Aperçu de l'activité virale en 2003.

Aperçu de l'activité virale en 2003.

Kaspersky Labs, concepteur de logiciels de sécurité informatique, présente l'aperçu annuel de l'activité des programmes malfaisants. Ce document contient des renseignements sur les plus grands incidents viraux ayant eu lieu en 2003, une estimation sur les tendances de création et de diffusion des virus, et, enfin, les pronostics de Kaspersky Labs pour le futur.

Général

L'année 2003 a été le cadre de 9 épidémies de grande envergure et de 26 épidémies de moindre envergure, ayant principalement un caractère local. En comparaison, en 2002, ces chiffres étaient de 12 et 34. Toutefois, parallèlement à la réduction de la quantité d'épidémies, on note une croissance exponentielle de leur envergure et une augmentation de leurs actions marginales influençant l'activité globale d'Internet.

Les grandes épidémies.

2003 a vu se dérouler deux épidémies globales, que l'on peut qualifier comme les plus importantes de toute l'histoire d'Internet. Il faut noter, qu'elles ont été provoquées, non pas par des classiques vers postaux, mais par leurs modifications : des vers de réseau se propageant sur le réseau par paquets de données.

Tout a commencé le 25 janvier, avec le ver de réseau Slammer (Helkern), qui profita de la vulnérabilité du système de gestion des bases de données Microsoft SQL Server, pour se propager. Slammer est le premier ver ' sans corps ', qui met en application la technologie de ver-flash, créée en 2001. En quelques minutes, ce 25 janvier, il contamina quelques centaines de milliers d'ordinateurs, à travers le monde. Il fut la cause d'une considérable augmentation du trafic Internet (40 % sur le réseau mondial et jusqu'à 80 % sur certains réseaux), allant même jusqu'à provoquer l'arrêt de ce dernier, dans certaines régions du monde. Il attaquait les ordinateurs par les ports 1433 et 1434, puis s'inscrivait dans la mémoire de l'ordinateur et non sur son disque dur. L'analyse du développement de cette épidémie laisse envisager qu'elle a pour origine l'est de l'Asie.

La deuxième grande épidémie a été causée par Lovesan (Blaster), le 12 août. Ce ver a mis en évidence, une fois de plus, la grande vulnérabilité du système d'exploitation Windows. Comme Slammer, pour se propager sur le réseau, Lovesan a profité d'une faille dans le système de sécurité du logiciel Microsoft : le service RPC DCOM. Cependant, à la différence du premier, seules les versions 2000 et XP furent touchées. Le résultat fut que pratiquement tous les utilisateurs se connectant à Internet, le jour de l'épidémie, subirent l'attaque de ce ver. Les jours qui suivirent virent l'apparition de 3 nouvelles modifications de ce ver. Puis, leur succéda Welchia, qui utilisait toujours la même faille, mais dont l'action était totalement différente. En effet, ce dernier traquait, sur les ordinateurs infectés, les copies de Lovesan, les supprimait et tentait d'installer le correctif pour le service RPC DCOM.

2003 fut le théâtre de multiples épidémies de vers postaux. En janvier, étaient découverts Ganda et Avron. Le premier, créé en Suède, est jusqu'à aujourd'hui, le ver postal le plus répandu sur le territoire scandinave. Son auteur fut arrêté, fin mars, par la police suédoise. Avron fut le premier ver, écrit sur le territoire de l'ex-URSS, déclenchant une épidémie mondiale. Son code source fut publié sur des sites de hackers, ce qui provoqua l'apparition de variantes, heureusement moins nocives.

Janvier vit aussi apparaître le premier ver de la famille Sobig, qui provoqua, par la suite, plusieurs incidents de grande envergure. La modification "F" battit, d'ailleurs, tous les records et devint le ver postal le plus répandu sur le réseau, de toute l'histoire d'Internet : à son apogée, il contamina 1 courrier électronique sur 20.
Il est important de remarquer, que ces programmes utilisent une technologie très dangereuse. En effet, le but principal des créateurs de la famille Sobig était de créer un réseau avec les ordinateurs infectés, pour lancer des attaques Dos sur plusieurs sites, choisis de façon arbitraire. Ils voulaient aussi utiliser ces mêmes machines au titre de serveurs de spam, pour diffuser illégalement le courrier électronique indésirable.

