Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Doctor Web présente un aperçu de l’activité virale et spam du mois de décembre 2007

janvier 2008 par Emmanuelle Lamandé

Le service de veille antivirale de Doctor Web présente l’analyse de l’activité virale et spam du mois de décembre 2007.

En ce qui concerne le spam, la situation a été plutôt calme durant tout le mois de décembre. Seule la fin de l’année a connu une vague de spam traditionnelle, liée aux fêtes de Noël et du Nouvel an. La technique des spammeurs n’était pas neuve : des messages proposant des commandes de cartes de vœux et des cadeaux de Noël. Les envois tels que la publicité pour les produits de type viagra et les bases de données ne se sont pas trop manifestés.

Une attaque de type phishing s’est fait remarquer le 22 décembre. Cette fois, la campagne de phishing visait les utilisateurs du système « Yandex-Money ». L’attaque n’a pas duré longtemps mais cependant elle a été assez dangereuse puisque l’adresse de l’expéditeur (qkd@boetticher.com) n’avait rien à voir avec le portail Yandex. On a déjà constaté une attaque semblable au mois d’octobre où les messages spam contenaient un lien vers le domaine YANCLEX.RU, tandis qu’au mois de décembre le lien implanté effectuait la redirection vers YANREX.COM. Voici les données du domaine :

Domain Name : YANREX.COM

Registrant :
N/A
Steven Lucas (steven_lucas_2000@yahoo.com)
5215/2 SW 152 Court, P.O. Box 1547
Beaverton
Oregon,97011
US
Tel. +9.9239278345

Creation Date : 11-Dec-2007
Expiration Date : 11-Dec-2008

Domain servers in listed order :
ns2.security4u.cn
ns1.security4u.cn

Les règles nécessaires pour détecter cet envoi spam ont été ajoutées au module antispam des produits Dr.Web.

Il est à noter aussi la propagation d’une nouvelle version du botnet « Storm Worm », qui se cachait derrière le masque « Santa secret ». Les deux formes de ce spam ont été détectées, les messages avaient des en-têtes « Your Secret Santa » et « Merry Christmas From your Secret Santa ». Dans tous les cas, les malfaiteurs proposaient aux utilisateurs de cliquer sur un lien qui redirigeait vers la page web contenant un script d’installation. La technique utilisée dans ces envois « Santa » ressemble à un programme malicieux utilisé pour l’envoi du spam BackDoor.Groan, ce programme est détecté par Dr.Web comme Trojan.Packed.262.

Deux autres types de spam ont été détectés au mois de décembre. Le premier a propagé le vers de courrier Win32.HLLM.Graz (analogue aussi au programme BackDoor.Groan). Son mécanisme n’a pas changé. Le corps du message contient un lien de redirection vers la page web, lors de cette redirection (avec le navigateur Internet Explorer) le PC se trouve automatiquement infecté.

L’autre exemple est l’envoi des programmes malveillants de la famille BackDoor.Bulknet utilisant des technologies dites rootkits, qui leur permettent de se cacher dans l’OS en reconstruisant les clés de la base de registre. Une fois qu’ils ont pénétré la machine, ces programmes effectuent des envois de spam.

Outre cela, les derniers jours du mois de décembre ont été marqués par une poussée des spams ainsi que de nouveaux canaux de diffusion – notamment par ICQ.

Tous les messages proposaient un accès à des bases de films pornographiques dont l’activation requiert l’envoi d’un sms payant. Voici un fragment de l’un desdits messages, traduit du russe.

Bonjour. Liste des BD/Prix
Douane de l’Ukraine 2006/2007 -150/400
Douane de la Russie 2006/2007 -150/400
Chiffre d’affaire 2006 -150
Contribuables TVA 2006 - 200
Personnes physiques 2006/2007 - 150/200

A noter particulièrement, un envoi de spams lié à l’activité des trojans Trojan.Spambot 2386 et Trojan.Spambot 2387 a été détecté. Il s’agit de messages ayant pour objet : « New Year Postcard » dont plusieurs variantes contenaient le même lien vers http://happycards2008.com/. A partir du 26 décembre, c’est la deuxième vague qui constitue une attaque des trojans vers les PC des utilisateurs. L’antivirus Dr.Web détecte et bloque les attaques dès leur apparition.


Voir les articles précédents

    

Voir les articles suivants