Aperçu de l'activité virale du mois de juillet 2005

01 août 2005
Actualités Virus

Rang Evolution Nom Pourcentage des incidents viraux
1. Up+1 Email-Worm.Win32.NetSky.q 14.67
2. Down-1 Net-Worm.Win32.Mytob.c 13.58
3. Up+5 Email-Worm.Win32.Zafi.b 8.01
4. Down-1 Email-Worm.Win32.Zafi.d 6.54
5. Down-1 Net-Worm.Win32.Mytob.be 6.12
6. No Change0 Net-Worm.Win32.Mytob.bk 6.07
7. Down-2 Email-Worm.Win32.NetSky.aa 4.41
8. New!Nouveau! Net-Worm.Win32.Mytob.bt 2.65
9. Down-1 Email-Worm.Win32.NetSky.b 2.52
10. Up+8 Net-Worm.Win32.Mytob.bi 2.11
11. Up+3 Net-Worm.Win32.Mytob.au 1.85
12. ReturnRé-entrée Email-Worm.Win32.NetSky.d 1.73
13. Down-1 Net-Worm.Win32.Mytob.u 1.62
14. Down-4 Net-Worm.Win32.Mytob.ar 1.59
15. Down-8 Email-Worm.Win32.LovGate.w 1.59
16. Down-5 Net-Worm.Win32.Mytob.q 1.37
17. Down-1 Net-Worm.Win32.Mytob.t 1.30
18. Down-1 Email-Worm.Win32.Mydoom.l 1.20
19. ReturnRé-entrée Email-Worm.Win32.Mydoom.m 1.17
20. ReturnRé-entrée Email-Worm.Win32.Bagle.ah 1.04
Autres programmes malicieux (ne font pas partie du classement) 18.86

Il se passe parfois des choses étonnantes dans le monde informatique. Alors que l'on a le sentiment que de nouvelles vagues de vers font disparaître petit à petit les « vétérans » des classements précédents, ces derniers reviennent en bonne position sans crier gare.

C'est exactement ce qui s'est passé au mois de juillet. Pendant 3 mois, Mytob.c paradait au sommet du top 20 des virus, détrônant le leader de 2004 - NetSky.q. De nouvelles variantes du ver Mytob surgissaient de toutes parts et à ce rythme, le classement menaçait d'être exclusivement composé de vers Mytob.

Tout a changé brusquement. NetSky.q a de nouveau repris la tête du classement, marquant à sa façon le jugement de son auteur Sven Jashan, qui s'en sort avec une peine avec sursis. En dépit du fait qu'un nouveau représentant de Mytob soit apparu dans le classement viral, au total leur nombre est passé de 13 à 10. Ils ont été dépassés non pas par de nouveaux vers, mais par les « vétérans » des familles classiques telles que Bagle, Zafi, Mydoom et Netsky.

Cela fait deux mois maintenant que Zafi ne cesse de nous étonner. En juin, Zafi.d a gagné 6 places pour arriver en 3ème position. Et la même chose s'est produite en juillet avec Zafi.b. Il a grimpé de 5 points et se retrouve en 3ème position. Deux vers polyglottes vétérans (ils diffusent des messages infectés dans plus de 15 langues différentes) se trouvent désormais parmi les cinq premiers. Des changements pour le moins inattendus et nous n'avons pour l'instant pas d'explications à ce phénomène.

On observe un seul nouveau dans le classement et il s'agit de Mytob.bt. La variante .bt ne diffère pratiquement pas de ses prédécesseurs. Les auteurs de Mytob (qui se font appeler “HELLBOT”) continuent d'expérimenter les programmes compresseurs, s'efforçant ainsi d'échapper aux détections antivirus ou bien modifient simplement une fonction, ainsi que la liste de canaux IRC utilisés pour l'administration (étant donné que les anciens sont fermés de manière efficace par les administrateurs des serveurs IRC).

Les représentants de Mytob occupent largement la première dizaine du classement avec les places 2, 5, 6, 8 et 10. Mytob.bi, qui ferme la marche à la dixième place, est un des leaders ce mois-ci pour sa montée fulgurante dans le classement - plus 8 places. LovGate.w. a lui par contre perdu 8 places. Si cette descente s'accentue, alors le mois prochain, le ver coréen LovGate.w sera absent du classement.

Venons-en à l'évènement le plus intéressant de ce mois-ci - le retour d'un trio de vers célèbres dans le classement. Ils sont la cause principale de la chute de Mytob et se sont appropriés trois places occupées par Mytob. NetSky.d arrive en tête. Enregistré pour la dernière fois en mai en 15ème position, en juin il quittait définitivement le classement des 20 programmes malicieux les plus répandus dans le trafic Internet. Finalement, il revient triomphalement aujourd'hui à la 12ème place. Les quatre représentants de la famille Netsky se trouvent en première, septième, neuvième et douzième positions. Il ne reste qu'à s'étonner une fois de plus de la clémence du tribunal allemand, condamnant Sven Jashan à seulement 18 mois de prison avec sursis et 30 heures de travaux d'intérêt général.

Les deux autres vers à avoir effectuer un retour dans le classement, sont en bout de course aux 19ème et 20ème places. Il n'est pas exclu que si Mytob continue à décroitre, ils soient en mesure de progresser dans le top 20 des virus.

Mydoom.m est un des anciens de la famille Mytob. Ils s'appuient tous sur les mêmes codes sources de Mydoom.a, et sont l'exemple représentatif des conséquences liées aux publications de codes sources sur Internet. Ce n'est pas moins dangereux qu'une simple diffusion d'un ver ou d'un virus puisque cela donne l'occasion à un bon nombre d'auteurs de virus d'utiliser des codes sources pour leurs programmes malicieux. Qui sait, si en février 2004 les codes sources de Mydoom n'avaient pas été diffusés sur Internet par son auteur, quelle serait la situation virale d'aujourd'hui ? Il est évident que de nouveaux Mydoom et Mytob ne se seraient pas trouvés dans le classement.

Le classement se termine sur Bagle avec la version .ah. Bagle avait été identifié il y a tout juste un an, en juillet 2004. Encore un sursaut d'activité inexplicable d'un virus ancien et bien connu.

Les autres programmes malicieux ont pris une place relativement importante dans le trafic viral global d'Internet (18.86%) ce qui témoigne d'une grande activité de la part de vers et programmes de Troie appartenant à d'autres familles.

Dans le top 20 des virus est apparu 1 nouveau programme malicieux : Mytob.bt

Sont revenus dans le classement: NetSky.d, Mydoom.m, Bagle.ah

Sont montés dans le classement: NetSky.q, Zafi.b, Mytob.bi, Mytob.au

Ont baissé dans le classement: Mytob.c, Zafi.d, Mytob.be, NetSky.aa, NetSky.b, Mytob.u, Mytob.ar, LovGate.w, Mytob.q, Mytob.u, Mytob.t, Mydoom.l

N'ont pas bougé dans le classement: Mytob.bk

  PARTAGER