Classement des programmes malveillants, juin 2010 : les informations confidentielles sont de plus en plus recherchées

Classement des programmes malveillants, juin 2010 : les informations confidentielles sont de plus en plus recherchées

Programmes malveillants découverts sur les ordinateurs des utilisateurs :

Le premier tableau reprend les programmes malveillants et potentiellement indésirables découverts et neutralisés sur les ordinateurs des utilisateurs au premier contact :

Rang Evolution Programme malveillant Nombre d’ordinateurs infectés
1   0 Net-Worm.Win32.Kido.ir   304259  
2   0 Virus.Win32.Sality.aa   193081  
3   0 Net-Worm.Win32.Kido.ih   175811  
4   0 Net-Worm.Win32.Kido.iq   141243  
5   new Exploit.JS.Agent.bab   134868  
6   -1 Trojan.JS.Agent.bhr   130424  
7   -1 Worm.Win32.FlyStudio.cu   102143  
8   -1 Virus.Win32.Virut.ce   69078  
9   -1 Trojan-Downloader.Win32.VB.eql   57578  
10   -1 Worm.Win32.Mabezat.b   47548  
11   new P2P-Worm.Win32.Palevo.fuc   44130  
12   -2 Trojan-Dropper.Win32.Flystud.yo   40081  
13   new Worm.Win32.VBNA.b   33235  
14   0 Trojan.Win32.Autoit.ci   32214  
15   2 Trojan-Downloader.Win32.Geral.cnh   31525  
16   -5 Worm.Win32.AutoIt.tc   30585  
17   -5 Packed.Win32.Krap.l   29149  
18   new Trojan.Win32.AutoRun.aje   25890  
19   return Email-Worm.Win32.Brontok.q   25183  
20   new Trojan.Win32.Autorun.ke   24809  

Le premier Top 10 du classement des programmes malveillants neutralisés sur les ordinateurs des utilisateurs n'a pratiquement pas évolué.

Les 4 premières places sont toujours occupées par le ver de réseau Kido et le virus Sality.

La seule modification enregistrée par rapport au mois de mai est l'apparition en 5ème position d'un nouveau code d'exploitation : Agent.bab qui a décalé d'une position vers le bas les 6 programmes malveillants suivants. Exploit.JS.Agent.bab est présenté en détails ci-après.

La 11ème position est occupée par une nouvelle modification du populaire P2P-Worm.Palevo. Palevo.fuc recherche les informations confidentielles saisies par l'utilisateur dans la fenêtre du navigateur. Un des principaux modes de diffusion de ce ver sont les applications qui permettent d'échanger des fichiers dans les réseaux « Peer-to-Peer ». Voici une brève liste des applications utilisées par le ver : BearShare, iMesh, Shareaza, eMule, etc. Après avoir créé plusieurs copies dans les dossiers qui abritent les fichiers téléchargés ou à partager, il attribue à ces copies des noms qui suscitent l'attention dans le but d'attirer des victimes. La copie multiple dans les dossiers réseau et les dossiers partagés, l'envoi de liens pour le téléchargement via les clients de messagerie instantanée, l'infection de tous les médias possibles à l'aide de Trojan.Win32.Autorun sont autant de modes de diffusion de P2P-Worm.Win32.Palevo.fuc.

Deux nouveaux représentants de la famille Trojan.Win32.Autorun, en 18ème et en 20ème places, ont infecté au moins 50 000 médias amovibles. Ces 2 programmes malveillants sont des fichiers autorun.inf qui lancent le ver présent sur ce même support après la connexion du périphérique infecté.

Et pour conclure, Worm.Win32.VBNA.b (13ème place). Ce programme a été développé en Visual Basic et appartient à la catégorie des compacteurs malveillants.

Programmes malveillants sur Internet

Le deuxième tableau décrit la situation sur Internet. Ce classement reprend les programmes malveillants découverts dans les pages Web ainsi que ceux qui ont tenté de se télécharger depuis les pages Web sur les ordinateurs des utilisateurs :


Rang Evolution Programme malveillant Nombre de tentatives uniques de téléchargement
1   0 Trojan-Clicker.JS.Iframe.bb   490331  
2   new Exploit.JS.Agent.bab   341085  
3   return Trojan-Downloader.JS.Pegel.b   220359  
4   -2 Exploit.Java.CVE-2010-0886.a   214968  
5   0 Trojan.JS.Agent.bhr   77837  
6   new Exploit.JS.Pdfka.clk   74592  
7   0 not-a-virus:AdWare.Win32.FunWeb.q   65550  
8   new Exploit.JS.Pdfka.ckp   59680  
9   new Worm.Win32.VBNA.b   57442  
10   1 Trojan-Clicker.JS.Agent.ma   54728  
11   new Hoax.HTML.FakeAntivirus.f   50651  
12   new not-a-virus:AdWare.Win32.FunWeb.ds   49720  
13   -5 Exploit.JS.CVE-2010-0806.i   48089  
14   new Exploit.JS.Pdfka.clm   45489  
15   0 not-a-virus:AdWare.Win32.Shopper.l   44913  
16   0 Trojan.JS.Redirector.l   43787  
17   -8 Exploit.JS.CVE-2010-0806.b   39143  
18   new Trojan.JS.Agent.bky   36481  
19   new Trojan.JS.Fraud.af   35410  
20   -17 Trojan.JS.Redirector.cq   35375  

Malgré les changements notables dans le classement, 5 participants, dont le leader, ont conservé leur position.

