Le 29 février 2016
Aperçu des problématiques virales du mois de février 2016. Au début du mois, les analystes de Doctor Web ont détecté un Trojan capable de s'intégrer aux processus système, et dans la seconde moitié de février, plusieurs programmes malveillants ciblant OS Windows ont également été détectés.
Les tendances principales du mois de février
- L'apparition d'un Trojan Android pouvant s'intégrer aux processus système
- La propagation d'un Trojan affectant les clients des banques russes
- L'apparition d'un programme malveillant ciblant Windows et qui " évite " les pays de la CEI
La menace du mois
Parmi les programmes malveillants détectés en février, la nouveauté la plus intéressante du point de vue technique est un ensemble de trois Trojans Android qui fonctionnent en parallèle et qui ont été nommés Android.Loki.1.origin, Android.Loki.2.origin et Android.Loki.3. Ces programmes utilisent la bibliothèque liblokih.so (répertoriée par Dr.Web Antivirus comme Android.Loki.6) — le composant Android.Loki.3 intègre cette bibliothèque dans les processus système, de sorte que le module de base Android.Loki.1.origin peut fonctionner sur la machine contaminée avec les privilèges utilisateur.
Il est à noter qu'auparavant, les Trojans ciblant Android n'étaient pas capable d'effectuer des injections dans les processus des applications système, c'est pourquoi cette découverte des chercheurs de Doctor Web est vraiment intéressante. Android.Loki.1.origin dispose d'une large gamme de fonctionnalités dont les suivantes :
- l'installation et la suppression d’applications ;
- l'activation ou la désactivation d’applications et de leurs composants ;
- l'arrêt des processus ;
- l'affichage de notifications ;
- l'enregistrement d’applications en tant qu’Accessibility Service (un service qui suit les clics sur l'écran de l'appareil) ;
- la mise à jour de ses composants, ainsi que le chargement de plug-ins sur commande depuis le serveur de contrôle.
Le Trojan Android.Loki.2.origin faisant partie de l'ensemble de logiciels malveillants est conçu pour installer différentes applications sur l'ordinateur, sur commande du serveur de contrôle ainsi que pour afficher de la publicité. Cependant, il est doté d'un ensemble très étendu de fonctions d'espionnage qui permettent aux pirates de recueillir un grand volume d'information sur l'ordinateur contaminé. Pour en savoir plus sur ce type de Trojan, consultez l'aperçu.
Statistiques de l'utilitaire de désinfection Dr.Web CureIt!
Trojan.DownLoad3.35967
Un des représentants de la famille des Trojan Downloader conçus pour télécharger du contenu sur Internet et lancer sur le PC infecté d'autres logiciels malveillants.Trojan.Zadved
Plug-in conçu pour remplacer les résultats des moteurs de recherche, ainsi que pour afficher de fausses fenêtres pop-up de réseaux sociaux. De plus, il peut remplacer les messages publicitaires affichés sur différents sites.Trojan.DownLoader
Famille de Trojans conçus pour télécharger sur l'ordinateur infecté d'autres logiciels malveillants.Trojan.Installmonster
Famille de logiciels malveillants développés à l'aide du programme partenaire Installmonster. Ces programmes installent différents logiciels indésirables sur l'ordinateur de la victime.Trojan.Crossrider1.50845
Représentant de la famille de Trojans conçus pour afficher des publicités aux internautes.
Données des serveurs de statistiques de Doctor Web
Trojan.Zadved
Plug-in conçu pour remplacer les résultats des moteurs de recherche, ainsi que pour afficher de fausses fenêtres pop-up de réseaux sociaux. De plus, il peut remplacer les messages publicitaires affichés sur différents sites.Trojan.KillProc.35262
Représentant de la famille de programmes malveillants capables d'arrêter les processus en cours d'autres applications, ainsi que d'effectuer sur l'ordinateur infecté d'autres tâches malveillantes.Trojan.LoadMoney
Famille de logiciels « downloader » générés sur les serveurs du programme partenaire LoadMoney. Ces programmes téléchargent et installent différents logiciels indésirables sur l'ordinateur de la victime.Trojan.DownLoad3.35967
Un des représentants de la famille des Trojan Downloader conçus pour télécharger du contenu sur Internet et lancer sur le PC infecté d'autres logiciels malveillants.Trojan.BPlug
Plug-in conçu pour les navigateurs les plus utilisés et qui affiche des publicités.
