Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Juin 2009 : Kaspersky Lab identifie la diffusion massive de malware par clés USB et la recrudescence de téléchargements à la dérobée

juillet 2009 par Kaspersky

Les chercheurs de Kaspersky Lab établissent chaque mois leurs Tops 20 des programmes malveillants à partir de données générées par Kaspersky Security Network et Antivirus Internet. En juin 2009, Kaspersky Lab observent que les cybercriminels exploitent de plus en plus les failles liées aux périphériques de stockage et aux sites Internet infectés.

Le premier Top 20 établit le classement des codes malicieux, programmes malveillants et logiciels publicitaires présentant un danger potentiel, détectés et neutralisés dès le premier contact, au déclenchement du composant d’analyse à la demande de Kaspersky Security network.

L’utilisation des statistiques permet d’analyser les menaces les plus récentes, les plus dangereuses et les plus répandues bloquées au démarrage ou lors du téléchargement depuis Internet sur l’ordinateur de l’utilisateur.

Rang Programme malicieux Nombre de PC infectés

1 Net-Worm.Win32.Kido.ih 58200
2 Virus.Win32.Sality.aa 28758
3 Trojan-Dropper.Win32.Flystud.ko 13064
4 Trojan-Downloader.Win32.VB.eql 12395
5 Worm.Win32.AutoRun.dui 8934
6 Trojan.Win32.Autoit.ci 8662
7 Virus.Win32.Virut.ce 6197
8 Worm.Win32.Mabezat.b 5967
9 Net-Worm.Win32.Kido.jq 5934
10 Virus.Win32.Sality.z 5750
11 Trojan-Downloader.JS.LuckySploit.q 4624
12 Virus.Win32.Alman.b 4394
13 Packed.Win32.Black.a 4317
14 Net-Worm.Win32.Kido.ix 4284
15 Worm.Win32.AutoIt.i 4189
16 Trojan-Downloader.WMA.GetCodec.u 4064
17 Packed.Win32.Klone.bj 3882
18 Email-Worm.Win32.Brontok.q 3794
19 Worm.Win32.AutoRun.rxx 3677
20 not-a-virus:AdWare.Win32.Shopper.v 3430

Net-Worm.Win32.Kido.ih conserve la pôle position du Top 20 de Kaspersky Lab, qui intègre par ailleurs 2 autres variantes, Kido.jq et Kido.ix.

Selon toute vraisemblance, cette forte présence de Kido dans le classement s’explique par son mode de diffusion via les clés USB qu’il contamine depuis des ordinateurs non protégés.

Il en est de même pour la famille AutoRun, dont les variantes AutoRun.dui et AutoRun.rxx figurent également au Top 20 de Kaspersky Lab.

On y retrouve aussi Trojan-Downloader.JS.LuckySploit.q, un cheval de Troie de script largement prisé par les cybercriminels.

Enfin, en 20ème position, apparaît Shopper.v, programme malveillant très populaire dans la catégorie des logiciels publicitaires. Zango, société à l’origine de ce programme a fermé il y a quelques mois. Shopper.v installe différents panneaux dans les navigateurs et les clients de messagerie dans lesquels il affiche des bandeaux publicitaires. La suppression de ces panneaux du système est relativement compliquée.

Le second Top 20 établi par les chercheurs de Kaspersky Lab repose sur les données obtenues via Antivirus Internet. Il permet d’identifier les programmes malveillants qui infectent le plus souvent les pages Web et les codes malicieux qui sont le plus souvent téléchargés depuis des pages malveillantes ou infectées.

