Selon les statistiques obtenues à l’aide de l’utilitaire de désinfection Dr.Web CureIt !, l’une des menaces les plus fréquentes en cette période est le Trojan.LoadMoney.1 - une application pour télécharger des fichiers générés automatiquement par le programme Loadmoney. Au deuxième rang, est situé le Trojan.Hosts.6815 ,un malware qui modifie le fichier hosts sur l’ordinateur infecté pour rediriger le navigateur de l’utilisateur vers des ressources frauduleuses ou de phishing. La troisième place est occupée par le Trojan.InstallMonster.28 qui télécharge, lui, le programme Installmonster. Puis viennent le Trojan publicitaire Trojan.Packed.24524 et le logiciel malveillant Trojan.Mods.3, conçu pour remplacer les sites Web visités par la victime. Le tableau ci-dessous affiche la vingtaine de malwares les plus répandus selon les statistiques de l’utilitaire de traitement Dr.Web CureIt ! :

Nom Nombre %

Trojan.LoadMoney.1 16987 3.75

Trojan.Hosts.6815 11088 2.45

Trojan.InstallMonster.28 7174 1.58

Trojan.Packed.24524 6118 1.35

Trojan.Mods.3 6040 1.33

Trojan.MayachokMEM.8 5716 1.26

Trojan.Fraudster.524 4753 1.05

Trojan.BtcMine.142 4532 1.00

Trojan.DownLoad3.26006 4467 0.99

BackDoor.IRC.NgrBot.42 4420 0.98

Trojan.Mayachok.18634 4288 0.95

BackDoor.IRC.Cirilico.119 4067 0.90

Trojan.Mods.2 3985 0.88

Trojan.Mods.1 3630 0.80

BackDoor.Maxplus.24 3531 0.78

Trojan.DownLoader9.19157 3457 0.76

Trojan.Hosts.6838 3415 0.75

Trojan.SMSSend.4196 3300 0.73

Trojan.MayachokMEM.9 3197 0.71

Win32.HLLP.Neshta 3158 0.70
Botnets

Le botnet enrôlant des ordinateurs sous Windows infectés par le virus de fichiers Win32.Rmnet.12 poursuit sa croissance. Si en août, l’accroissement moyen quotidien du premier sous-botnet contrôlé par les spécialistes de Doctor Web était d’environ 12.000 machines infectées, en septembre, ce chiffre a atteint 16.000 postes de travail. L’évolution du volume du botnet Win32.Rmnet.12 au mois de septembre 2013 (le 1er sous-botnet) est représentée par le graphique ci-dessous.

Evolution du volume du botnet Win32.Rmnet.12 au mois de septembre 2013 (le 1er sousbotnet)

Le nombre de " résidents " du deuxième botnet Win32.Rmnet.12 a peu augmenté par rapport au mois précédent : en août, l’accroissement moyen quotidien était d’environ 10.500 ordinateurs infectés, en septembre ce chiffre était de 11 500. L’évolution du volume du botnet Win32.Rmnet.12 au mois de septembre 2013 (le 2ème sous-botnet) est représentée par le graphique ci-dessous.

Evolution du volume du botnet Win32.Rmnet.12 au mois de septembre 2013 (le 2 ème sousbotnet)

La croissance du Win32.Rmnet.16, quant à elle, a pratiquement stoppé : en août, l’accroissement moyen quotidien était d’environ 1500 machines infectées, entre le 1er et le 20 septembre, ce chiffre ne dépassait pas 20 ordinateurs infectés, et dans les derniers jours du mois, la croissance du botnet s’est presque arrêtée. La même tendance a été observée concernant le Trojan.Rmnet.19. L’accroissement moyen quotidien du botnet au mois de septembre était d’environ 15 machines infectées et le nombre total de bots actifs a diminué pour passer de 5014 à 4640.

