Aperçu du Top 20 Online du mois d'avril 2006

28 avr. 2006
Actualités Virus

RangEvolutionNomPourcentage
1.New!Nouveau!Trojan-Downloader.Win32.Delf.alf3.84
2.New!Nouveau!Trojan-PSW.Win32.LdPinch.akv3.43
3.No Change-Trojan-Spy.Win32.Banker.ark2.67
4.Up+1Trojan-Downloader.Win32.Small.axy1.71
5.Up+9Trojan-Downloader.Win32.Agent.xz1.63
6.No Change-Trojan-Spy.Win32.Banker.anv1.30
7.New!Nouveau!Trojan-Downloader.Win32.Delf.ake1.16
8.New!Nouveau!Email-Worm.Win32.Rays0.77
9.Down-2Trojan-Spy.Win32.Bancos.ha0.66
10.New!Nouveau!Packed.Win32.Tibs0.57
11.New!Nouveau!Trojan.Win32.Agent.qt0.57
12.New!Nouveau!Virus.VBS.Redlof.a0.55
13.ReturnRe-entreeVirus.Win32.Hidrag.a0.54
14.Down-5not-a-virus:Porn-Dialer.Win32.PluginAccess.gen0.54
15.New!Nouveau!Trojan-Downloader.Win32.Harnig.bh0.53
16.Down-4not-a-virus:PSWTool.Win32.RAS.a0.53
17.New!Nouveau!Trojan-Downloader.Win32.Harnig.bg0.52
18.Down-2Exploit.HTML.CodeBaseExec0.52
19.New!Nouveau!not-a-virus:Monitor.Win32.Perflogger.ad0.50
20.ReturnRe-entreeBackdoor.Win32.Rbot.gen0.50
Autres programmes malicieux76.96

Le Top 20 OnLine de Kaspersky Lab est un classement complet avec une image exhaustive de la propagation des programmes malicieux. Il repose sur l’analyse de donnees recueillies via OnLine Scanner, service gratuit accessible 7 jours / 7 et 24 heures / 24 sur www.kaspersky.fr en France. OnLine Scanner effectue un check-up complet de l’ordinateur, identifie les fichiers infectes et evite les pannes.

Principaux points :

  • Sont montes dans le classement : Trojan-Downloader.Win32.Small.axy, Trojan-Downloader.Win32.Agent.xz.
  • Ont baisse dans le classement : Trojan-Spy.Win32.Bancos.ha, not-a-virus:Porn-Dialer.Win32.PluginAccess.gen, not-a-virus:PSWTool.Win32.RAS.a, Exploit.HTML.CodeBaseExec.
  • N'ont pas bouge dans le classement : Trojan-Spy.Win32.Banker.ark, Trojan-Spy.Win32.Banker.anv.
  • Sont apparus dans le classement : Trojan-Downloader.Win32.Delf.alf, Trojan-PSW.Win32.LdPinch.akv, Trojan-Downloader.Win32.Delf.ake, Email-Worm.Win32.Rays, Packed.Win32.Tibs, Trojan.Win32.Agent.qt, Virus.VBS.Redlof.a, Trojan-Downloader.Win32.Harnig.bh, Trojan-Downloader.Win32.Harnig.bg, not-a-virus:Monitor.Win32.Perflogger.ad.
  • Sont revenus dans le classement : Virus.Win32.Hidrag.a, Backdoor.Win32.Rbot.gen.

Analyse et statistiques :

Les statistiques des resultats de l’analyse des fichiers via le online scanner presentent l’avantage de donner une image precise des menaces virales actuelles. Dans le cas des donnees recoltees sur les serveurs de courrier, nous obtenons une image des menaces virales qui ont ete detectes et arretees avant qu’elles n’atteignent la machine de l’utilisateur final. Ici, nous avons affaire aux virus qui sont deja installes sur les ordinateurs des internautes.

En avril, les programmes de Troie espions et l’adware sont toujours presents toujours dans le classement.

