BOTNETS

En mars 2009, les botnets Tdss et Shadow se sont fait remarquer. Ils ont commencé à utiliser de nouvelles méthodes pour augmenter l’efficacité de leur fonctionnement et ont continué à se propager, via les disques amovibles et les ressources réseau, en utilisant des vulnérabilités connues. Ceci signifie que certains utilisateurs ne suivent pas les recommandations des éditeurs d’antivirus en matière de respect des règles de sécurité informatique.

Doctor Web accorde beaucoup d’attention à la fourniture d’informations sur les nouvelles menaces informatiques. Ainsi, l’éditeur les présente dans ses actualités et insiste sur cet aspect lors de la formation de ses spécialistes. Doctor Web informe également régulièrement les utilisateurs sur les méthodes de lutte contre les menaces. Les propriétaires de botnets savent qu’il est facile de détecter la présence d’une infection sur un ordinateur, à partir de certaines vulnérabilités ouvertes dans le système et exploitées par le botnet. Ils savent aussi que la plupart des administrateurs des réseaux recourent à ce type de méthode dans leur travail. De ce fait, une nouvelle fonctionnalité est apparue dans la dernière modification Win32.HLLW.Shadow.based. Il s’agit de la fermeture des vulnérabilités utilisées autrefois pour infecter les ordinateurs. Ainsi, il devient plus compliqué de détecter une infection sur un ordinateur à partir des seules vulnérabilités par lesquelles les ordinateurs bots, comme par le passé, reçoivent leurs instructions des criminels.

La dernière modification de Win32.HLLW.Shadow.based génère 50 000 noms de serveurs toutes les 24 heures et utilise 500 de ces noms pour recevoir des instructions se rapportant aux taches malveillantes. Ce nouvel algorithme de travail rend la résistance au fonctionnement du botnet plus difficile. Il est impossible de définir, à priori, toutes les adresses des serveurs engagés dans son fonctionnement et d’arrêter légalement leur travail.

BackDoor.Tdss, utilisé par les fraudeurs pour l’extension du botnet Tdss, applique des méthodes un peu différentes. Il améliore les rootkits utilisés afin de résister plus effectivement aux logiciels antivirus. Ainsi, les versions modernes de BackDoor.Tdss peuvent résister efficacement au fonctionnement des moniteurs de fichiers antivirus. Outre l’utilisation populaire des vulnérabilités des systèmes d’exploitation Windows, ce backdoor applique une ancienne méthode de propagation des programmes malicieux, connue de tous les utilisateurs, la méthode des codecs pour la vidéo. En effet, en dépit de sa popularité, cette méthode continue à bien fonctionner jusqu’à présent.

FRAUDE

Le mois précédent était riche en nouveaux cas de fraude où des cybercriminels recouraient aux programmes malicieux.
Les propriétaires de cartes de crédit ont été troublés par l’information sur la détection de programmes malicieux dans certains distributeurs de billets automatiques des banques Russe. Ces programmes collectaient des informations concernant les cartes de crédit et les relevés de comptes envoyés aux distributeurs automatiques de billet à la demande des clients.

Ce programme a été classifié par Dr.Web sous le nom Trojan.Skimer. Aujourd’hui, la base de données virales contient environ une dizaine de versions différentes de ce logiciel malicieux. Il faut préciser que les banques avaient reçu du fabriquant de ces automates, préalablement à la découverte par les éditeurs d’antivirus de cette menace, les informations nécessaires à la fermeture des vulnérabilités. La description détaillée des fonctions de Trojan.Skimer est accessible dans la bibliothèque de virus de Doctor Web.

Bien que les vendeurs d’antivirus fournissent une information détaillée des pseudo antivirus, les fraudeurs continuent à utiliser des schémas trompant les utilisateurs afin de les amener à payer un programme sans valeur. De nos jours, où le design web professionnel est appliqué aux faux sites web propageant des antivirus falsifiés, les sites malveillant tiennent à avoir un aspect similaire aux ressources web des vendeurs d’antivirus réels. De tels antivirus falsifiés, comme Antivirus XP 2008, sont connus de beaucoup d’internautes.

La popularité des sites web sociaux en Russie fournit aux créateurs de virus une infinité d’opportunités. Un autre Cheval de Troie, Trojan.PWS.Vkontakte.6, révélé en Mars a été propagé sous l’aspect d’un élément logiciel permettant aux utilisateurs d’un réseau social d’augmenter leur popularité.

SPAM

L’envoi de publicités sous forme de spam constitue l’essentiel des sujets des messages de spam du mois du mars. Il est probable qu’aujourd’hui l’offre dépasse la demande. Parmi les sujets de spam les plus populaires, mentionnons la publicité faites sur les copies de DVD, les médicaments, les promotions sur les téléphones portables, les répliques de montres de luxe. D’autres messages incitent les utilisateurs à prendre part à des conférences et à des formations.