Le volume du botnet BackDoor.Bulknet.739 n’a pas changé : Son accroissement moyen quotidien s’élève, comme au mois d’août, à 500-600 machines. L’évolution du volume du botnet BackDoor.Bulknet.739 au mois de septembre 2013 est présentée dans le graphique cidessous.

Le volume du botnet conçu pour voler des données aux entreprises pharmaceutiques russes reste stable. Ce botnet enrôle des ordinateurs infectés par le Trojan BackDoor.Dande. En septembre, le nombre de machines infectées était de 1232, soit une réduction de 47 par rapport au mois d’août. Le volume du botnet BackDoor.Flashback.39, enrôlant des ordinateurs tournant sous Mac OS X a diminué. A la fin du mois d’août, le nombre de machines enrôlées était de 38 822, et à la fin du mois de septembre, ce chiffre a diminué de 534 machines pour atteindre 38 288.

À la fin du mois de septembre, les spécialistes de Doctor Web ont trouvé le plus large botnet enrôlant plus de 200 000 appareils sous Android. Pour infecter les appareils mobiles, les malfaiteurs utilisent plusieurs logiciels malveillants :

Android.SmsSend.754.origin, ainsi que les logiciels malveillants
Android.SmsSend.412.origin (distribué comme un navigateur mobile),
Android.SmsSend.468.origin (connu depuis avril 2013) et le Trojan
Android.SmsSend.585.origin., masqué sous un client mobile pour le réseau social Odnoclassniki.

La première version du Trojan Android.SmsSend.233.origin a été ajoutée à la base virale de Dr.Web en novembre 2012. Dans la plupart des cas, les sources d’infection sont des sites piratés qui distribuent des logiciels malveillants..

Selon les données recueillies par les spécialistes de Doctor Web, ce botnet enrôle plus de 200.000 appareils mobiles sous Android, dont la majorité (128 458) appartient aux utilisateurs russes, puis aux utilisateurs ukrainiens (39.020 cas d’infection), et enfin aux utilisateurs du Kazakhstan avec 21 555 cas. Des données détaillées sont disponibles dans l’image ci-après.

C’est l’une des infections les plus massives touchant les appareils mobiles sous Android ce semestre. Selon les estimations des experts de Doctor Web, les dommages causés aux utilisateurs par les pirates pourraient s’élever à plusieurs centaines de milliers de dollars.

Au 25 septembre 2013, ce botnet enrôlait 226 464 appareils infectés, dont 142 302 en Russie, 45 010 en Ukraine, 23 608 au Kazakhstan et 2915 en Biélorussie. Ce botnet enrôle 2 209 nouveaux appareils infectés chaque jour.
La menace du mois.

Au début du mois de septembre, les analystes de Doctor Web ont étudié le Trojan BackDoor.Saker.1, conçu spécialement pour enregistrer les frappes clavier (keylogging). En outre, ce Trojan est capable d’éviter le Contrôle de compte utilisateur.

Le BackDoor.Saker.1 recueille et transmet aux pirates des informations sur l’ordinateur contaminé, y compris la version de Windows, la vitesse du processeur, la quantité de RAM physique, le nom de la machine, le nom d’utilisateur, le numéro de série du disque dur. Ensuite, le Trojan crée dans un dossier système un fichier dans lequel sont enregistrées les frappes clavier de l’ordinateur. Puis le backdoor attend une réponse d’un serveur distant qui peut inclure les commandes suivantes : redémarrer, éteindre l’ordinateur, se supprimer, démarrer un flux séparé pour exécuter une commande via l’interpréteur de commande ou afin de lancer son propre gestionnaire de fichiers qui a la capacité de télécharger des fichiers depuis l’ordinateur de l’utilisateur ; télécharger des fichiers via le réseau, créer des dossiers, supprimer, déplacer des fichiers et les exécuter. Pour plus d’infos sur cette menace, veuillez lire l’article correspondant sur le site de Doctor Web.
Menaces ciblant Android.

