Les événements viraux de décembre 2011

Plus de 40 programmes malveillants sur l’Android Market
Début décembre, les spécialistes de Doctor Web ont détecté 33 applications puis 12 par la suite. La majorité des programmes détectés sont de la famille des Android.SmsSend, dont le but est d’envoyer des SMS payants à l’insu d’utilisateur.

Doctor Web a informé Google qui a supprimé les applications malveillantes de l’Android Market et les signatures ont été ajoutées aux bases virales Dr.Web.
Spam politique touchant Android

La fin du mois a vu apparaitre une application pour Android envoyant du spam politique et orienté surtout sur le Proche-Orient.

Android.Arspam.1 est intégré dans une application légitime AlSalah, qui représente une boussole et permet, via GPS, de dire où se trouve la Mecque et à quelle distance, ainsi que la date selon le calendrier musulman et l’heure des 5 prières. Il est à noter que cette application sur Android Market n’est pas contaminée, tandis que la même application sur les forums arabes contient dans la plupart des cas le trojan. Autrement dit, les malfaiteurs utilisent l’application AlSalah en y ajoutant un contenu nocif.

Les sites piratés menacent les utilisateurs des mobiles

Doctor Web signale que les sites piratés qui redirigent les utilisateurs des mobiles vers des pages propageant des programmes malveillants se sont multipliés. En décembre, Doctor Web a détécté environ 100 sites piratés fonctionnant sur l’Internet russe (Runet), et même si certains d’entre eux sont désinfectés, de nouveaux continuent à être piratés régulièrement.
Les utilisateurs de smartphones, de tablettes sous Android et d’autres plateformes compatibles avec Java (par exemple, Symbian) ont été récemment ciblés et redirigés vers un site imitant le site officiel d’Opera Mini proposant de mettre à jour le navigateur. Sous la soi-disant mise à jour, se cache le trojan Android.SmsSend (.jar ou .apk en fonction de l’OS).

Nouveau backdoor pour Windows…

Durant la première quinzaine de décembre, un nouveau programme a été ajouté aux bases virales, le BackDoor.Pads, écrit en langage Assembler et qui représente un module avec plusieurs composants.
Les fonctions du BackDoor.Pads sont standards pour ce type de backdoor : il collecte des informations sur les PC infectés, y compris la version de l’OS, le nom du PC, l’adresse IP. Ensuite, il cherche à trouver le serveur-proxy en analysant les configurations d’Internet Explorer. De plus, le BackDoor.Pads cherche les processus lancés d’Internet Explorer, Firefox, Opera, Chrome, et autres clients de messagerie, et, lorsqu’il les a trouvés, lance un code indépendant. Si le trojan arrive à obtenir un token explorer.exe (le droit d’accès), il lance un keylogger dans le système. Ce module est ajouté dans les bases virales Dr.Web sous le nom de Trojan.PWS.Pads.

…et un nouveau trojan pour Mac OS X

En décembre, Doctor Web a détecté de nouvelles archives infectées par le Trojan.Merin.3 sur thepiratebay.org. Ce malware se propage sous forme d’applications WritersCafe, Twitterrific et EvoCam. WritersCafe, Twitterrific et EvoCam.

A la fin du téléchargement d’une de ces applications infectées et suite à son exécution sur la machine, le Trojan.Merin.3 lance un script spécialisé activant l’installateur du trojan. Cet installateur est enregistré dans l’un des sous-dossiers du répertoire Library (home\library\) sous le nom eCamd ou twitted puis télécharge l’archive bin.bop depuis un serveur ftp pirate.
L’archive contient le module DiabloMiner pour Bitcoin compatible avec Mac OS X et le trojan. Le nouveau trojan utilise les nouveaux types d’adresses-bitcoin à la différence des anciennes versions du Trojan.Merin. Le module principal du Trojan.Merin.3 est capable de voler sur l’ordinateur infecté les mots de passe de l’utilisateur, les données des systèmes de paiement en ligne, des logs de bash (.bash_history), et d’envoyer ces données sur le serveur des malfaiteurs.

Cybercriminalité dans le monde : aperçu viral de l’année 2011.
Parmi les tendances importantes de l’année 2011, il faut nommer l’augmentation des menaces pour Android : les SMS payants à l’insu de l’utilisateur continuent à attirer les malfaiteurs ; les schémas d’escroquerie dans les réseaux sociaux se sont développés et cette tendance devrait perdurer en 2012 ; les modifications des Trojan.Winlock, MBRlock et les trojans crypteurs se sont multipliées ; et on a constaté une augmentation des virus dans le secteur du e-banking.

20 fois plus de menaces pour Android en 2011

En 2011, le nombre de menaces pour Android a été multiplié par 20, la majorité d’entre elles étant issue de la famille Android.SmsSend. La menace est dissimulée sous le nom d’un fichier d’installation d’un programme connu et demande d’envoyer un SMS payant pour l’installer : le schéma est simple. Dans la réalité, le programme est disponible gratuitement sur le site de l’éditeur.

Au début de l’année 2011, les bases virales Dr.Web ne comptaient que six signatures de trojans Android.SmsSend, au mois de décembre leur nombre était 45 fois plus important.
Rootkit

Les rootkits, les programmes malveillants capables de cacher leur présence dans l’OS, ne se sont pas montrés plus actifs que l’année passée, mais vu la popularité des systèmes 64 bits, les pirates ont du modifier leurs virus pour les adapter au nouveau système. Les plus répandus de la famille sont les BackDoor.Tdss et BackDoor.Maxplus.

En 2011, les spécialistes de Doctor Web ont détecté un rootkit unique : le Trojan.Bioskit.1, pouvant infecter le BIOS des PC uniquement si le BIOS provient de l’entreprise Award Software. Une nouvelle modification de ce trojan a été détectée mais elle ne représentait pas une menace sérieuse pour les utilisateurs à cause d’une erreur dans le code.

