Au mois de septembre, les medias ont beaucoup relayé d’informations sur le Trojan.Stuxnet, logiciel malveillant qui s’est répandu très rapidement, ainsi que des hypothèses sur les buts de création de ce trojan. Parallèlement, tandis que les pirates testaient de nouveaux procédés destinés à extorquer de l’argent aux internautes, les propriétaires de réseaux botnet continuaient à berner les administrateurs réseau. Les développeurs de logiciels malveillants pour Android, quant à eux, ont frappé fort.

Le Trojan.Stuxnet et la politique

Au mois de septembre, les news sur le Trojan.Stuxnet ont occupé les premières pages des journaux. Ce qui attirait l’attention était la géographie de sa diffusion, c’est pourquoi les publications ont parfois pris un caractère politique: la diffusion du Trojan.Stuxnet semblait être liée au le sabotage du lancement de la centrale nucléaire en Iran, mais en même temps, personne ne s’intéressait aux nouveautés techniques utilisées par les créateurs du virus lors de son développement. Fin septembre, nous avons entendu que ce trojan était diffusé largement en Chine et qu’il était orienté contre les entreprises chinoises. Certains experts tâchaient de démasquer les développeurs de ce logiciel à l’aide de l’analyse linguistique des signatures, révélées dans le code du trojan.

Le Trojan.Stuxnet est en fait un logiciel malveillant moderne et vraiment très technique. Pour assurer sa large diffusion, ses développeurs se sont servis de quelques vulnérabilités de Windows, inconnues auparavant. Mais les spécialistes de Doctor Web ne font pas attention aux bruits sur son caractère politique, pour eux ce n’est qu’un logiciel pirate de plus et leur but est de protéger les utilisateurs de l’antivirus Dr.Web contre lui. A l’heure actuelle, nous constatons aussi la diffusion d’autres virus non moins techniques comme, par exemple, la modification du rootkit Trojan.Tdss (TDL) qui touche désormais les systèmes 64-bits, qui est difficile à désinfecter.

Fraude sur Internet

Au mois de septembre, nous avons vu croître le nombre d’appels au support technique de Doctor Web concernant le déblocage de l’ordinateur et de l’accès aux sites et aux logiciels populaires. Si au mois d’août il n’y avait que 107 requêtes par jour, au mois de septembre leur nombre a atteint 124.

Dans le même temps, les bloqueurs de Windows cèdent leur place à d’autres logiciels malveillants. Par exemple, au mois de septembre quelques trojans utilisant de toute nouvelles méthodes de redirection des pages dans les navigateurs sont apparus. Les spécialistes ont dépisté aussi des trojans bloquant toute possibilité de travail avec la messagerie instantanée.

En ce qui concerne l’extorsion d’argent, la première place revient aux virements sur des comptes de portables appartenant aux pirates (25%) et à l’envoi de SMS payants (70%). Il est à noter qu’en Russie, dans 80% des cas, les pirates indiquent le numéro 6681.

Doctor Web propose toujours son soutien gratuit aux internautes victimes de fraude.

Redirection des pages

Le mois dernier, les pirates ont appliqué deux nouvelles méthodes permettant de modifier les pages des navigateurs. Comme toujours dans ces cas-là, ils ont introduit de nouvelles inscriptions dans le fichier système hosts, mais en utilisant de nouvelles technologies.

Le Trojan.Hosts.1581 substitue les pages web de plusieurs banques russes par d’autres pages afin de récupérer les codes d’accès aux comptes bancaires des utilisateurs trompés. Nous avons découvert que cette modification du Trojan.Hosts possède un composant rootkit, permettant au trojan de filtrer les opérations avec les fichiers et avec le registre système.

Les trojans de la famille Trojan.HttpBlock ont leur technique à part. Ce logiciel installe son propre serveur web sur l’ordinateur contaminé, et y redirige les sites les plus utilisés comme les sites de recherche. Le but des pirates est d’extorquer de l’argent contre le déblocage de l’accès à ces sites.

Bloqueurs de la messagerie instantanée

Au mois de septembre, le Trojan.IMLock s’est activement diffusé en Russie. Il bloque le lancement des messageries instantanées les plus populaires comme ICQ, QIP et Skype. Il affiche une notification signalant le blocage et annonçant à l’utilisateur que pour avoir de nouveau accès à son compte, il doit envoyer un SMS payant au numéro 6681. Pour effectuer la désinfection, il suffit d’analyser le système avec le scanner Dr.Web.

Un site malicieux destiné seulement à Android

Le mois de septembre a également été marqué par l’apparition d’un logiciel malveillant spécialement conçu pour nuire à Android, Android.SmsSend.2, qui, d’après ses fonctionnalités diffère peu des précédents : il envoie des SMS payants depuis les appareils portables infectés. Mais sa particularité réside dans le fait que le virus s’active uniquement lorsque l’utilisateur est connecté à un site Internet depuis un téléphone tournant sous Android ; à cause de cette particularité, il est difficile de le repérer.

Nouvelles tendances dans les réseaux boot

Vers la fin du mois de septembre, les spécialistes de la société Doctor Web ont découvert un réseau boot composé d’ordinateurs sur lesquels était installée la partie serveur de Radmin. Ce logiciel est largement utilisé pour effectuer une gestion à distance des ordinateurs. Il infecte les PC et les connecte au réseau boot. Selon la classification de Dr.Web, il porte le nom de Win32.HLLW.RAhack.

La contamination ne s’effectuait que sur les ordinateurs dont le mot de passe pour Radmin figurait dans la liste des mots de passe connus du ver. Et il s’est avéré que plusieurs administrateurs utilisent des mots de passe trop simples.

Tendances pour le mois d’octobre

Les tendances du mois d’octobre 2010 pourraient nous offrir des « cadeaux » sous forme de nouveaux types de logiciels malveillants qui substituent les pages web lors de la consultation de certains types de sites et permettent de mettre en œuvre de nouveaux schémas de fraude. C’est un des moyens les plus lucratifs pour les cybercriminels. Les propriétaires de réseaux boot qui servent à diffuser des logiciels malveillants continueront à développer des malwares permettant de dissimuler la contamination et de la rendre invisible pour les utilisateurs.

Fichiers malicieux détectés au mois de septembre dans le trafic du courrier électronique

Fichiers malveillants détectés au mois de septembre sur les ordinateurs des utilisateurs