Le mois de septembre a mis en lumière plusieurs menaces touchant Android : des Trojan- SMS, des faux antivirus, des Trojans espions.

Comme nous l’avons vu plus haut, l’événement le plus important concernant Android ce mois-ci a été la découverte d’un très important botnet enrôlant des appareils mobiles infectés par le Trojan de la famille Android.SmsSend. Pour organiser ce botnet, les attaquants ont utilisé plusieurs Trojan SMS capables de recevoir et d’exécuter des commandes provenant d’un serveur distant. Comme la plupart des représentants de la famille Android.SmsSend, ces programmes malveillants ont été diffusés par les cybercriminels sous le couvert d’un installateur d’applications populaires telles que les navigateurs et les clients pour les réseaux sociaux. Le Trojan Android.SmsSend.754.origin ne fait pas exception à la règle.

C’est une application apk, nommée Flow_Player.apk. Après l’installation, il demande les droits administrateur du dispositif - ce qui permet de gérer le verrouillage de l’écran. Par ailleurs, Android.SmsSend.754.origin dissimule son icône sur l’écran principal de l’appareil mobile.

Après son installation et son lancement, le Trojan envoie aux attaquants des données sur l’appareil infecté puis attend les commandes provenant du serveur distant, dont la principale est d’envoyer un SMS à des numéros spécifiés avec un message particulier. Ainsi, les appareils infectés peuvent envoyer tous les SMS, y compris payants, quel que soit leur pays de localisation ou l’opérateur du propriétaire de l’appareil. Cela permet aux attaquants d’utiliser ce botnet pour générer du profit ou proposer leurs « services » à des tiers. Pour plus d’information sur cette menace, consultez l’article correspondant sur le site de Doctor Web.

L’utilisation des Trojans SMS est très rentable pour les cybercriminels, ce qui peut expliquer une large propagation de ce type de logiciels malveillants. Ainsi, en septembre, les spécialistes de Doctor Web ont découvert un site sur lequel les utilisateurs vietnamiens pouvaient télécharger sous couvert de divers jeux et applications, des Trojans, ajoutés à la base virale Dr.Web sous le nom Android.SmsSend.760.origin.

Lancés sur un appareil mobile infecté, les logiciels malveillants envoient des SMS payants, puis ouvrent le navigateur Web pour télécharger le logiciel recherché initialement par l’utilisateur. Ce n’est pas tout : ces logiciel et jeux téléchargés ont été modifiés pour envoyer des SMS payants lors de leur démarrage sur l’appareil mobile. Ces logiciels modifiés sont détectés par les antivirus Dr.Web comme Android.SmsSend.761.origin.

Un autre programme malveillant, Android.SmsBot.5, découvert au milieu du mois, ressemble aux Trojans SMS. Ce logiciel est distribué sous le couvert d’un client pour le réseau social Vkontakte, après son lancement il affiche le message suivant : " Merci, votre code d’accès unique : ********. L’application sera fermée et supprimée dans 10 secondes ". ******** représente une série de huit caractères. Puis le Trojan envoie un SMS crypté au numéro des attaquants et supprime son icône de l’écran

Ensuite, Android.SmsBot.5 passe en mode veille et vérifie tous les SMS entrants à la recherche de commandes comme l’envoi ou la suppression de SMS, l’ouverture d’URL, la collecte d’informations sur l’appareil mobile, le passage d’appels et autres.

Plusieurs Trojans espions de la famille Android.SmsSpy, distribués sous couvert d’un lecteur flash, ont été détectés au mois de septembre. Ces logiciels sont conçus pour voler les SMS entrants contenant les codes mTAN, largement utilisés par les banques pour confirmer les paiements en ligne.