Logiciels malveillants détectés dans le trafic email
Trojan.PWS.Stealer
Famille de Trojans conçus pour voler des mots de passe et d'autres données confidentielles.Trojan.Encoder.567
Un des représentants de la famille des Trojans-Extorqueurs qui cryptent les fichiers de l'ordinateur infecté puis extorquent de l'argent pour les décrypter. Ce Trojan peut crypter les types de fichiers suivants : .jpg, .jpeg, .doc, .docx, .xls, xlsx, .dbf, .1cd, .psd, .dwg, .xml, .zip, .rar, .db3, .pdf, .rtf, .7z, .kwm, .arj, .xlsm, .key, .cer, .accdb, .odt, .ppt, .mdb, .dt, .gsf, .ppsx, .pptx.Trojan.Encoder.3714
Un des représentants de la famille des Trojans-Extorqueurs qui cryptent les fichiers de l'ordinateur infecté puis extorquent de l'argent pour les décrypter.
Trojans Encoders
Trojans Encoders les plus répandus au mois de février 2016 :
Il est à noter que la moitié des appels enregistrés au support technique de Doctor Web proviennent d’utilisateurs dont les données ont été cryptées par des Trojans Encoders et que ces appels proviennent d’autres pays que la Russie.
Dr.Web Security Space 11.0 pour Windows
protège contre les Trojans Encoders
Cette fonctionnalité n’est pas disponible dans Dr.Web Antivirus pour Windows
| Prévention de la perte de données | |
|---|---|
 |  |
Autres logiciels malveillants
Les médias ont régulièrement parlé des Trojans bancaires de la famille Trojan.Dyre : ces programmes malveillants affectent les utilisateurs depuis mi-2014. Les diverses modifications du Trojan.Dyre ont été diffusées par les pirates à l'aide de programmes partenaires de type CaaS - crime-as-a-service ( « crime en tant que service "). Les participants au programme recevaient un constructeur spécial leur permettant de générer de nouveaux échantillons du Trojan. Les malfaiteurs ont également fourni à leurs partenaires un panneau d'administration spécifique permettant de contrôler les bots. Pour en savoir plus sur les méthodes utilisées par les spécialistes de Doctor Web contre les auteurs et distributeurs de Trojan.Dyre, consultez l'article publié sur le site de la société.
À la mi-février, le Trojan.Proxy2.102 menaçait les clients de plusieurs banques russes importantes - ce Trojan permet aux pirates de voler l'argent des comptes bancaires. Pour cela, le Trojan installe dans le système un certificat racine et modifie les paramètres de la connexion Internet, où il inscrit l'adresse du serveur proxy des pirates.
C'est par l'intermédiaire de ce serveur proxy que, lors de l'ouverture des pages dédiées au système banque-client sur un ordinateur contaminé, un contenu malveillant s'intègre à la page et permet aux malfaiteurs de voler de l'argent depuis les comptes de leur victime. Pour plus d'infos sur le Trojan.Proxy2.102 veuillez lire l'article correspondant sur le site de Doctor Web.
À la fin du mois, Doctor Web a signalé l'apparition d'un Trojan Downloader BackDoor.Andromeda.1407, dont une des caractéristiques est qu'il ne fonctionne pas sur les ordinateurs ayant une configuration clavier russe, ukrainienne, biélorusse ou kazakhe. Actuellement, il apparaît que ce backdoor diffuse plusieurs applications malveillantes.
Sites dangereux
Durant le mois de févier 2016, la base de sites non recommandés par Dr.Web s’est enrichie de 453 623 adresses Internet.
| Janvier 2016 | Février 2016 | Evolution |
|---|---|---|
| + 625 588 | + 453 623 | - 27.5% |
Logiciels malveillants et indésirables ciblant les appareils mobiles
Février a été marqué par plusieurs incidents avec des Trojans Android. Ainsi, au début du mois, les analystes de Doctor Web ont examiné tout un groupe d'applications multifonctionnelles de la famille Android.Loki conçues notamment pour télécharger et installer des logiciels, afficher des publicités et recueillir des informations confidentielles. En outre, en février, les pirates ont de nouveau diffusé des Trojans bancaires ciblant les Smartphones et les tablettes sous Android.
Les événements les plus importants du mois de février relatifs à la sécurité des mobiles sont les suivants :
- l'apparition de Trojans multifonctionnels capables de s'intégrer aux processus système et possédant des fonctionnalités étendues ;
- Des incidents liés à la propagation de Trojans bancaires.
En savoir plus avec Dr.Web
Statistiques virales Bibliothèque de descriptions virales Tous les rapports viraux
