Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

November 2015 virus activity review from Doctor Web

le 30 novembre 2015

Ce mois-ci a été marqué par l'émergence d'un nouveau Trojan Encoder ciblant Linux, baptisé Linux.Encoder.1. Cet Encoder n'est pas le premier parmi les menaces de ce type ayant ciblé l'OS Linux : en août 2014, Doctor Web informait les utilisateurs de l'apparition du Trojan.Encoder.737, conçu pour crypter les fichiers stockés dans les logiciels de stockage en réseau de l'entreprise Synology. De plus, avant de distribuer Linux.Encoder.1 les malfaiteurs ont développé deux versions de ce malware. Ce dernier restant le plus actif : d’après les résultats de recherche effectués via une requête Google appropriée, près de 3000 sites web ont déjà été compromis par ce Trojan.

Les tendances du mois de novembre 2015

  • L'infection de près de 3000 sites par le Trojan Encoder Linux.Encoder.1
  • La distribution de malwares conçus pour obtenir l'accès à un ordinateur infecté.
  • L'émergence de nouveaux Trojans ciblant Microsoft Windows et Google Android

La menace du mois

Les cybercriminels qui distribuent Linux.Encoder.1 ont ciblé principalement les sites web créés en utilisant plusieurs gestionnaires de contenu (CMS), par exemple, WordPress, Magento etc. Pour monter les attaques, ils ont exploité une vulnérabilité non identifiée. Le Trojan ne requiert pas les droits root, il fonctionne avec les privilèges www-data (càd les mêmes privilèges utilisateur qu’Apache lui-même). D’après les résultats de recherche effectués via une requête Google appropriée, au 12 novembre 2015, près de 2000 sites web étaient compromis par Linux.Encoder.1. Mais au 24 novembre, ce chiffre a dépassé 3.000.

screen #drweb

Le Trojan se lance sur le serveur où se trouve le site attaqué à l'aide du script shell, déjà intégré au gestionnaire de contenu. En utilisant ce script, les hackers pouvaient placer un fichier dans le même dossier, qui était, en fait, un injecteur de Linux.Encoder.1. Il est supposé que via une commande des cybercriminels émise, l’injecteur identifie l’architecture du système d’exploitation (32-bits ou 64-bits), extrait de son corps un échantillon du ransomware à chiffrement, le lance puis s’auto-supprime. Après son lancement sur le serveur, le Trojan crypte les fichiers dans les répertoires pour lesquels cet utilisateur en particulier possède les droits d’accès en écriture. Après cela, le programme malveillant sauvegarde le fichier README_FOR_DECRYPT.txt contenant les instructions de déchiffrement et la demande des cybercriminels sur le disque du serveur. Si, par hasard, le Trojan accède à des privilèges plus élevés, son activité malveillante ne sera pas limitée au seul répertoire du serveur web.

screen #drweb

Le Trojan représente toujours une sérieuse menace pour les propriétaires de sites Internet, notamment si de nombreux CMS populaires n’ont pas corrigé la vulnérabilité, et que certains webmasters ne jugent pas opportun de faire des mises à jour ou utilisent des versions périmées de composants ou modules WordPress, Magento etc.

En raison du fait que le code de Linux.Encoder.1 présente des défauts significatifs, les données chiffrées par le Trojan peuvent être décryptées. Pour plus d'infos sur cette menace, ses moyens de propagation et son fonctionnement, vous pouvez lire l'article correspondant ou le rapport détaillé sur ce Trojan.

Statistiques de l'utilitaire de désinfection Dr.Web CureIt!

screen #drweb

Données des serveurs de statistiques de Doctor Web.

screen #drweb

Logiciels malveillants détectés dans le trafic email

screen #drweb

Botnets

Les spécialistes de Doctor Web continuent de surveiller le grand botnet créé à l'aide du virus de fichier Win32.Rmnet.12. Sa moyenne quotidienne de croissance en novembre 2015 est représentée dans les graphiques ci-dessous :

screen #drweb

screen #drweb

Rmnet famille de virus de fichiers distribués sans l'intervention de l'utilisateur, capables d'injecter un code parasite dans les pages web (cela permet de recueillir les données bancaires de la victime), de voler les cookies et les mots de passe pour les clients FTP et d’exécuter des commandes distantes.