Plusieurs faux antivirus pour Android ont également été détectés : parmi eux, trois logiciels malveillants, ajoutés à la base virale de Doctor Web sous les dénominations Android.Fakealert.8.origin, Android.Fakealert.9.origin et Android.Fakealert.10.origin. Rappelons que ces applications sont des produits frauduleux qui détectent des fausses menaces sur les appareils mobiles et demandent de l’argent pour les traiter. Le logiciel Android.Fakealert.10.origin a été distribué sous couvert d’une application pour regarder des vidéos pour adultes. Pourtant, après son lancement, elle imitait l’interface d’un antivirus et affichait une alerte sur la nécessité d’effectuer le scan antivirus de l’appareil. Pour traiter les " menaces " détectées, il fallait acheter une version complète.

Une autre modification du Trojan Obad a été ajoutées à la base virale Dr.Web sous le nom Android.Siggen.3.origin. Ce malware est capable d’envoyer des SMS payants et de télécharger sur l’appareil mobile d’autres logiciels malveillants. La particularité de ce programme est d’exploiter la vulnérabilité de l’OS Android permettant d’éviter sa désinstallation. Lors de son installation dans le système, Android.Siggen.3.origin demande à l’utilisateur l’accès aux fonctions administrateur de l’appareil mobile. S’il les reçoit, il se cache de la liste des applications, ce qui empêche sa désinstallation. Dr.Web pour Android dispose d’un algorithme spécial pour faire face à ce type de menaces et peut supprimer ce Trojan.

Les autres événements du mois.

L’envoi via email d’un backdoor utilisant le Sommet du G20 avec pour objet " Sommet G20 ".

D’après les experts, les attaquants ont utilisé le sommet du G20 ayant lieu à Saint-Pétersbourg pour envoyer des messages contenant une archive RAR infectée.

Cette archive contient un fichier raccourci (.LNK) et deux fichiers binaires. Les spécialistes ont découvert que ces deux fichiers binaires ne représentent aucune menace séparément mais qu’ils sont, en réalité, deux parties d’un seul fichier. Le fichier raccourci .LNK inclut les commandes qui permettent de réunir ces deux parties en un seul fichier exécutable pour le lancer ensuite sur l’ordinateur infecté. De son côté, le backdoor contacte le serveur des attaquants pour recevoir leurs commandes ainsi que télécharger les plug-ins pour effectuer du keylogging et des captures d’écran. Tous les plug-ins sont exécutés via le processus unique du backdoor, c’est pourquoi il est impossible de les voir dans la liste des applications lancées. Ce malware est détecté par l’antivirus Dr.Web sous le nom Win32.HLLW.Autoruner1.54698.
Le sud de l’Europe, la Turquie et le Royaume-Uni ciblés par un Trojan bancaire.

Un nouveau Trojan bancaire a été découvert par plusieurs éditeurs antivirus en Turquie, en République Tchèque, au Portugal et au Royaume-Uni. Il comprend les mêmes fonctionnalités que les Trojans de la famille Zeus et SpyEye (keylogging, capture d’écran, capture de la vidéo, configuration du serveur proxy distant, interception du trafic, web injects), mais il peut également créer un serveur VNC caché dans le système infecté.

A l’aide de ce Trojan, les attaquants collectent des données sur la victime, qui permettent d’accéder à son compte bancaire et recommandent d’installer un logiciel malveillant sous couvert d’un composant du système d’exploitation Symbian, Blackberry ou Android. Les victimes reçoivent des messages contenant une pièce jointe malveillante *.pdf.exe, provenant soi-disant du service de messagerie ou de fournisseurs de services télécom.

Les spécialistes de Doctor Web connaissent quatre modifications de ce Trojan : Trojan.Inject1.27640, Trojan.DownLoader10.3567, Trojan.DownLoader9.22851, Trojan.DownLoader10.10165. La première signature a été ajoutée à la base virale Dr.Web le 31 Juillet 2013.
Un Trojan se cache dans la version piratée de GTA V.

