Classement des programmes malveillants - Février 2010 :La pollution numérique demeure éminemment liée aux vulnérabilités des applications les plus répandues

Classement des programmes malveillants - Février 2010 :La pollution numérique demeure éminemment liée aux vulnérabilités des applications les plus répandues

Les chercheurs de Kaspersky Lab établissent chaque mois leurs Tops 20 des programmes malveillants. Leur premier classement s’intéresse aux logiciels malveillants, publicitaires et potentiellement indésirables détectés et neutralisés dès l’analyse initiale sur les ordinateurs des Internautes. Le second classement dresse le panorama des menaces présentes sur Internet, à partir des résultats générés par le composant Antivirus Internet. Il inclut non seulement les malveillances hébergées sur les pages Web mais aussi celles téléchargées par les ordinateurs des Internautes depuis des sites Web.

Logiciels malveillants détectés dans les ordinateurs – Février 2010 :


Rang Evolution Programme malveillant Nombre d’ordinateurs infectés
1   0 Net-Worm.Win32.Kido.ir   274729  
2   1 Virus.Win32.Sality.aa   179218  
3   1 Net-Worm.Win32.Kido.ih   163467  
4   -2 Net-Worm.Win32.Kido.iq   121130  
5   0 Worm.Win32.FlyStudio.cu   85345  
6   3 Trojan-Downloader.Win32.VB.eql   56998  
7   New Exploit.JS.Aurora.a   49090  
8   9 Worm.Win32.AutoIt.tc   48418  
9   1 Virus.Win32.Virut.ce   47842  
10   4 Packed.Win32.Krap.l   47375  
11   -3 Trojan-Downloader.WMA.GetCodec.s   43295  
12   0 Virus.Win32.Induc.a   40257  
13   New not-a-virus:AdWare.Win32.RK.aw   39608  
14   -3 not-a-virus:AdWare.Win32.Boran.z   39404  
15   1 Worm.Win32.Mabezat.b   38905  
16   New Trojan.JS.Agent.bau   34842  
17   3 Packed.Win32.Black.a   32439  
18   1 Trojan-Dropper.Win32.Flystud.yo   32268  
19   Return Worm.Win32.AutoRun.dui   32077  
20   New not-a-virus:AdWare.Win32.FunWeb.q   30942  

A noter plus particulièrement, 2 logiciels espions font leur entrée au Top 20 des chercheurs de Kaspersky Lab :

Le logiciel publicitaire FunWeb.q, classé en 20ème position, s’apparente à une barre d'outils pour les navigateurs les plus utilisés. Il permet d'accéder rapidement aux ressources de sites Web déterminés (en général, avec qui intègrent des contenus multimédia). Afin d'afficher les publicités, il modifie également l'apparence des pages visitées par l'utilisateur.

Not-a-virus:AdWare.Win32.RK.aw (13ème place) est plus complexe. Dans ce cas, l'application Relevant Knowledge se propage et s'installe avec différentes applications. Le contrat d'utilisateur indique que l'application récolte automatiquement des données personnelles sur l'utilisateur, qu'il en surveille pratiquement la moindre activité, surtout sur Internet et qu'il les enregistre su son serveur. Le texte précise que les données recueillies sont utilisées exclusivement à des fins louables (« elles contribuent à forger l'avenir d'Internet » tout en étant soigneusement protégées. C’est là que la naïveté de l’utilisateur peut engendrer des effets pervers.

Logiciels malveillants sur Internet – Février 2010 :

Ce second classement établi par les chercheurs de Kaspersky Lab décrit la situation sur Internet, à partir des programmes malveillants découverts sur les sites ainsi que des codes malicieux qui ont tenté de se télécharger depuis les pages Web sur les ordinateurs des utilisateurs.


Rang Evolution Programme malveillant Nombre de tentatives uniques de téléchargement
1   Return Trojan-Downloader.JS.Gumblar.x   453985  
2   -1 Trojan.JS.Redirector.l   346637  
3   New Trojan-Downloader.JS.Pegel.b   198348  
4   3 not-a-virus:AdWare.Win32.Boran.z   80185  
5   -2 Trojan-Downloader.JS.Zapchast.m   80121  
6   New Trojan-Clicker.JS.Iframe.ea   77067  
7   New Trojan.JS.Popupper.ap   77015  
8   3 Trojan.JS.Popupper.t   64506  
9   New Exploit.JS.Aurora.a   54102  
10   New Trojan.JS.Agent.aui   53415  
11   New Trojan-Downloader.JS.Pegel.l   51019  
12   New Trojan-Downloader.Java.Agent.an   47765  
13   New Trojan-Clicker.JS.Agent.ma   45525  
14   New Trojan-Downloader.Java.Agent.ab   42830  
15   New Trojan-Downloader.JS.Pegel.f   41526  
16   Return Packed.Win32.Krap.ai   38567  
17   New Trojan-Downloader.Win32.Lipler.axkd   38466  
18   New Exploit.JS.Agent.awd   35024  
19   New Trojan-Downloader.JS.Pegel.k   34665  
20   New Packed.Win32.Krap.an   33538  

