Aperçu de l'activité virale du mois d'août 2005

01 sept. 2005
Actualités Virus

RangEvolutionNomPourcentage des incidents viraux
1.Up+1Net-Worm.Win32.Mytob.c16.28
2.Down-1Email-Worm.Win32.NetSky.q11.38
3.No Change-Email-Worm.Win32.Zafi.b8.49
4.No Change-Email-Worm.Win32.Zafi.d5.98
5.Up+1Net-Worm.Win32.Mytob.bk4.45
6.Up+3Email-Worm.Win32.NetSky.b3.79
7.No Change-Email-Worm.Win32.NetSky.aa3.51
8.Up+7Email-Worm.Win32.LovGate.w3.38
9.Down-4Net-Worm.Win32.Mytob.be3.37
10.No Change-Net-Worm.Win32.Mytob.bi2.72
11.Up+5Net-Worm.Win32.Mytob.q2.60
12.Up+5Net-Worm.Win32.Mytob.t2.22
13.New!NouveauNet-Worm.Win32.Mytob.h2.04
14.Down-1Net-Worm.Win32.Mytob.u1.68
15.ReturnRé-entréeEmail-Worm.Win32.NetSky.t1.52
16.Down-5Net-Worm.Win32.Mytob.au1.51
17.Down-9Net-Worm.Win32.Mytob.bt1.25
18.ReturnRé-entréeNet-Worm.Win32.Mytob.r1.17
19.New!NewNet-Worm.Win32.Mytob.a1.15
20.New!NewNet-Worm.Win32.Mytob.bw1.15
Autres programmes malicieux (ne font pas partie du classement)20.36

Internet est devenu le théâtre de nombreuses cyber guerres. Certains groupes d'auteurs de virus s'acharnent à supprimer les virus des concurrents, « les ennemis », des machines infectées pour rester les seuls maîtres de la « machine zombie ». D'autres mènent des guerres qui provoquent un plantage commun de sites. On observe également l'activité de certains hackers qui attaquent depuis leurs pays d'origine les serveurs officiels d'un autre pays. Les répercussions de ces guerres se reflètent dans les classements viraux.

Depuis longtemps, on observe une lutte acharnée NetSky.q et Mytob, qui se disputent la tête du classement. Ces vers sont pourtant très différents, ont été créés à un an de différence, et exploitent différentes vulnérabilités. NetSky.q a déjà combattu les vers des familles Mydoom et Bagle, et aux vues des indicateurs actuels, il ressort vainqueur à chaque fois. Cependant, Mytob, qui contient les codes sources du premier Mydoom, s'avère être un adversaire de taille. Il ne fait aucun doute que la bataille que se livre Mytob et Netsky est le fait le plus remarquable de nos comptes-rendus viraux.

Sur 20 places du classement, 13 sont occupées par Mytob et 4 sont occupées par NetSky. Or, si l'on observe la première dizaine, il y presque égalité avec 4 Mytob et 3 NetSky.

L'apparition en juillet d' « anciens » vers - Zafi, Bagle, Mydoom n'est plus d'actualité. En août, ni Bagle ni Mydoom ne sont présents, seulement deux Zafi ont gardé leur position. Par contre, les Mytob ont pu reprendre leurs positions de juin étant donné que les trois nouveaux entrants de ce mois d'août ne sont autres que des vers Mytob.

Il est surprenant de voir que parmi les nouveaux Mytob se trouve la première variante, Mytob.a, qui, malgré le succès de ses clones n'avait jamais fait partie du classement. Il est probable qu'au début, il ne fut pas diffusé par des spams, mais par infection d'un petit nombre d'ordinateurs et a pu doucement prendre de l'ampleur. De tels cas se sont déjà présentés par le passé, et le numéro 8 de ce mois-ci, LovGate.w, en est un bon exemple. A ce propos, en juillet, nous prédisions que LovGate.w (alors en 15ème position) quitterait le top 20, il a, en fait, renforcé sa position en remontant de 7 points.

Un des petits nouveaux du classement, Mytob.h, est pour le moins étrange. Il fut détecté pour la première fois le 25 mars de cette année, et tout comme Mytob.a, est passé inaperçu des classements viraux. Il arrive néanmoins en 13ème place. Dans le cas actuel, nous avons une explication, Mytob.h fut compressé plusieurs fois à l'aide des archiveurs Morphine et MEW. En août, un auteur malicieux a recompressé le fichier original via d'autres archiveurs - Upack, UPX et FGS et a lancé trois nouvelles variantes. Ils sont évidemment tous détectés selon l'ancienne procédure de détection et sous la même appellation.

Notons aussi le cas de « Zotob ». Nous mettons cette appellation entre guillemets étant donné que dans les bases antivirus de Kaspersky Lab, ce virus n'existe pas. Des sociétés antivirus tierces usent de ce nom pour différents vers et bots n'ayant souvent rien en commun.

Il est évident que des vers de la famille Mytob ont été flanqué de l'appellation Zotob.a, b et c (selon la classification de Kaspersky Lab). Zotob.a correspond en fait à Mytob.cg, Zotob.b à Mytob.cf et Zotob.c à Mytob.ch.

La fonction de diffusion par messagerie n'est présente que dans Mytob.ch et cg, quant à la variante .cf, elle est capable de s'insérer dans un ordinateur uniquement via la vulnérabilité MS05-039.

Le 26 aout, une déclaration en provenance du Maroc annonçait l'arrestation de l'auteur présumé des vers en question, vers qui ont été écrit en collaboration avec un auteur de virus de Turquie, également arrêté. Dans le cas actuel, il y a une division distincte des responsabilités au sein du groupe criminel, l'un était chargé de l'écriture du virus tandis que l'autre s'occupait de sa diffusion sur Internet. Une série de media ont déclaré que ces vers ont causé l'épidémie virale qui a touché les sociétés de media américaines ABC et CNN. Cependant, nous supposons que les fautifs sont des vers de la famille Bozori, qui a utilisé la vulnérabilité MS05-039.

Aurait on constaté l'arrivée d'un de ces vers dans nos statistiques s'il avait possédé une fonction de diffusion par email ? Parmi eux, les seuls à avoir cette caractéristique sont Mytob.cg et .ch, or ces derniers ne tombent même pas dans les 40 premiers virus les plus diffusés dans le trafic de messagerie du mois d'aout.

Les autres programmes malicieux ont pris une place relativement importante dans le trafic viral global d'Internet (21.15%) ce qui témoigne d'une grande activité de la part de vers et programmes de Troie appartenant à d'autres familles.

Dans le top 20 des virus est apparu 3 nouveaux programmes malicieux: Mytob.h, Mytob.a, Mytob.bw

Sont revenus dans le classement: NetSky.t, Mytob.r

Sont montés dans le classement: Mytob.c, Mytob.bk, NetSky.b, LovGate.w, Mytob.q, Mytob.t

Ont baissé dans le classement: NetSky.q, Mytob.be, Mytob.u, Mytob.au, Mytob.bt

N'ont pas bougé dans le classement: Zafi.b, Zafi.d, NetSky.aa, Mytob.bi

  PARTAGER