Tanatos.b fut aussi un événement important dans le domaine de la virologie informatique. Il fit son apparition, près d'un an après la version originale : Tanatos (Bugbear). Ce ver utilisait une faille dans le système de sécurité de Microsoft Outlook - la IFRAME-brèche - permettant le l'ouverture automatique du corps des lettres infectées.

Par la suite, la famille Lentin (Yaha) fit parler d'elle. Ces vers, écrits en Inde, par un groupe de hackers locaux, furent un pas en avant dans la ' guerre virtuelle ' opposant Indiens et Pakistanais. Les versions les plus répandues furent les ' M ' et ' O ', qui se propageaient par le biais de fichiers Zip joints aux courriers infectés.

Le deuxième ver, issu de l'ex-URSS, provoquant une épidémie globale, fut Mimail. Ce ver utilisait une faille dans Internet Explorer, pour infecter les ordinateurs. Cette faille, baptisée ' Mimail-based ', permettait d'exploiter le code binaire placé dans un fichier HTML pour installer le ver. Elle fut utilisée, pour la première fois, en mai 2003, en Russie, par Trojan.Win32.StartPage.L. La famille Mimail utilisa, par la suite, cette même faille. L'auteur de Mimail ayant publié son code source sur Internet, on vit apparaître, en novembre 2003, de nouvelles variantes, écrites notamment aux Etats-Unis et en France.

Le mois de septembre 2003 fut placé sous le signe du ver de réseau Swen. Ce dernier prenant la forme de mises à jour publiées par la société Microsoft, frappait plusieurs centaines de milliers d'ordinateurs, à travers le monde. Son auteur tirait profit de l'effroi qu'avaient causé Lovesan et Sobig. F : les utilisateurs, échaudés par ces récents incidents, installaient dans l'urgence toutes les mises à jours possibles, pour les produits Microsoft, et ce, sans vérifier leur provenance.

On ne peut pas passer sous silence deux autres épidémies. La première - Sober - fut causée par un simple ver postal dont le créateur allemand voulut imiter le leader de cette année 2003 : Sobig.f. La deuxième fut causée par le ver de type ' backdoor ' Afcore. Il ne causa pas énormément de dommages mais se fit remarquer par la technologie intéressante qu'il utilisait pour infecter les ordinateurs : l'inscription de son code dans les flux de données additionnels (Alternate Data Streams) du système de fichier NTFS. Et, il est encore plus intéressant de noter qu'Afcore utilisait les flux de données additionnels, non pas de fichiers, mais de catalogues.

Les 10 programmes malfaisants les plus répandus en 2003.

Position Nom Pourcentage des incidents viraux
1 I-Worm.Sobig 18,25%
2 I-Worm.Klez 16,84%
3 I-Worm.Swen 11,01%
4 I-Worm.Lentin 8,46%
5 I-Worm.Tanatos 2,72%
6 I-Worm.Avron 2,14%
7 Macro.Word97.Thus 2,02%
8 I-Worm.Mimail 1,45%
9 I-Worm.Hybris 1,12%
10 I-Worm.Roron 1,01%

Types de programmes malfaisants

Durant toute l'année, les vers de réseau ont monopolisé les premières places, devant les virus (notamment grâce aux macro-virus Macro.Word97.Thus et Macro.Word.Saver). Cependant, depuis l'automne, les chevaux de Troie ont supplanté ces mêmes virus.

Tendances

La tendance principale de cette année 2003 a été la domination totale des vers. A l'intérieur même de cette catégorie, on peut noter une forte croissance des vers de réseau qui ont pris le pas sur les classiques vers postaux. Kaspersky Labs pronostique la prolongation de cette tendance, ainsi qu'une éventuelle mutation de ce type de programmes. Dans cette optique, il est primordial, pour les utilisateurs d'ordinateurs individuels, de s'équiper non seulement d'un bon antivirus, mais également d'un pare-feu personnel.