Virus de fichiers

En ce qui concerne les virus de fichiers, les programmes malveillants capables d’infecter les fichiers d’installation et de se multiplier à l’insu de l’utilisateur, ici le leader est le Win32.Rmnet.12 qui a été détecté sur les PC 165 286 935 fois, ce qui représente 11,22% de toutes les infections détectées par Doctor Web en 2011. Le numéro deux est Win32.HLLP.Neshta, détecté 94 777 924 fois (6,44% des infections), et le dernier est Win32.HLLP.Whboy.45 (52 610 974 fois ou 3,57% des infections).
La famille des virus de fichiers s’est agrandie en 2011, avec la propagation de Win32.Rmnet.12, Win32.HLLP.Novosel, Win32.Sector.22, et d’autres encore.

Winlock

2011 marque l’apparition des winlocks, ransomware bloquant le lancement de la session Windows. Par exemple, le Trojan.Winlock.3260, détecté en septembre, contient un texte en plusieurs langues et se fait passer pour la police : en Allemagne c’est Bundespolizei, en Grand Bretagne, The Metropolitan Police, en Espagne, La Policìa Española ; l’utilisateur est accusé d’avoir consulté des sites pornographiques et il lui est demandé de payer une somme pour débloquer son PC, via un système de paiement en ligne. En décembre 2011, une des modifications du trojan winlock se faisait passer pour la gendarmerie française et demandait une

MBRlock

Le nombre de programmes infectant le Master Boot Record, MBR, a augmenté considérablement. Les premiers malwares sont apparus en novembre 2010, aujourd’hui ils sont plus de 300. Le Trojan.MBRlock.17 qui est apparu en novembre 2011, est différent de ces prédécesseurs parce qu’il enregistre ses composants dans les secteurs du disque dur et que la clé de déblocage est générée selon toute une série de paramètres. A ce jour, c’est l’une des modifications les plus dangereuses de la famille des MBRlock.

Encoders

Les encoders sont des programmes « crypteurs » qui chiffrent les données des disques durs et enjoignent l’utilisateur de payer pour retrouver l’accès à ses informations. En septembre 2011, une véritable épidémie de Trojan.Encoder et Trojan.FolderLock a eu lieu. Les versions existantes sont de plus en plus nombreuses : depuis le début de 2011, le nombre de signatures dans les bases virales a augmenté de 60%.

Escroquerie en ligne

Les schémas d’escroquerie entraînant les utilisateurs à envoyer des SMS payants ou les abonnant à leur insu à des services payants n’ont pas cessé de se multiplier. Ici, nous trouvons de tout : des faux concours, des faux sites d’échange de fichiers, des bases de numéros de téléphones, des sites de généalogie, des recherches de parents et de sosies, des sites de prédiction de l’avenir par les cartes ou par les lignes de la main, des sites de création d’horoscopes et de régimes personnalisés…

Trojans de e-banking

Le nombre de trojans volant les informations d’accès aux systèmes de e-banking découvert par Doctor Web a été important en 2011.
Les plus intéressants sont les Trojan.Winspy, dont de nouvelles modifications sont apparues en 2011. Un autre trojan du même type ajouté dans les bases virales est le Trojan.Carberp.1, qui possède un système de protection contre l’analyse. Il peut chercher et transmettre des données aux malfaiteurs, il est capable de faire des captures d’écran, il possède un module lui permettant d’exécuter des commandes envoyées par un serveur distant ; enfin, les malfaiteurs peuvent également utiliser le PC infecté comme un serveur proxy pour télécharger et lancer des fichiers et même détruire l’OS.

Menaces les plus intéressantes de 2011

Durant l’année 2011, un certain nombre de programmes malveillants particulièrement nocifs touchant Android sont apparus : parmi eux Android.Gone.1, qui vole toutes les données du mobile, y compris les contacts, les messages, les derniers appels, l’historique du navigateur etc…ceci en l’espace de 60 secondes. Ces données sont enregistrées sur un site pirate sur lequel l’utilisateur peut les récupérer en payant 5 dollars.
Android.DreamExploid, lui, est capable de modifier les droits du PC et de donner les droits administrateur à certains programmes, ainsi que de télécharger des applications et de collecter les informations sur le mobile infecté.

Les tendances pour 2012

En 2012, il faut s’attendre à une augmentation continue des menaces pour Android, ainsi qu’à l’apparition de locker pour cet OS, car un téléphone portable représente un accès facile au portefeuille de l’utilisateur via l’envoi de SMS, l’abonnement à des services etc. Les fonctionnalités considérables des mobiles actuels offrent de larges opportunités aux pirates.
Les menaces contre les systèmes de e-banking vont continuer à se développer ainsi que les attaques contre les banques et les institutions financières publiques. Les attaques contre les utilisateurs des réseaux sociaux vont se multiplier, les pirates réagissant rapidement à tout changement de fonctionnalités dans les réseaux sociaux. Ainsi, en 2011, les pirates ont profité de nouveaux systèmes de votes, d’échange de fichiers et de vidéos. Nous pensons que les pirates vont continuer à multiplier les moyens de gagner de l’argent de façon illégale.

Les analystes de Doctor Web étudient également l’apparition de menaces s’attaquant à des systèmes de gestion industriels dans les entreprises (notamment les systèmes SCADA). Doctor Web pense que les programmes malveillants profitant des vulnérabilités de ces systèmes représentent un grand danger car ils peuvent menacer des pans importants de l’économie, comme la production de l’énergie, le transport, l’extraction des minéraux, du gaz et du pétrole.