Gumblar.x occupe à nouveau la pole position, bien qu’il ait pratiquement disparu en janvier. La nouvelle attaque de Gumblar, évoquée par les chercheurs de Kaspersky Lab le mois dernier, a bien eu lieu. Les cybercriminels n'ont pas introduit de modifications radicales au code source. Ils ont simplement récolté de nouvelles données pour l'accès aux sites des utilisateurs afin de les infecter en masse. D’autres développements sont malheureusement prévisibles.


Nombre de sites Web infectés par Gumblar

Par ailleurs, l'épidémie de Pegel, qui avait débuté en janvier, a été pratiquement multipliée par 6. Les chercheurs de Kaspersky Lab n’identifient pas moins de 4 représentants de cette famille, dont entre au classement directement à la 3ème place. Ce téléchargeur, quelque peu semblable à Gumblar, infecte également des sites Web légitimes. Lorsque l'utilisateur accède à une page infectée, le script intégré le redirige vers les ressources des cybercriminels. Pour éviter d'éveiller les soupçons de l'utilisateur, ceux-ci utilisent le nom de sites populaires dans les adresses des pages malveillantes, par exemple :

http://friendster-com.youjizz.com.jeuxvideo-com.**********.ru:8080/sify.com/sify.com/pdfdatabase.com/google.com/allegro.pl.php

http://avast-com.deviantart.com.dangdang-com.**********.ru:8080/wsj.com/wsj.com/google.com/nokia.com/aweber.com.php

Un autre script est chargé via ces liens qui tente alors d’accéder de différentes manières au fichier exécutable principal. Globalement, ces méthodes sont traditionnelles : l'exploitation des vulnérabilités des logiciels Internet Explorer (CVE-2006-0003) et Adobe Reader (CVE-2007-5659, CVE-2009-0927), ainsi que le chargement à l'aide d'un applet Java spécial (application Java sous la forme de bytecode).

Le fichier exécutable principal est toujours le tristement célèbre Backdoor.Win32.Bredolab, compactés par différents outils malveillants (dont certains sont détectés comme Packed.Win32.Krap.ar et Packed.Win32.Krap.ao).

Enfin, en 9ème position, les chercheurs de Kaspersky Lab retrouvent Exploit.JS.Aurora, qui détecte le code d'exploitation de la vulnérabilité CVE-2010-0249 vulnerability, découverte le mois dernier après une attaque d'envergure ciblant plusieurs versions d'Internet Explorer.

L'attaque, qui a été décrite dans toutes les ressources en rapport avec les technologies de l'information, visait de grandes entreprises telles que Google et Adobe et fut baptisée Aurora sur la base du nom du répertoire utilisé par un des principaux fichiers exécutables. L'objectif était la récupération des données personnelles de l'utilisateur et de la propriété intellectuelle des entreprises comme les codes sources de projets. Cette attaque fut menée en diffusant des messages électroniques contenant des liens vers une page malveillante abritant le code d'exploitation dont l'exécution entrainait le téléchargement du fichier exécutable principal à l'insu de l'utilisateur.



Extrait d'une des versions d'Exploit.JS.Aurora.a

Il est intéressant de voir que les collaborateurs de Microsoft connaissaient l'existence de cette vulnérabilité plusieurs mois avant l'attaque et qu'elle fut rectifiée seulement un mois après son identification. Faut-il ajouter qu'au cours de février, le code source en fut rendu public… Seuls les cyber criminels les plus paresseux ne l’ont pas exploité ! La collection de Kaspersky Lab en compte déjà plus de 100 versions différentes…

Aujourd’hui, la menace principale pour les utilisateurs demeure les vulnérabilités dans les applications répandues. Les cyber criminels tirent toujours profit des vulnérabilités découvertes il y a quelques années déjà. Même si un utilisateur averti installe toutes les mises à jour des applications importantes, rien ne garantit que son ordinateur soit en sécurité tant que les éditeurs de telles applications ne diffuseront pas à temps leurs correctifs aux vulnérabilités identifiées. C'est la raison pour laquelle, en cas d'utilisation d'un ordinateur principalement sur Internet, il faut être prudent et utiliser, bien entendu, un logiciel antivirus avec les mises à jour les plus récentes.

11.03.2010

Recommander cette page

Photos non contractuelles - © 1997 - 2014 Kaspersky Lab ZAO.

Tous droits réservés. La meilleure des technologies en matière de prévention des cyber-risques.