Juin 2009 : Kaspersky Lab identifie la diffusion massive de malware par clés USB et la recrudescence de téléchargements à la dérobée

Juin 2009 : Kaspersky Lab identifie la diffusion massive de malware par clés USB et la recrudescence de téléchargements à la dérobée

Les chercheurs de Kaspersky Lab établissent chaque mois leurs Tops 20 des programmes malveillants à partir de données générées par Kaspersky Security Network et Antivirus Internet. En juin 2009, Kaspersky Lab observent que les cybercriminels exploitent de plus en plus les failles liées aux périphériques de stockage et aux sites Internet infectés.

Le premier Top 20 établit le classement des codes malicieux, programmes malveillants et logiciels publicitaires présentant un danger potentiel, détectés et neutralisés dès le premier contact, au déclenchement du composant d'analyse à la demande de Kaspersky Security network.

L'utilisation des statistiques permet d'analyser les menaces les plus récentes, les plus dangereuses et les plus répandues bloquées au démarrage ou lors du téléchargement depuis Internet sur l'ordinateur de l'utilisateur.

Rang Programme malicieux Nombre de PC infectés
1   Net-Worm.Win32.Kido.ih 58200  
2   Virus.Win32.Sality.aa 28758  
3   Trojan-Dropper.Win32.Flystud.ko 13064  
4   Trojan-Downloader.Win32.VB.eql 12395  
5   Worm.Win32.AutoRun.dui 8934  
6   Trojan.Win32.Autoit.ci 8662  
7   Virus.Win32.Virut.ce 6197  
8   Worm.Win32.Mabezat.b 5967  
9   Net-Worm.Win32.Kido.jq 5934  
10   Virus.Win32.Sality.z 5750  
11   Trojan-Downloader.JS.LuckySploit.q 4624  
12   Virus.Win32.Alman.b 4394  
13   Packed.Win32.Black.a 4317  
14   Net-Worm.Win32.Kido.ix 4284  
15   Worm.Win32.AutoIt.i 4189  
16   Trojan-Downloader.WMA.GetCodec.u 4064  
17   Packed.Win32.Klone.bj 3882  
18   Email-Worm.Win32.Brontok.q 3794  
19   Worm.Win32.AutoRun.rxx 3677  
20   not-a-virus:AdWare.Win32.Shopper.v 3430  

Net-Worm.Win32.Kido.ih conserve la pôle position du Top 20 de Kaspersky Lab, qui intègre par ailleurs 2 autres variantes, Kido.jq et Kido.ix.

Selon toute vraisemblance, cette forte présence de Kido dans le classement s'explique par son mode de diffusion via les clés USB qu'il contamine depuis des ordinateurs non protégés.

Il en est de même pour la famille AutoRun, dont les variantes AutoRun.dui et AutoRun.rxx figurent également au Top 20 de Kaspersky Lab.

On y retrouve aussi Trojan-Downloader.JS.LuckySploit.q, un cheval de Troie de script largement prisé par les cybercriminels.

Enfin, en 20ème position, apparaît Shopper.v, programme malveillant très populaire dans la catégorie des logiciels publicitaires. Zango, société à l'origine de ce programme a fermé il y a quelques mois. Shopper.v installe différents panneaux dans les navigateurs et les clients de messagerie dans lesquels il affiche des bandeaux publicitaires. La suppression de ces panneaux du système est relativement compliquée.

Le second Top 20 établi par les chercheurs de Kaspersky Lab repose sur les données obtenues via Antivirus Internet. Il permet d’identifier les programmes malveillants qui infectent le plus souvent les pages Web et les codes malicieux qui sont le plus souvent téléchargés depuis des pages malveillantes ou infectées.

