Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Doctor Web Ltd : Aperçu de l’activité virale du mois de février 2009

mars 2009 par DrWeb

Doctor Web présente son aperçu de l’activité virale du mois de février 2009. Dès le début du mois, les cybercriminels se sont remis à l’œuvre. Le nombre de logiciels utilisés pour convertir les ordinateurs en machines zombies a augmenté. Les malfaiteurs utilisent de plus en plus, sur Internet, des schémas de fraude s’apparentant aux systèmes de pyramides financières.

Botnets

Jusqu’à présent, un grand nombre de logiciels malicieux est diffusé dans le but d’augmenter le nombre de machines zombies dans les botnets. On peut citer à titre d’exemple les botnets Tdss et Virut qui se répandent actuellement.

Examinons en détail une des méthodes d’infection utilisées par les développeurs du botnet Tdss. Un faux fichier malicieux est lancé sous forme de faux code destiné à la reproduction des fichiers vidéo sur la machine. Celui-ci est détecté par Dr.Web comme
Win32.HLLW.Autoruner.4612. Au démarrage, le virus infecte tous les disques durs et amovibles et crée ensuite son deuxième composant, également détecté par Dr.Web comme Win32.HLLW.Autoruner.4612.
Pour démarrer le deuxième composant malicieux, le virus crée une copie modifiée de la bibliothèque système, qui est détectée par Dr.Web comme Trojan.Starter.896. L’un des services systèmes est redémarré de façon à ce que le système utilise la bibliothèque modifiée.
Win32.HLLW.Autoruner.4612 est une backdoor, c’est-à-dire, un logiciel installé à distance dans le système, sans l’autorisation de l’utilisateur, et contrôlé par le cybercriminel. Par chance, les actions de cette backdoor se limitent au téléchargement de fichiers exécutables depuis un serveur. Win32.HLLW.Autoruner.4612 initie la transmission des fichiers et reçoit les fichiers chiffrés et les instructions nécessaires à l’installation et au démarrage d’autres logiciels malicieux.

Le cheval de Troie Trojan.DnsChange.1008 est l’un des logiciels chargés par Win32.HLLW.Autoruner.4612 depuis le serveur de botnet Tdss. Ce programme malicieux change les serveurs DNS sur l’ordinateur de l’utilisateur afin de permettre au développeur du virus d’intercepter le trafic Internet de l’utilisateur, voir de totalement bloquer son accès à Internet.

Virut et ses variantes (Win32.Virut) utilisent des technologies de polymorphie pour infecter les fichiers exécutables de Windows et ajouter une balise spéciale à la fin des documents HTML. L’ouverture de ce type de document initie le téléchargement de programmes malicieux depuis des serveurs de botnet. C’est pour cette raison que le virus est souvent détecté dans le trafic des messageries, les utilisateurs intégrant souvent à leurs emails des pièces jointes HTML, dont le corps HTML a été modifié par le virus. Ce virus se situe donc en tête de liste des rapports statistiques sur les malwares contenus dans le trafic email, et cela, bien qu’il n’y ait pas d’expéditions massives de messages répandant un code malveillant.

La variante Win32.Virut.56 utilise plusieurs techniques d’infection des fichiers, selon la structure du fichier qu’elle infecte. Le code chiffré du corps du virus est toujours écrit en fin de fichier. Le code de déchiffrement est, pour sa part, inclus dans les segments inutilisés du fichier infecté. Ce code est polymorphe, c’est-à-dire qu’il change de fichier en fichier. De plus, le code polymorphe peut inclure le code d’un fichier infecté si ce dernier est nécessaire à l’infection.
Win32.Virut.56 dispose également de son propre client IRC, utilisé pour recevoir les ordres de téléchargement et de démarrage d’autres programmes malicieux sur la machine infectée.

« En France, Virut a sévit de façon significative. De par son mode de fonctionnement, ce n’est qu’à partir de la deuxième heure d’infection qu’il commence une activité de communication vers l’extérieur via un canal irc par lequel les attaquants et machines zombies lui dictent les missions à effectuer. Virut s’est propagé très rapidement, par le biais du mail, des unités réseaux, des unités USB, mais également du P2P. Le seul moyen d’assurer une protection maximale contre ce code, catégorisé comme hautement émergent et qui continue à se répandre de façon significative, est de disposer d’une double protection : aux niveaux des protocoles (http, smtp) et en temps réel, ce que propose Dr.Web avec ses modules SpIDerGate, SpIDerMail et SpIDerGuard » précise Marc Blanchard, directeur technique de Doctor Web France.
Logiciels malicieux

Au cours de la première quinzaine du mois de février, de nombreux utilisateurs ont reçu des messages contenant des liens dirigeant vers des sites frauduleux supposés offrir des vœux de St.Valentin. Au lieu d’une carte de vœux, l’utilisateur ayant cliqué sur le lien téléchargeait une des variantes de Trojan.Spambot. un programme malicieux utilisant la machine infecté pour envoyer du Spam.

Dans leur recherche de gains rapides, les développeurs de logiciels malicieux ne testent pas toujours bien leurs produits et perdent leurs bénéfices potentiels alors même que les données de l’utilisateur, elles, sont pourtant perdues. Trojan.Encoder.36 enregistre son code dans les documents de l’utilisateur, sur le disque. A l’issue, l’utilisateur ne peut plus ouvrir le fichier. Cependant, le Trojan n’affiche pas les informations lui permettant de payer pour obtenir le déchiffrement de ses données. Pour rétablir les fichiers détériorés par Trojan.Encoder.36 l’utilisateur peut scanner sa machine avec Dr.Web Antivirus.

Bien que le nombre de spams contenant des pièces jointes malveillantes ait été réduit, il reste malgré tout possible de recevoir de tels messages. A la fin février, certains utilisateurs ont reçu des messages les informant qu’une photo les représentant avait été placée sur Internet. La supposée photo était jointe au message au format d’archivage .zip. L’archive contenait un fichier appelé Foto_Jenna.Jpg[série d’underscores].exe, détecté par Dr.Web Antivirus comme Trojan.DownLoad.9125.

Spam

Il semble que la crise financière ait inspiré l’industrie des spammeurs. Beaucoup de sociétés ont reçu des offres leur proposant d’assurer la promotion de leurs produits et de leurs services via Internet. En fait, ces offres se limitaient à l’envoi de messages spam contenant des informations de leur entreprise. Au cours des deux dernières semaines de Février, les messages de ce type ont augmenté le volume du trafic spam à tel point que si leur croissance continue dans les prochains mois, leur volume excèdera la quantité de trafic spam enregistré au début du mois de décembre 2008, avant la fermeture de quelques grandes sociétés d’hébergement.

Le nombre d’attaque de type phishing et autres scams en anglais a été réduit tandis que le nombre de messages en langue maternelle des destinataires a augmenté. En février, de nombreuses attaques phishing, contenant des messages dans la langue maternelle des destinataires, ont été reçues par les clients de la Banque Praveks (Ukraine) et par les clients de la Banque Raiffeisen en Roumanie.


Voir les articles précédents

    

Voir les articles suivants