Août 2009 : Kaspersky Lab constate à nouveau la capacité à innover des cybercriminels

Août 2009 : Kaspersky Lab constate à nouveau la capacité à innover des cybercriminels

Les chercheurs de Kaspersky Lab établissent chaque mois leurs Tops 20 des programmes malveillants à partir de données générées par Kaspersky Security Network et Antivirus Internet. En août 2009, ils notent que les cybercriminels font toujours plus preuve d’innovation dans l’invention de nouveaux codes malicieux.

Le premier Top 20 établit le classement des codes malicieux, programmes malveillants et logiciels publicitaires présentant un danger potentiel, détectés et neutralisés dès le premier contact, au déclenchement du composant d'analyse à la demande de Kaspersky Security Network.

L'utilisation des statistiques permet d'analyser les menaces les plus récentes, les plus dangereuses et les plus répandues bloquées au démarrage ou lors du téléchargement depuis Internet sur l'ordinateur de l'utilisateur.


Rang Evolution Programme malicieux Nombre de PC infectés
1   0 Net-Worm.Win32.Kido.ih   48281  
2   0 Virus.Win32.Sality.aa   23156  
3   New not-a-virus:AdWare.Win32.Boran.z   16872  
4   -1 Trojan-Downloader.Win32.VB.eql   8030  
5   -1 Trojan.Win32.Autoit.ci   7846  
6   0 Virus.Win32.Virut.ce   6248  
7   -2 Worm.Win32.AutoRun.dui   5516  
8   0 Net-Worm.Win32.Kido.jq   5446  
9   -2 Virus.Win32.Sality.z   5157  
10   New Virus.Win32.Induc.a   4476  
11   -2 Worm.Win32.Mabezat.b   3982  
12   -2 Net-Worm.Win32.Kido.ix   3579  
13   -1 Packed.Win32.Klone.bj   3579  
14   New Trojan.Win32.Swizzor.b   3327  
15   New Packed.Win32.Katusha.b   3139  
16   -2 Worm.Win32.AutoIt.i   3076  
17   1 not-a-virus:AdWare.Win32.Shopper.v   2947  
18   New Trojan-Dropper.Win32.Flystud.yo   2745  
19   -2 Email-Worm.Win32.Brontok.q   2706  
20   New P2P-Worm.Win32.Palevo.jaj   2664  


6 nouveautés font leur entrée dans le premier Top 20 établi par les chercheurs de Kaspersky Lab au mois d'août, dont certains cas sont pour le moins étonnants :

  • Virus.Win32.Induc.a, mentionné à maintes reprises sur Viruslist.com. Pour rappel, Virus.Win32.Induc.a se multiplie à l'aide d'un mécanisme de création de fichiers exécutables en 2 étapes développé en Delphi. Le code source des applications traitées est d'abord compilé dans les modules .dcu intermédiaires, d'où sont formés ensuite les fichiers Microsoft Windows. Si l'on tient compte du nombre de logiciels à l'étape de la compilation infectés par ce virus, il n'est pas étonnant qu'il ait fait une entrée remarquée en 10ème place dès sa découverte.
  • not-a-virus:AdWare.Win32.Boran.z, un composant très répandu en Chine pour la barre d'outils Baidu Toolbar dans Internet Explorer, est entré directement en 3ème position du Top 20 établi par les chercheurs du Kaspersky Lab. Il exploite diverses technologies de rootkits pour compliquer la suppression de ce panneau par l'utilisateur à l'aide de méthodes traditionnelles.
  • Trojan.Win32.Swizzor.b et Packed.Win32.Katusha.b, que l'on retrouve respectivement en 14ème et 15ème place, sont les nouvelles versions de menaces déjà identifiées. Elles se distinguent par des améliorations par rapport aux anciennes méthodes d'obfuscation du code exécutable.
  • P2P-Worm.Win32.Palevo.ddm, apparu au mois de mai dernier, a remplacé son parent Palevo.jaj, qui se trouve en dernière position. Il faut dire qu'il s'agit d'un programme malveillant particulièrement dangereux : outre la diffusion via les réseaux d'échange de fichiers, il infecte les supports amovibles et se propage via les services de messagerie instantanée. De plus, il possède une fonction de porte dérobée qui permet au cybercriminel d'administrer en souplesse les ordinateurs infectés.
  • En conclusion, la plus forte sensation du mois fut l'apparition de Virus.Win32.Induc, qui a adopté une démarche innovante dans l'infection des ordinateurs.