Le retour inattendu de Trojan-Downloader.JS.Pegel.b, que l'on retrouve en 3ème position, rappelle la situation que nous décrivions en avril vis-à-vis de Trojan-Downloader.JS.Gumblar.x.

La dernière pointe d'activité de Pegel remonte au mois de février de cette année lorsque 7 membres de la famille Pegel menés par la modification Pegel.b ont occupé différentes positions au sein du classement des programmes malveillants sur Internet.

Pegel.b était associé à l'utilisation de différents codes d'exploitation du format PDF ou le code d'exploitation Java CVE-2010-0886, que nous avons évoqué le mois dernier.

Outre les téléchargeurs de scripts Pegel et Gumblar, on retrouve des scripts très simples mais très répandus que les cybercriminels utilisent également pour infecter les sites. L'un d'entre eux est Trojan.JS.Agent.bky (18ème position). La taille de son code était en moyenne de 0x3B octets ou 59 caractères. Sa seule action consiste à télécharger le code malveillant principal depuis l'URL définie.

Le « nouvel » ancien code d'exploitation Agent.bab s'est retrouvé en 2ème position et il a été détecté plus de 340 000 fois. Le programme malveillant utilise l'ancienne vulnérabilité CVE-2010-0806 et télécharge plusieurs programmes malveillants sur l'ordinateur de la victime. Le scénario que nous connaissons déjà se reproduit : Trojan-Downloaader.Win32.Geral et Rootkit.Win32.Agent, Backdoor.Win32.Hupigon, puis Trojan-GameTheif.Win32.Maganiz, Trojan-GameTheif.Win32.WOW, etc.

On retrouve également 3 nouvelles modifications Exploit.JS.Pdfka dans le classement (6ème, 8ème et 14ème position). On dirait que les programmes malveillants de cette famille ne vont jamais quitter notre classement et les mises à jour diffusées par Adobe s'accompagneront toujours de nouvelles variantes de ce code d'exploitation. Ces 3 modifications téléchargent différents programmes malveillants, sans qu'un groupe en particulier ne se distingue.

Ces derniers temps, nous avons découvert de nombreuses pages Web qui signalent la présence sur l'ordinateur de divers programmes malveillants et qui proposent de réparer rapidement l'ordinateur. La fenêtre du navigateur évoque la fenêtre « Poste de travail » où la recherche de virus a lieu. À la fin de cette « analyse », l'utilisateur, du moindre clic de la souris, même pour fermer la page, entraîne le téléchargement d'un « antivirus » qui, dans la majorité des cas est un représentant de la famille Trojan-Ransom ou Trojan.Win32.FraudPack lui-même. Ces pages sont connues des utilisateurs des logiciels de Kaspersky Lab sous le nom de Hoax.HTML.FakeAntivirus.f et Trojan.JS.Fraud.af.

 

Les programmes potentiellement indésirables n'échappent pas à notre classement. Nous en voulons pour preuve l'entrée en 12ème position de la nouvelle modification Adware.Win32.FunWeb.ds. Le but poursuivi par ce logiciel est de collecter des informations sur les recherches lancées par l'utilisateur. Une partie de ces informations est exploitée par un système d'affichage de bannières publicitaires et d'autres messages qui apparaissent pendant la consultation d'Internet.

Les données confidentielles sont particulièrement attrayantes pour la majorité des escrocs. Le perfectionnement de diverses technologies de compactage des applications malveillantes, des méthodes de diffusion, la découverte de nouvelles vulnérabilités, l'utilisation de formes de plus en plus rusées d'hameçonnage et d'ingénierie sociale, sont autant de méthodes utilisées par les auteurs de virus pour développer leurs attaques. Et bien que les éditeurs de logiciels antivirus soient toujours attentifs, les utilisateurs doivent également être prudents. Car ce que vous cherchez chaque jour sur Internet et la méthode par laquelle vous procédez peut indiquer à un tiers qui vous êtes.

Pays où ont été enregistrées le plus de tentatives d’infection via le Web :

05.07.2010

Recommander cette page

Photos non contractuelles - © 1997 - 2014 Kaspersky Lab

Tous droits réservés. La meilleure des technologies en matière de prévention des cyber-risques.