Rang Programme malicieux Nombre de pages web infectées

1 Trojan-Downloader.JS.Gumblar.a 27103
2 Trojan-Downloader.JS.Iframe.ayt 14563
3 Trojan-Downloader.JS.LuckySploit.q 6975
4 Trojan-Clicker.HTML.IFrame.kr 5535
5 Trojan-Downloader.HTML.IFrame.sz 4521
6 Trojan-Downloader.JS.Major.c 4326
7 Trojan-Downloader.Win32.Agent.cdam 3939
8 Trojan-Clicker.HTML.IFrame.mq 3922
9 Trojan.JS.Agent.aat 3318
10 Trojan.Win32.RaMag.a 3302
11 Trojan-Clicker.SWF.Small.b 2894
12 Packed.JS.Agent.ab 2648
13 Trojan-Downloader.JS.Agent.czm 2501
14 Exploit.JS.Pdfka.gu 2441
15 Trojan-Clicker.JS.Agent.fp 2332
16 Trojan-Dropper.Win32.Agent.aiuf 2002
17 Exploit.JS.Pdfka.lr 1995
18 not-a-virus:AdWare.Win32.Shopper.l 1945
19 not-a-virus:AdWare.Win32.Shopper.v 1870
20 Exploit.SWF.Agent.az 1747

La 1ère place revient au cheval de Troie Gumblar.a., dont le mécanisme est un excellent exemple de téléchargement à la dérobée.

Gumblar.a est un script chiffré de petite taille qui renvoie l’utilisateur vers un site malveillant d’où, à l’aide d’une multitude de codes d’exploitation, un fichier exécutable malveillant est téléchargé. Une fois installé, il influence le trafic Internet de l’utilisateur en modifiant les résultats des recherches dans Google et identifie les coordonnées d’accès aux serveurs FTP pour les infecter.

C’est ainsi que les cybercriminels créent un réseau de zombies composés de serveurs infectés qu’ils peuvent utiliser pour charger sur l’ordinateur de l’utilisateur n’importe quel type de programme malveillant. Le nombre de serveurs infectés est aujourd’hui considérable.

Le cheval de Troie téléchargeur LuckySploit.q est un autre exemple frappant de téléchargement à la dérobée que l’on retrouve en 3ème position (et qui figure également dans le premier Top 20).

Il s’agit d’un script d’obfuscation qui commence par récolter des informations sur la configuration du navigateur de l’utilisateur et qui envoie ces renseignements vers un site malveillant après les avoir chiffrés à l’aide d’une clé RSA ouverte. Une fois sur le serveur, ces informations sont décryptées à l’aide d’une clé RSA fermée et la victime reçoit une sélection de scripts, en fonction de la configuration du navigateur, qui exploitent les vulnérabilités de l’ordinateur et qui téléchargent des programmes malveillants. Cette combinaison en plusieurs étapes complique énormément l’analyse des exemplaires du script source qui récolte les données relatives au navigateur : si le serveur chargé du décryptage est inaccessible, il n’est pas possible d’obtenir des données sur les scripts qu’il envoie.

Plusieurs programmes malveillants exploitent les vulnérabilités de grands éditeurs de logiciels. Ainsi, la présence dans le classement de Trojan-Clicker.SWF.Small.b, Exploit.JS.Pdfka.gu, Exploit.JS.Pdfka.lr et Exploit.SWF.Agent.az témoigne de la popularité et de la vulnérabilité des logiciels Adobe Flash Player et Adobe Reader. De nombreuses vulnérabilités dans les applications de Microsoft sont également exploitées activement. Par exemple, Trojan-Downloader.JS.Major.c tire profit de plusieurs vulnérabilités dans différents composants de Microsoft Windows et de Microsoft Office.

A la lumière des statistiques mensuelles établies par les chercheurs de Kaspersky Lab en juin 2009, les cybercriminels semblent recourir de plus en plus aux ruses du téléchargement à la dérobée sur les ordinateurs des victimes. De même, il semblerait qu’Internet soit de plus en plus souvent un vecteur de propagation des menaces.

En conséquence, les internautes doivent veiller à installer les mises à jour les plus récentes du système d’exploitation et des applications utilisées ainsi qu’à actualiser régulièrement les bases de leur solution antivirale.

Enfin, pour les chercheurs de Kaspersky Lab, en juin 2009, le Top 5 des pays producteurs de menaces cybercriminelles par tentatives d’infections via Internet est le suivant :


Voir les articles précédents

    

Voir les articles suivants