    Le second Top 20 établi par les chercheurs de Kaspersky Lab repose sur les données obtenues via Antivirus Internet. Il permet d’identifier les programmes malveillants qui infectent les pages Web et les codes malicieux qui sont téléchargés depuis des pages malveillantes ou infectées.


    Rang Evolution Programme malicieux Nombre de pages web infectées
    1   New not-a-virus:AdWare.Win32.Boran.z   16760  
    2   1 Trojan-Downloader.HTML.IFrame.sz   5228  
    3   New Trojan.JS.Redirector.l   4693  
    4   -3 Trojan-Downloader.JS.Gumblar.a   4608  
    5   New Trojan-Clicker.HTML.Agent.w   4564  
    6   New Exploit.JS.DirektShow.k   4475  
    7   0 Trojan-GameThief.Win32.Magania.biht   4416  
    8   -4 Trojan-Downloader.JS.LuckySploit.q   3416  
    9   -7 Trojan-Clicker.HTML.IFrame.kr   3323  
    10   -4 Trojan-Downloader.JS.Major.c   2688  
    11   New Exploit.JS.Sheat.c   2684  
    12   New Trojan-Downloader.JS.FraudLoad.d   2553  
    13   -4 Trojan-Clicker.HTML.IFrame.mq   2367  
    14   -3 Trojan.JS.Agent.aat   2246  
    15   -3 Exploit.JS.DirektShow.j   2128  
    16   New Trojan-Downloader.JS.IstBar.bh   1973  
    17   New Trojan-Downloader.JS.Iframe.bmu   1933  
    18   New Exploit.JS.DirektShow.l   1838  
    19   New Exploit.JS.DirektShow.q   1753  
    20   New Trojan-Downloader.Win32.Agent.ckwd   1504  

    not-a-virus:AdWare.Win32.Boran.z, présent dans le premier Top 20 en 3ème position, gagne également la 1ère position de ce second Top 20.

    Il y a un mois, les chercheurs de Kaspersky Lab publiaient un article sur les vulnérabilités d'Internet Explorer dont le code d'exploitation avait été détecté par notre logiciel antivirus sous le nom Exploit.JS.DirektShow. 3 variantes de ce code d'exploitation (a, j et o) faisaient leur entrée dans le Top 20 du mois de juillet. Aujourd'hui, elles sont 4 ! Les cybercriminels supposent vraisemblablement que de nombreux utilisateurs n'aient pas encore installé le correctif correspondant et continuent ainsi d'attaquer le système via cette ouverture.

    Une autre vulnérabilité, présente dans Microsoft Office est fortement exploitée au mois d'août 2009 par les cybercriminels : une des variantes du code d'exploitation pour cette vulnérabilité détectée par notre Kaspersky Anti-Virus sous le nom Exploit.JS.Sheat occupe la 11ème place de ce Top 20.

    Internet est riche en pages qui proposent des solutions antivirales fictives. Un des scripts utilisé à cette fin figure en 12ème position de ce Top 20. Kaspersky Anti-Virus le détecte sous Trojan-Downloader.JS.FraudLoad.d. Lorsque l'utilisateur accède au site qui héberge ce script, il est averti que son ordinateur est infecté par de nombreux programmes malveillants et il est invité à les supprimer. Si l'utilisateur accepte, FraudTool, le logiciel antivirus fictif, est téléchargé sur l'ordinateur.

    La fonction du cheval de Troie Redirector.1 consiste à rediriger les requêtes de recherche de l'utilisateur vers certains serveurs afin d'augmenter le nombre de visite. Le téléchargeur Iframe.bmu est un conteneur typique reprenant plusieurs codes d'exploitation, notamment pour les logiciels Adobe.

    Les tendances de juillet se maintiennent : les cybercriminels utilisent toujours les vulnérabilités dans les applications les plus répandues. Les faux antivirus et les cliqueurs iframe sont toujours largement diffusés.

    Enfin, pour les chercheurs de Kaspersky Lab, en août 2009, le Top 5 des pays producteurs de menaces cybercriminelles par tentatives d’infections via Internet est le suivant :

    04.09.2009

Recommander cette page

Photos non contractuelles - © 1997 - 2014 Kaspersky Lab ZAO.

Tous droits réservés. La meilleure des technologies en matière de prévention des cyber-risques.