Une grande peur a été provoquée par la détection de nombreuses failles dans la sécurité des systèmes d'exploitation et des applications. Alors qu'au cours des années précédentes, les programmes malfaisants utilisaient des failles connues depuis longtemps, pour les quelles des correctifs étaient déjà disponibles, 2003 a vu l'apparition de programmes utilisant des failles n'ayant, alors, pas encore fait l'objet de correctifs. L'underground informatique a rapidement compris que l'exploitation de ces failles était le moyen le plus efficace de contamination des ordinateurs, et, de ce fait, a largement exploité ce filon. Dans les faits, les créateurs de virus reçoivent rapidement les informations sur la découverte de nouvelles failles et élaborent, dans la foulée, des virus qui en tirent profit. Le 20 mai 2003, débutait l'épidémie StartPage, qui infectait les ordinateurs par une faille - Exploit.SelfExecHtml - pour laquelle aucun correctif n'avait été élaboré. C'est pourquoi, il n'est pas exclu de penser que dans l'avenir, nous découvrirons de nouvelles failles, non pas grâce à la réalisation de nouveaux correctifs, mais à cause de l'apparition de nouveaux virus sachant les exploiter.

2003 brisa une des tendances de l'année précédente, durant laquelle on avait surtout observé l'apparition de virus s'attaquant aux nouveaux systèmes d'exploitations et aux nouvelles applications. Souvenons nous, qu'à l'époque, les principales victimes des virus étaient, notamment, les serveurs SQL et les systèmes d'échange de fichiers P2P (Kazaa). Cette fois l'appétit des créateurs de virus se limita au système cartographique MapInfo : le virus d'origine russe MBA.Kynel, écrit en langage MapBasic, contaminait les documents de ce type. Il fut d'ailleurs découvert à ' l'état sauvage ' par les experts de Kaspersky Labs.

La seconde tendance de l'année 2002, résidant dans l'augmentation considérable du nombre de programmes de type Backdoor (utilitaires de prise de commande à distance) et de logiciels espions (spyware), se prolongeait en 2003. Les principaux représentants de cette classe de programmes furent Backdoor.Agobot et Afcore. Le premier existe maintenant dans plus de quarante variantes diverses. En effet, son auteur a réussi à créer un réseau de quelques sites Internet et canaux IRC, sur lesquels, en échange d'une certaine somme (150 dollars US), n'importe qui peut acheter une version exclusive du programme, spécialement créé en fonction de ses besoins.

La nouvelle tendance de l'année 2003 est l'apparition soudaine, à la fin de l'été, d'un nouveau type de chevaux de Troie : les TrojanProxy, qui, comme leur nom l'indique, infectent les serveurs Proxy. Ce fut le premier et le plus évident des signes de l'alliance conclue entre les programmeurs de virus et les auteurs de spam. Les ordinateurs infectés servent, ensuite, à diffuser du spam, et ce, à l'insu de leur propriétaire. Les spammers sont également impliqués dans plusieurs grosses épidémies, du fait que la diffusion initiale du code malicieux ait été effectuée à l'aide des mêmes technologies que celles employées par le spam. Sobig en est le parfait exemple.

Un deuxième type de programmes apparentés aux vers de réseau a connu une large expansion. Il s'agit de programmes utilisant les mots de passes pour se transmettre à distance. Ils sont, en général, basés sur des clients IRC (Internet Relay Chat). Ils scannent les adresses des utilisateurs de canaux IRC puis tentent de pénétrer sur leurs ordinateurs, en utilisant le protocole NetBIOS et le port 445. Le plus dangereux représentant de cette famille est Randon.

On peut dire, en conclusion, que la technologie de retro-virus prend une place de plus en plus considérable au sein des programmes malfaisants. Cette particularité sous-entend la présence de fonctions intégrées de protection contre les programmes antiviraux et contre les pare-feu, telles que l'inscription de leur code dans la mémoire de l'ordinateur. Swen, Lentin et Tanatos possèdent de telles fonctions.

19.12.2003

Recommander cette page

Photos non contractuelles - © 1997 - 2014 Kaspersky Lab

Tous droits réservés. La meilleure des technologies en matière de prévention des cyber-risques.