Le nombre de programmes malicieux ou de liens vers des sites web malicieux s’est réduit ces derniers mois. L’absence d’envois massifs de spam en rapport avec la diffusion de malwares génère différents effets de bord. Les programmes pour lesquels la diffusion par les courriers électroniques n’est pas traditionnelle peuvent ainsi atteindre les premières positions dans les statistiques antivirus. Ceci survient du fait que les utilisateurs des machines infectés ajoutent, sans le savoir, des fichiers infectés aux fichiers joints, envoyés via leurs courriers électroniques.

En ce qui concerne les envois massifs comme moyen de diffusion des logiciels malicieux, les analystes virus de Doctor Web ont enregistré l’envoi rapide (quelques heures) de Win32.HLLW.Brutus.3. Doctor Web a également enregistré l’envoi plus long de Trojan.PWS.Panda.114, utilisant cependant moins de trafic mail et qui est arrivé sous la forme d’un message prétendument issu de DHL. L’utilisateur était invité à se rendre au bureau de DHL avec une facture imprimée jointe au message. Il est évident que la facture jointe était le fichier malicieux.

Comme précédemment, le mois de Mars a connu des envois de spam offrant aux utilisateurs de prendre part à des schémas similaires aux pyramides financières. Le nombre de ces schemas est en progression. Quoique le nombre de messages de phishing en Mars fût inférieur, les analystes de Doctor Web ont enregistré quelques attaques de phishing ciblant les clients de eBay.

Détection sur des serveurs de messagerie — mars
01.03.2009 00:00 - 01.04.2009 00:00

1 Win32.HLLW.Shadow.based
5348 (16.27%)
2 Win32.Virut
3942 (11.99%)
3 Win32.HLLM.MyDoom.based
3887 (11.83%)
4 Trojan.MulDrop.13408
1998 (6.08%)
5 Trojan.MulDrop.18280
1709 (5.20%)
6 Win32.HLLM.Netsky
1629 (4.96%)
7 Win32.HLLM.Beagle
1252 (3.81%)
8 Trojan.MulDrop.16727
1137 (3.46%)
9 Win32.HLLW.Brutus.3
1134 (3.45%)
10 Win32.HLLW.Gavir.ini
964 (2.93%)
11 Win32.HLLM.Alaxala
901 (2.74%)
12 Win32.HLLM.Netsky.35328
511 (1.55%)
13 Win32.HLLM.MyDoom.33808
472 (1.44%)
14 Trojan.MulDrop.19648
443 (1.35%)
15 BackDoor.Poison.78
403 (1.23%)
16 Win32.HLLM.MyDoom.44
393 (1.20%)
17 Trojan.MulDrop.30412
379 (1.15%)
18 Trojan.MulDrop.17431
351 (1.07%)
19 Trojan.MulDrop.30415
351 (1.07%)
20 Win32.HLLW.Sinfin
339 (1.03%)

fichiers scannés au total : 407,512,378
fichiers infectés : 32,867 (0.0081%)

Détection sur des postes de travail – mars
01.03.2009 00:00 - 01.04.2009 00:00

1 Win32.HLLW.Gavir.ini
1292200 (11.60%)
2 Win32.HLLW.Shadow.based
713002 (6.40%)
3 Win32.Virut
590384 (5.30%)
4 Win32.Virut.5
581332 (5.22%)
5 DDoS.Kardraw
436270 (3.91%)
6 Win32.HLLW.Autoruner.5555
426000 (3.82%)
7 Trojan.DownLoader.42350
409721 (3.68%)
8 Win32.Alman
393549 (3.53%)
9 Trojan.Starter.881
253295 (2.27%)
10 Win32.Sector.17
246519 (2.21%)
11 BackDoor.IRC.Itan
245957 (2.21%)
12 Exploit.PDF.56
235196 (2.11%)
13 Win32.Parite.1
176361 (1.58%)
14 Win32.HLLP.Neshta
163406 (1.47%)
15 Win32.HLLM.Lovgate.2
151434 (1.36%)
16 Win32.HLLM.Generic.440
146493 (1.31%)
17 Win32.HLLP.Whboy
142174 (1.28%)
18 Win32.HLLW.Autoruner.6293
139671 (1.25%)
19 Trojan.PWS.Wsgame.4983
116799 (1.05%)
20 Win32.HLLW.Autoruner.6126
115798 (1.04%)

fichiers scannés au total : 83,190,605,938
fichiers infectés : 11,144,291 (0.0134%)