Classement des programmes malveillants en mars 2010

Classement des programmes malveillants en mars 2010

Les chercheurs de Kaspersky Lab observent qu’un nombre croissant de programmes malveillants exploite la confiance des internautes, notamment les faux antivirus et les programmes bloqueurs.

Programmes malveillants détectés sur les ordinateurs des utilisateurs en mars 2010 :

Ce premier tableau liste les codes malicieux et les programmes potentiellement indésirables détectés et neutralisés sur les ordinateurs des utilisateurs au premier contact.


Rang Evolution Programme malicieux Nombre d’ordinateurs infectés
1   0 Net-Worm.Win32.Kido.ir   274729  
2   1 Virus.Win32.Sality.aa   179218  
3   1 Net-Worm.Win32.Kido.ih   163467  
4   -2 Net-Worm.Win32.Kido.iq   121130  
5   0 Worm.Win32.FlyStudio.cu   85345  
6   3 Trojan-Downloader.Win32.VB.eql   56998  
7   New Exploit.JS.Aurora.a   49090  
8   9 Worm.Win32.AutoIt.tc   48418  
9   1 Virus.Win32.Virut.ce   47842  
10   4 Packed.Win32.Krap.l   47375  
11   -3 Trojan-Downloader.WMA.GetCodec.s   43295  
12   0 Virus.Win32.Induc.a   40257  
13   New not-a-virus:AdWare.Win32.RK.aw   39608  
14   -3 not-a-virus:AdWare.Win32.Boran.z   39404  
15   1 Worm.Win32.Mabezat.b   38905  
16   New Trojan.JS.Agent.bau   34842  
17   3 Packed.Win32.Black.a   32439  
18   1 Trojan-Dropper.Win32.Flystud.yo   32268  
19   Return Worm.Win32.AutoRun.dui   32077  
20   New not-a-virus:AdWare.Win32.FunWeb.q   30942  

Parmi les modifications notables, les chercheurs de Kaspersky Lab observent l'apparition de trois versions du cheval de Troie Autorun. Comme déjà répertoriés il y a deux mois, il s'agit de fichiers autorun.inf qui contribuent à la diffusion via des lecteurs amovibles de P2P-Worm.Win32.Palevo et Trojan-GameThief.Win32.Magania.

De même, les chercheurs de Kaspersky Lab notent la présence d’une nouvelle variante du comportement Packed. Dans ce cas, Packed.Win32.Krap.as (en 13ème position) dissimule des pseudos antivirus. L'utilisation de compacteurs spéciaux de fichiers exécutables est une tendance très marquée ces derniers temps chez les cyber criminels.

Programmes malveillants sur Internet en mars 2010 :

Le deuxième tableau décrit la situation sur Internet. Il reprend les codes malicieux découverts dans les pages Web ainsi que les programmes malveillants qui ont tenté de se télécharger depuis les pages Web sur les ordinateurs des utilisateurs.


Rang Evolution Programme malicieux Nombre de tentatives uniques de téléchargement
1   Return Trojan-Downloader.JS.Gumblar.x   453985  
2   -1 Trojan.JS.Redirector.l   346637  
3   New Trojan-Downloader.JS.Pegel.b   198348  
4   3 not-a-virus:AdWare.Win32.Boran.z   80185  
5   -2 Trojan-Downloader.JS.Zapchast.m   80121  
6   New Trojan-Clicker.JS.Iframe.ea   77067  
7   New Trojan.JS.Popupper.ap   77015  
8   3 Trojan.JS.Popupper.t   64506  
9   New Exploit.JS.Aurora.a   54102  
10   New Trojan.JS.Agent.aui   53415  
11   New Trojan-Downloader.JS.Pegel.l   51019  
12   New Trojan-Downloader.Java.Agent.an   47765  
13   New Trojan-Clicker.JS.Agent.ma   45525  
14   New Trojan-Downloader.Java.Agent.ab   42830  
15   New Trojan-Downloader.JS.Pegel.f   41526  
16   Return Packed.Win32.Krap.ai   38567  
17   New Trojan-Downloader.Win32.Lipler.axkd   38466  
18   New Exploit.JS.Agent.awd   35024  
19   New Trojan-Downloader.JS.Pegel.k   34665  
20   New Packed.Win32.Krap.an   33538  

Les chercheurs de Kaspersky Lab observent l’apparition d’une nouvelle vulnérabilité d’Internet Explorer, dont le code d'exploitation a été très diffusé après un décryptage trop détaillé. Aujourd'hui, seuls les cyber criminels paresseux n'utilisent pas ce code d'exploitation dans leurs attaques. Deux versions sont identifiées dans ce Top 20 : Exploit.JS.CVE-2010-0806.i (2) et Exploit.JS.CVE-2010-0806.b (10).

A noter également une nouvelle vague de l'épidémie Gumblar. Outre l'ancienne version du téléchargeur détectée en tant que Gumblar.x en tête du classement, une mise à jour détectée sous le nom HEUR:Trojan-Downloader.Script.Generic est également présente.

Le code d'exploitation Aurora, déjà évoqué par les chercheurs de Kaspersky Lab en février 2010, est toujours utilisé activement par les cyber criminels, avec une progression de la 9ème à la 5ème position de leur Top 20.

L'étrange téléchargeur Twetti.a est de retour après deux mois d'absence. Comme dans le cas de Gumblar, les cyber délinquants ont marqué une petite pause avant de provoquer l'infection d'un grand nombre de sites à l'aide de ce programme malveillant.

Exploit.JS.Pdfka.bub fait son entrée directement à la 15ème place du classement de Kaspersky Lab. Ce fichier PDF malicieux est un composant d'une attaque par téléchargement à la dérobée dont le point de départ est Twetti.a.

Les chercheurs de Kaspersky Lab identifient aussi quatre nouveaux représentants des pages web modèles utilisées pour la diffusion de faux antivirus et de programmes bloqueurs : Trojan.HTML.Fraud.aj, Trojan.JS.FakeUpdate.ab, Trojan.HTML.Fraud.aq et Trojan.JS.FakeUpdate.aa.

Classement des premiers pays producteurs de tentatives d’infections via le Web en mars 2010 :

 

Parmi les attaques contre les utilisateurs, les plus fréquentes sont celles organisées via Internet à l'aide de vulnérabilités qui apparaissent régulièrement dans les applications les plus standards. Heureusement, ces vulnérabilités sont souvent supprimées rapidement par l'éditeur de l'application. Malheureusement, tous les utilisateurs n'installent pas nécessairement les correctifs en temps opportuns. Un nombre croissant de programmes malveillants exploite ainsi la confiance et l'inexpérience des internautes, notamment les faux antivirus et les programmes bloqueurs, largement diffusés par les cyber criminels en mars 2010.

06.04.2010

Recommander cette page

Photos non contractuelles - © 1997 - 2014 Kaspersky Lab

Tous droits réservés. La meilleure des technologies en matière de prévention des cyber-risques.