Conformément aux prévisions des experts du G Data SecurityLabs, les cybercriminels se concentrent depuis la fin de l’année 2010 sur les failles Java. Ces types de codes malveillants dominent le secteur et ont récemment dépassé, dans le Top 10, les attaques basées sur les failles de sécurité PDF. Une autre tendance s’affirme aussi avec la croissance des logiciels potentiellement indésirables, dont les faux antivirus constituent la grande partie. L’adware Hotbar en troisième position ne fait plus cavalier seul. Le Trojan.FakeAlert.CJM le rejoint dans le top 10.

– Le top 10 en détail

1/ Java.Trojan.Downloader.OpenConnection.AO

Ce téléchargeur de Trojan est contenu dans les applets Java intégrés sur les sites Web. Quand l’applet est téléchargé, une URL est générée à partir des paramètres de l’applet et utilisée pour télécharger un fichier exécutable malveillant sur l’ordinateur de l’utilisateur. Le téléchargeur exploite la faille de sécurité CVE-2010-0840 pour contourner la sandbox Java et pour écrire des données directement dans le système.

2/ Trojan.Wimad.Gen.1

Ce trojan feint d’être un fichier audio .wma normal, pour lequel il est utile d’installer un codec spécial pour l’écouter. Si l’utilisateur exécute le fichier, l’attaquant peut installer n’importe quel malware sur le système de l’utilisateur. Le dossier audio infecté est principalement distribué par l’intermédiaire des réseaux P2P.

3/ Gen : Variant.Adware.Hotbar.1

Cet adware est généralement secrètement installé, dans des paquets de logiciels gratuits tels que VLC, XviD, etc. téléchargés des sources autres que leurs éditeurs officiels. Les supposés sponsors de la version courante du logiciel sont « Clickpotato » et « Hotbar ». Tous les paquets sont digitalement signés par « Pinball Corporation » et l’adware est automatiquement lancé chaque fois que Windows est démarré, s’intégrant comme icône systray. Il peut être utilisé pour afficher de fausses alertes antivirus et pousser l’utilisateur à installer des programmes nuisibles dissimulés dans de faux antivirus.

4/ Worm.Autorun.VHG

Ce programme est un ver qui emploie la fonction d’autorun.inf dans Windows pour se distribuer. Il utilise les dispositifs de stockage amovibles tels que des clés USB. Ce ver Internet et de réseau exploite la vulnérabilité CVE-2008-4250.

5/ Java.Trojan.Downloader.OpenConnection.AI

Ce téléchargeur de Trojan est une variante du Java.Trojan.Downloader.OpenConnection.AO. Son fonctionnement est identique.

6/ Trojan.AutorunINF.Gen

Ce logiciel générique d’identification peut identifier les fichiers autorun.inf malveillants connus et inconnus. Les fichiers Autorun.inf sont exploités en tant que mécanismes de distribution de malware via les clés USB, des dispositifs de stockage amovibles, les CD et les DVD.

7/ Java.Trojan.Downloader.OpenConnection.AN

Ce téléchargeur de Trojan est une autre variante du Java.Trojan.Downloader.OpenConnection.AO. Son fonctionnement est identique.

8/ Java:Agent-DU [Expl]

Ce programme exploite Java. C’est lui aussi un applet de téléchargement qui utilise la faille de sécurité (CVE-2010-0840) pour éviter le mécanisme de protection en sandbox de Java et pour télécharger des codes nuisibles sur l’ordinateur.

9/ Trojan.FakeAlert.CJM

Ce malware essaye de pousser les utilisateurs d’ordinateur au téléchargement de faux logiciels antivirus (FakeAV). Pour cela, le programme ouvre une page Internet imitant l’explorateur de Windows et indique qu’il y a de nombreuses infections sur le système. Si l’utilisateur clique sur les fenêtres proposées, le programme FakeAV, une variante de System Tool, est installé.

10/ HTML:Downloader-AU [Expl]

Ce malware qui exploite Java est un applet qui télécharge une page HTML. Cette première page HTML tente d’utiliser une faille de sécurité (CVE-2010-4452) afin de contourner la sandbox Java, permettant ainsi d’accéder directement au système.