Rang Programme malicieux Nombre de pages web infectées
1   Trojan-Downloader.JS.Gumblar.a 27103  
2   Trojan-Downloader.JS.Iframe.ayt 14563  
3   Trojan-Downloader.JS.LuckySploit.q 6975  
4   Trojan-Clicker.HTML.IFrame.kr 5535  
5   Trojan-Downloader.HTML.IFrame.sz 4521  
6   Trojan-Downloader.JS.Major.c 4326  
7   Trojan-Downloader.Win32.Agent.cdam 3939  
8   Trojan-Clicker.HTML.IFrame.mq 3922  
9   Trojan.JS.Agent.aat 3318  
10   Trojan.Win32.RaMag.a 3302  
11   Trojan-Clicker.SWF.Small.b 2894  
12   Packed.JS.Agent.ab 2648  
13   Trojan-Downloader.JS.Agent.czm 2501  
14   Exploit.JS.Pdfka.gu 2441  
15   Trojan-Clicker.JS.Agent.fp 2332  
16   Trojan-Dropper.Win32.Agent.aiuf 2002  
17   Exploit.JS.Pdfka.lr 1995  
18   not-a-virus:AdWare.Win32.Shopper.l 1945  
19   not-a-virus:AdWare.Win32.Shopper.v 1870  
20   Exploit.SWF.Agent.az 1747  

La 1ère place revient au cheval de Troie Gumblar.a., dont le mécanisme est un excellent exemple de téléchargement à la dérobée.

Gumblar.a est un script chiffré de petite taille qui renvoie l'utilisateur vers un site malveillant d'où, à l'aide d'une multitude de codes d'exploitation, un fichier exécutable malveillant est téléchargé. Une fois installé, il influence le trafic Internet de l'utilisateur en modifiant les résultats des recherches dans Google et identifie les coordonnées d'accès aux serveurs FTP pour les infecter.

C’est ainsi que les cybercriminels créent un réseau de zombies composés de serveurs infectés qu'ils peuvent utiliser pour charger sur l'ordinateur de l'utilisateur n'importe quel type de programme malveillant. Le nombre de serveurs infectés est aujourd’hui considérable.

Le cheval de Troie téléchargeur LuckySploit.q est un autre exemple frappant de téléchargement à la dérobée que l'on retrouve en 3ème position (et qui figure également dans le premier Top 20).

Il s'agit d'un script d'obfuscation qui commence par récolter des informations sur la configuration du navigateur de l'utilisateur et qui envoie ces renseignements vers un site malveillant après les avoir chiffrés à l'aide d'une clé RSA ouverte. Une fois sur le serveur, ces informations sont décryptées à l'aide d'une clé RSA fermée et la victime reçoit une sélection de scripts, en fonction de la configuration du navigateur, qui exploitent les vulnérabilités de l'ordinateur et qui téléchargent des programmes malveillants. Cette combinaison en plusieurs étapes complique énormément l'analyse des exemplaires du script source qui récolte les données relatives au navigateur : si le serveur chargé du décryptage est inaccessible, il n'est pas possible d'obtenir des données sur les scripts qu'il envoie.

Plusieurs programmes malveillants exploitent les vulnérabilités de grands éditeurs de logiciels. Ainsi, la présence dans le classement de Trojan-Clicker.SWF.Small.b, Exploit.JS.Pdfka.gu, Exploit.JS.Pdfka.lr et Exploit.SWF.Agent.az témoigne de la popularité et de la vulnérabilité des logiciels Adobe Flash Player et Adobe Reader. De nombreuses vulnérabilités dans les applications de Microsoft sont également exploitées activement. Par exemple, Trojan-Downloader.JS.Major.c tire profit de plusieurs vulnérabilités dans différents composants de Microsoft Windows et de Microsoft Office.

A la lumière des statistiques mensuelles établies par les chercheurs de Kaspersky Lab en juin 2009, les cybercriminels semblent recourir de plus en plus aux ruses du téléchargement à la dérobée sur les ordinateurs des victimes. De même, il semblerait qu'Internet soit de plus en plus souvent un vecteur de propagation des menaces.

En conséquence, les internautes doivent veiller à installer les mises à jour les plus récentes du système d'exploitation et des applications utilisées ainsi qu'à actualiser régulièrement les bases de leur solution antivirale.

Enfin, pour les chercheurs de Kaspersky Lab, en juin 2009, le Top 5 des pays producteurs de menaces cybercriminelles par tentatives d’infections via Internet est le suivant :

03.07.2009

Recommander cette page

Photos non contractuelles - © 1997 - 2014 Kaspersky Lab ZAO.

Tous droits réservés. La meilleure des technologies en matière de prévention des cyber-risques.