d’un Trojan intégré au firmware Android
- La propagation de nouveaux Trojans bancaires
Pour plus d'infos sur les menaces ayant ciblées les appareils mobiles en octobre, consultez notre rapport.
En savoir plus avec Dr.Web
Statistiques virales Bibliothèque de descriptions virales Tous les rapports viraux Labo Live
[% END %]