Le botnet Win32.Sector est toujours opérationnel. Sa moyenne quotidienne de croissance est représentée dans le graphique ci-dessous :

screen #drweb

Ce logiciel malveillant possède les fonctionnalités suivantes :

Au cours du mois, les spécialistes ont constaté la réduction des attaques effectuées à l'aide du Trojan Linux.BackDoor.Gates.5, qui a commencé en octobre. Au cours du mois écoulé, le nombre de sites attaqués a diminué de 27,9% et représente 3641. La Chine est toujours en première place parmi les cibles et les États-Unis viennent en seconde place.

screen #drweb

Trojans Encoders.

screen #drweb

Les modifications des Trojans encoders les plus répandues au mois de novembre 2015 :

Les requêtes adressées au support technique de Doctor Web pour le décryptage de fichiers ne viennent pas seulement de Russie. Doctor Web fournit un support technique aux utilisateurs des pays européens attaqués par les Trojans Encoders. De plus, les propriétaires de sites infectés par le Trojan Encoder Linux.Encoder.1 ont également contacté le support technique de Doctor Web. Il faut noter que les utilitaires de décryptage de fichiers touchés par Linux.Encoder.1 ne peuvent pas supprimer le script shell, intégré par les malfaiteurs, qui peuvent l'utiliser pour infecter encore une fois le système. C'est pourquoi les spécialistes du support aident les victimes à nettoyer le système contre les objets malveillants et à le sécuriser contre les attaques utilisant ce script à l'avenir.

Dr.Web Security Space 11.0 pour Windows
protège contre les Trojans Encoders

Cette fonctionnalité n’est pas disponible dans Dr.Web Antivirus pour Windows

Prévention de la perte de données
Превентивная защитаЗащита данных от потери

Menaces ciblant Linux

Le Trojan Linux.Encoder.1 n'était pas le seul Encoder à cibler les utilisateurs de Linux. Les chercheurs ont détecté au moins deux représentants de cette famille de malwares, apparus avant Linux.Encoder.1, mais passés presque inaperçus.

Ainsi le Trojan, baptisé Linux.Encoder.2, utilise un autre générateur de chiffres pseudo-aléatoire et la bibliothèque de cryptage OpenSSL (et pas PolarSSL comme Linux.Encoder.1). En outre, le chiffrement est effectué en mode AES-OFB-128 avec réinitialisation du contexte chaque 128 octets c'est-à dire chaque 8 blocs AES. Linux.Encoder.2 comprend beaucoup d'autres différences par rapport à d’autres versions de cet Encoder. Pour plus d'infos sur cette menace, vous pouvez lire l'article correspondant sur le site de Doctor Web.

Les chercheurs ont détecté le Trojan Linux.Sshcrack.1, conçu pour accéder à un appareil en lançant des attaques par dictionnaire.

Autres logiciels malveillants

Au cours du mois, les spécialistes ont détecté le package de malwares baptisé BackDoor.RatPack. Les malfaiteurs l'ont diffusé en tant que document RTF, contenant un fichier crypté malveillant. Il faut noter que ce fichier représente un installateur et possède une signature numérique valide (comme presque tous les fichiers du package BackDoor.RatPack).

screen #drweb

A son lancement, l'installateur recherche la présence de machines virtuelles, de programmes de contrôle et de débogueurs, ainsi que la présence de logiciels de banque en ligne de certaines banques russes. La charge utile de cet installateur porte la modification d’un programme shareware appelé Remote Office Manager — les chercheurs de Doctor Web ont détecté au moins 3 versions différentes de ce programme. En interceptant un certain nombre de fonctions système, le malware est capable de masquer les raccourcis de l’outil dans la zone de notification et dans la barre des tâches Windows, afin que l'utilisateur ne puisse pas détecter ce malware. Les spécialistes supposent que les malfaiteurs utilisent BackDoor.RatPack pour accéder aux données bancaires et à d’autres données confidentielles en contrôlant à distance la machine compromise. Pour en savoir plus sur cette menace, consultez les informations publiées par Doctor Web.

Sites dangereux

En novembre 2015, la base de sites non recommandés par Dr.Web s’est enrichie de 670 545 adresses Internet.

Octobre 2015Novembre 2015Evolution
+ 264,970+ 670,545+ 153 %

Sites non recommandés

Logiciels malveillants et indésirables ciblant Android

Tout au long du mois, les analystes de Doctor Web ont détecté des logiciels malveillants ciblant Android et les ont ajoutés aux bases virales Dr.Web. Ils ont notamment détecté un publiciel qui s'installe dans le système à l'aide d’un Trojan et affiche des publicités. Les chercheurs ont également découvert des Trojans-Extorqueurs, bancaires, Trojans SMS et autres logiciels malveillants. Enfin, les spécialistes ont détecté encore un Trojan ciblant les appareils mobiles sous iOS.

Les événements les plus importants du mois sont :

En savoir plus avec Dr.Web

Statistiques virales Bibliothèque de descriptions virales Tous les rapports viraux Labo Live

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg