Mise à jour critique de Windows

Le mois d’octobre a été marqué par la sortie d’une mise à jour critique éditée par Microsoft. Destinée à remédier à la vulnérabilité dans les systèmes d’exploitation Windows 2000, Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008, l’importance et l’urgence de cette mise à jour ont été soulignées dans les messages envoyés par Microsoft à ces utilisateurs. Malgré tout, et cela est surprenant, même le système Microsoft ?? Windows 7, qui vient d’être présenté et reste encore en version pré-bêta, souffre de cette vulnérabilité. La description explique que le problème concerne le système de sécurité Windows. En fait, la vulnérabilité permet au malfaiteur qui a obtenu l’autorisation adéquate, à forcer la protection de Microsoft Windows et à prendre la main sur la machine. L’urgence s’explique également par l’apparition d’un exploit (un programme malicieux profitant d’une vulnérabilité) qui s’est avéré assez actif. Cet exploit est rajouté dans la base de Dr.Web sous le nom Win32.HLLW.Jimmy. Cet événement nous a rappelé que l’absence de mises à jour critiques dans le système a un impact important sur le niveau de sécurité.

Virus de fichiers

Un nombre important de requêtes postées au support portait sur l’apparition d’une nouvelle modification du virus de fichier appartenant à la famille Win32.Sector – Win32.Sector.12. Les utilisateurs de l’antivirus Dr.Web ayant la base mise à jour sont bien protégés contre l’intrusion de ce virus dans le système. Cependant, si la machine est déjà infectée par ce virus, l’utilisateur se trouve face à des problèmes de nettoyage puisque Win32.Sector.12 utilise des méthodes telles que l’intrusion dans la mémoire de processus système et de technologies rootkit pouvant empêcher les produits antivirus d’être efficaces en détection. Les virus de la famille Win32.Sector sont capables de télécharger depuis des ressources web et d’installer sur le système des programmes malicieux pouvant se mettre à jour depuis certains sites web. En cas de problèmes de nettoyage de tels virus, les utilisateurs de Dr.Web peuvent compter sur les professionnels du service support Doctor Web.

Envois email

Le mois dernier a été riche en envois des messages contenants des modifications différentes de Trojan.DownLoad.4419. Ce trojan est l’objet de notre aperçu de mois de septembre. Ces messages sont plutôt courts et contiennent un lien vers une soi-disant vidéo pornographique. Si auparavant de tels messages redirigeaient vers des pages imitant le service internet YouTube, certains d’eux, durant le mois d’octobre, contenaient des liens vers d’autres interfaces dont la capture d’écran apparait ci-dessous. Une fois la page ouverte, le téléchargement de l’exécutable malicieux se produit. Un grand nombre et la similitude des modifications de Trojan.DownLoad.4419 ont permis aux analystes de Doctor Web de créer des définitions dont chacune peut identifier un grand nombre d’exemplaires de cette famille. Au mois d’octobre, entre autre, la base virale Dr.Web a été complétée par les entrées Trojan.Packed.1207, Trojan.Packed.1219.

Les auteurs des virus nous ont rappelé au mois d’octobre que des programmes malicieux peuvent être diffusés sous forme d’archives protégées par un mot de passe. Dans la plupart des cas, le mot de passe se trouve dans le corps du message. L’envoi dont le contenu est décrit ci-dessous contient ce type d’archive avec un exécutable classé par Dr.Web comme Trojan.PWS.GoldSpy.2268.

Les éditeurs antivirus rappellent aux utilisateurs d’être vigilants et de vérifier les adresses affichées dans la boîte d’adresse lors de l’ouverture des pages web après avoir cliqué sur des liens contenus dans les messages mails. Les malfaiteurs utilisent souvent des méthodes permettant de remplacer l’adresse de page. Le Trojan.Click.21207 a montré que le virus peut pénétrer sur la machine sans remplacer des pages et cela à l’aide d’un lien qui a l’air d’être normal. Dans ce cas, le lien redirige vers le fichier JPG (sous prétexte de télécharger d’une image « intéressante »), tandis qu’en réalité c’est un script malicieux écrit en JavaScript qui se déroule.

En outre, les envois du mois d’octobre ont été marqués par la présence de Trojan.Packed.1198 attirant les utilisateurs par le nom d’Angelina Jolie inséré dans l’en-tête du message. Il s’agissait en fait d’un envoi massif de spam avec des textes en allemand incitant de prendre connaissance de documentations financières importantes qui se sont avérées des programmes malicieux Trojan.DownLoad.3735 ou Trojan.DownLoad.8932 a été également constaté.

Attention aux messages scam

Le mois d’octobre nous a montré un nombre accru d’envois des messages frauduleux qui ne contiennent aucun programme malicieux mais incitent à envoyer un SMS payants. Ceci sous prétexte de bénéficier d’une offre spéciale proposée par un opérateur mobile. En réalité aucune offre n’a été annoncée. Ce type de fraude devient assez répandu compte tenu du nombre d’appareils mobiles et de la facilité d’avoir un numéro pour réceptionner des sms payants.

ICQ en tant que transport des messages malveillants

Ces derniers temps, le taux de spam envoyé via ICQ est en hausse. Tout comme les spam envoyés par email, les spams diffusés via ICQ contiennent des liens vers les objets malicieux. Il s’agit notamment du programme publicitaire Adware.FieryAds.4. ICQ sert également de média de transport pour les messages proposant d’envoyer des sms payants. Il est à noter un nombre accru des envois spam via ICQ par des programmes malicieux depuis les PC contaminés. L’utilisateur d’un tel PC n’a aucun signe d’infection sur sa machine à moins d’être alerté par son contact que ce dernier a reçu de tels messages spam.

En général, le mois d’octobre montre une activité accrue et des méthodes assez variées utilisées dans le but de propager des programmes malicieux. Malheureusement, les utilisateurs ne sont pas assez vigilants. Ils cèdent souvent aux techniques de l’ingénierie sociale et lancent des programmes malveillants sur leurs machines. C’est pourquoi Doctor Web tient ses utilisateurs informés sur l’activité virale et spam.

Tableaux 1. Top 20 les plus fréquemment détectés sur les serveurs de messagerie au mois d’octobre 2008

01.10.2008 00:00 - 01.11.2008 00:00
1 Trojan.Click.19754
29330 (15.85%)
2 Trojan.PWS.GoldSpy.2268
15475 (8.36%)
3 Win32.HLLM.MyDoom.based
14635 (7.91%)
4 Win32.Virut
13743 (7.43%)
5 Trojan.DownLoad.3735
11076 (5.99%)
6 Trojan.PWS.GoldSpy.2277
10715 (5.79%)
7 Trojan.Inject.3742
10262 (5.55%)
8 Trojan.MulDrop.17829
7002 (3.78%)
9 Win32.HLLM.Netsky.35328
6208 (3.35%)
10 Win32.HLLW.Autoruner.2640
5096 (2.75%)
11 Trojan.MulDrop.13408
4090 (2.21%)
12 Trojan.MulDrop.16727
3950 (2.13%)
13 Trojan.Copyself
3484 (1.88%)
14 Win32.HLLW.Autoruner.1252
3376 (1.82%)
15 Win32.HLLM.Alaxala
3321 (1.79%)
16 Trojan.PWS.Panda.31
3299 (1.78%)
17 Win32.HLLM.Beagle
2646 (1.43%)
18 Trojan.MulDrop.18280
2622 (1.42%)
19 BackDoor.Bulknet.237
1985 (1.07%)
20 Trojan.PWS.GoldSpy.2278
1977 (1.07%)

Top 20 les plus fréquemment détectés sur les PC au mois d’octobre 2008

01.10.2008 00:00 - 01.11.2008 00:00
1 Win32.HLLW.Gavir.ini
1336089 (17.58%)
2 DDoS.Kardraw
402787 (5.30%)
3 Win32.Alman
322084 (4.24%)
4 Trojan.MulDrop.18538
277195 (3.65%)
5 Win32.HLLP.Whboy
239879 (3.16%)
6 VBS.Autoruner.10
224391 (2.95%)
7 Win32.HLLM.Lovgate.2
218691 (2.88%)
8 Win32.HLLM.Generic.440
190744 (2.51%)
9 JS.Click.22
172206 (2.27%)
10 Win32.HLLW.Autoruner.2255
152617 (2.01%)
11 VBS.Generic.548
144545 (1.90%)
12 Trojan.DownLoader.22881
110771 (1.46%)
13 VBS.PackFor
106047 (1.40%)
14 Win32.HLLP.Jeefo.36352
104866 (1.38%)
15 Win32.HLLW.Autoruner.2339
81624 (1.07%)
16 Win32.HLLO.Black.2
77968 (1.03%)
17 Trojan.MulDrop.9985
77118 (1.01%)
18 Win32.HLLW.Autoruner.1020
70904 (0.93%)
19 Win32.Sector.20480
70541 (0.93%)
_20 Win32.Sector.5
69635 (0.92%)