Le leader n’est plus le meme ce qui est bien normal vu la nature de ces statistiques. Etant donne le grand nombre de differents virus et leur courte duree de vie, on assiste a une rotation permanente dans le classement, ou les leaders du mois n’ont pas le meme impact que les leaders du top 20 des virus de courrier par exemple. Ce mois-ci, Trojan-Downloader.Win32.Delf.alf obtient un indice superieur de 3% seulement, par rapport au detenteur de la derniere place.

Pour le deuxieme mois consecutif, la principale menace reste Trojan LdPinch. Il y a quelques annees deja que nous observons son evolution – passant du voleur de mot de passe primitif a la backdoor multifonctionnelle. Le grand nombre de ces variantes (et la frequence de l’apparition de nouvelles) s’explique par le fait que le groupe d’auteur de LdPinch. a organise tout un reseau criminel base sur la creation de nouvelles versions de LdPinch pour n’importe quel commanditaire. Une foule de script-kiddies, incapables d’ecrire deux lignes de codes, sont ravis de pouvoir se procurer leur propre Trojan « exclusif ». LdPinch.akv, qui occupe ce mois-ci la deuxieme place, est directement lie au leader Trojan-Downloader.Win32.Delf.alf. Delf.alf s’est diffuse massivement par courrier, puis, s’installant sur la machine des victimes, a telecharge LdPinch.akv depuis le reseau. La classe des Trojan-Downloader reste la plus importante – trois d’entre eux se trouvent parmi les cinq premiers.

La troisieme et la sixieme place sont occupees par deux logiciels espions, qui derobent les donnees bancaires des utilisateurs – il s’agit de Banker.ark, Banker, anv. Ces trojans s’averent etre des habitues du classement, et il semble que leurs positions elevees soient le resultat de l’aide des Trojan-Downloader.

La huitieme place du ver de courrier Rays est pour le moins surprenante d’autant qu’il ne se trouve pas dans le classement des virus de courrier. Qui plus est, ce ver est relativement ancien et n’a jamais pris part a des epidemies remarquees sur Internet.

Hidrag.a et Redlof.a sont une decouverte des plus interessantes. Ce n’est pas la premiere fois que nous les rencontrons, et ils rentrent dans le nombre des programmes malicieux les plus repandus dans le monde. Leur cas montre que les virus classiques restent une menace serieuse. Leur faible vitesse de propagation (comparee aux vers) est facilement compensee par le grand nombre de fichiers infectes et les difficultes de traitement du systeme apres infection.

VBS.Redlof.a, en douzieme position, est un virus ecrit en Visual Basic Script. En plus de l’infection traditionnelle des fichiers html, il emploie une methode interessante de propagation a l’interieur de la machine. Il infecte le fichier de configuration d'Internet Explorer pour l'affichage de repertoires – l’index.htt et s’active lors d’une simple requete vers le repertoire. Autrement dit, pour que le virus commence l’infection, il suffit d’entrer dans le catalogue sans pour autant lancer le fichier infecte. Grace a l’infection de fichiers html, Redlof.a a reussi a s’infiltrer sur Internet – les fichiers infectes peuvent se presenter sous forme de sites Web. En consequence de quoi, il infectera les visiteurs de ces sites.

Hidrag.a s’avere quant a lui etre un virus typique, il infecte les fichiers executables et cela lui a suffit a s’infiltrer sur de nombreux CD pirates de programmes et de jeux, ce qui a provoque sa diffusion a une echelle mondiale.

En conclusion, on ne peut pas ne pas remarquer l’absence totale du ver Polip (ou encore Polipos), pourtant denonce haut et fort par plusieurs editeurs d’antivirus. Malgre les declarations concernant une large diffusion dans les reseaux P2P et de nombreux cas d’infections, on s’apercoit qu’en realite, les trojans espions comme LdPinch ou Banker representent une bien plus grande menace. De plus, les reseaux P2P ont depuis longtemps cesse d’etre l’unique et principale source d’infection pour des raisons que nous evoquerons probablement dans le rapport prochain.

  PARTAGER