En Septembre, de nombreux sites ont annoncé la propagation d’un Trojan dans la version piratée de Grand Theft Auto V (GTA V). Selon Gamebomb.ru, cette version de GTA V est déjà disponible dans le réseau. Ce jeu est assez populaire. Un fichier comprenant un logiciel malveillant est distribué depuis les torrent trackers.

Ce fichier inclut un Trojan à l’aide duquel les malfaiteurs proposent au joueur d’entrer, dans le champ approprié, son numéro de portable et le code de confirmation qu’il a reçu par SMS. Si la victime envoie un SMS avec le code, elle sera abonnée à un service payant dont le prix est de 1 € par jour. C’est un représentant typique de la famille Trojan.SmsSend.
Un Trojan bancaire essaie de contrôler les opérations de change des pays du Moyen- Orient et d’Asie.

Les spécialistes d’autres éditeurs ont détecté un faible, mais très efficace envoi de spam, contenant une pièce jointe malveillante ZIP. Parmi les victimes, nous trouvons des entreprises des Émirats Arabes Unis, du Pakistan, du Népal et d’autres pays. Hypothétiquement, ces messages ont été envoyés depuis des serveurs de messagerie piratés situés en Inde et au Pakistan, et sont conçus pour distribuer le Trojan.PWS.Panda, également connu sous le nom de Zeus. Sa signature a été ajoutée à la base virale Dr.Web le 10 septembre 2013 sous le nom Trojan.PWS.Panda.2401. Ce programme est capable de voler les données des banques en ligne.

Trojan ciblant Mac OS X. made in SEA ?

En septembre, le logiciel malveillant BackDoor.Leverage.1 a été détecté. Un échantillon a été envoyé par un utilisateur Biélorusse à VirusTotal.

Le mécanisme de pénétration de ce malware est connu. Il a vraisemblablement été envoyé via email ou placé sur un site infecté. Vers le 17 septembre, le serveur de gestion des attaquants n’envoyait plus de commandes aux appareils infectés.

Cette application malveillante est masquée sous un fichier JPEG et peut menacer les utilisateurs de Mac OS X, si dans leur système, l’extension de fichiers ne s’affiche pas. Parmi les fichiers que le logiciel télécharge sur l’ordinateur infecté nous pouvons trouver le logo d’un groupe de hackers, Syrian Electronic Army (SEA).

Selon les experts, ce Trojan représente un danger pour les utilisateurs des versions inférieures à Mac OS X 10.8. Il est donc recommandé de mettre à niveau sa version d’OS.

Ce malware a été ajouté à la base virale Dr.Web le 18 Septembre 2013. Il est probablement utilisé par les pirates pour des attaques ciblées.

Fichiers malveillants détectés dans le courrier électronique en septembre 2013

01.09.2013 00:00 - 30.09.2013 23:00

1 Trojan.PWS.Panda.4795 0.94%
2 Trojan.DownLoad3.28161 0.78%
3 Trojan.Packed.24465 0.76%
4 Trojan.DownLoad3.28507 0.76%
5 Trojan.DownLoader10.15301 0.69%
6 Trojan.PWS.Stealer.3243 0.65%
7 Trojan.DownLoader9.22851 0.59%
8 Win32.HLLM.MyDoom.33808 0.44%
9 Trojan.Inject1.27909 0.35%
10 Trojan.DownLoader10.15884 0.35%
11 Trojan.PWS.Panda.4379 0.33%
12 Win32.HLLM.MyDoom.54464 0.31%
13 Trojan.PWS.Panda.547 0.30%
14 Win32.HLLW.Autoruner.25074 0.28%
15 Trojan.Hosts.6838 0.28%
16 BackDoor.Comet.152 0.28%
17 Trojan.Packed.196 0.28%
18 Trojan.DownLoader9.40193 0.28%
19 BackDoor.Comet.700 0.26%
20 Win32.HLLM.Beagle 0.26%