Août 2009 : Kaspersky Lab constate à nouveau la capacité à innover des cybercriminels

04 sept.
Actualités Virus

Les chercheurs de Kaspersky Lab établissent chaque mois leurs Tops 20 des programmes malveillants à partir de données générées par Kaspersky Security Network et Antivirus Internet. En août 2009, ils notent que les cybercriminels font toujours plus preuve d’innovation dans l’invention de nouveaux codes malicieux.

Le premier Top 20 établit le classement des codes malicieux, programmes malveillants et logiciels publicitaires présentant un danger potentiel, détectés et neutralisés dès le premier contact, au déclenchement du composant d'analyse à la demande de Kaspersky Security Network.

L'utilisation des statistiques permet d'analyser les menaces les plus récentes, les plus dangereuses et les plus répandues bloquées au démarrage ou lors du téléchargement depuis Internet sur l'ordinateur de l'utilisateur.


RangEvolutionProgramme malicieuxNombre de PC infectés
1  top20_noch0Net-Worm.Win32.Kido.ih  48281  
2  top20_noch0Virus.Win32.Sality.aa  23156  
3  top20_newNewnot-a-virus:AdWare.Win32.Boran.z  16872  
4  top20_down-1Trojan-Downloader.Win32.VB.eql  8030  
5  top20_down-1Trojan.Win32.Autoit.ci  7846  
6  top20_noch0Virus.Win32.Virut.ce  6248  
7  top20_down-2Worm.Win32.AutoRun.dui  5516  
8  top20_noch0Net-Worm.Win32.Kido.jq  5446  
9  top20_down-2Virus.Win32.Sality.z  5157  
10  top20_newNewVirus.Win32.Induc.a  4476  
11  top20_down-2Worm.Win32.Mabezat.b  3982  
12  top20_down-2Net-Worm.Win32.Kido.ix  3579  
13  top20_down-1Packed.Win32.Klone.bj  3579  
14  top20_newNewTrojan.Win32.Swizzor.b  3327  
15  top20_newNewPacked.Win32.Katusha.b  3139  
16  top20_down-2Worm.Win32.AutoIt.i  3076  
17  top20_up1not-a-virus:AdWare.Win32.Shopper.v  2947  
18  top20_newNewTrojan-Dropper.Win32.Flystud.yo  2745  
19  top20_down-2Email-Worm.Win32.Brontok.q  2706  
20  top20_newNewP2P-Worm.Win32.Palevo.jaj  2664  


6 nouveautés font leur entrée dans le premier Top 20 établi par les chercheurs de Kaspersky Lab au mois d'août, dont certains cas sont pour le moins étonnants :

  • Virus.Win32.Induc.a, mentionné à maintes reprises sur Viruslist.com. Pour rappel, Virus.Win32.Induc.a se multiplie à l'aide d'un mécanisme de création de fichiers exécutables en 2 étapes développé en Delphi. Le code source des applications traitées est d'abord compilé dans les modules .dcu intermédiaires, d'où sont formés ensuite les fichiers Microsoft Windows. Si l'on tient compte du nombre de logiciels à l'étape de la compilation infectés par ce virus, il n'est pas étonnant qu'il ait fait une entrée remarquée en 10ème place dès sa découverte.
  • not-a-virus:AdWare.Win32.Boran.z, un composant très répandu en Chine pour la barre d'outils Baidu Toolbar dans Internet Explorer, est entré directement en 3ème position du Top 20 établi par les chercheurs du Kaspersky Lab. Il exploite diverses technologies de rootkits pour compliquer la suppression de ce panneau par l'utilisateur à l'aide de méthodes traditionnelles.
  • Trojan.Win32.Swizzor.b et Packed.Win32.Katusha.b, que l'on retrouve respectivement en 14ème et 15ème place, sont les nouvelles versions de menaces déjà identifiées. Elles se distinguent par des améliorations par rapport aux anciennes méthodes d'obfuscation du code exécutable.
  • P2P-Worm.Win32.Palevo.ddm, apparu au mois de mai dernier, a remplacé son parent Palevo.jaj, qui se trouve en dernière position. Il faut dire qu'il s'agit d'un programme malveillant particulièrement dangereux : outre la diffusion via les réseaux d'échange de fichiers, il infecte les supports amovibles et se propage via les services de messagerie instantanée. De plus, il possède une fonction de porte dérobée qui permet au cybercriminel d'administrer en souplesse les ordinateurs infectés.

  • En conclusion, la plus forte sensation du mois fut l'apparition de Virus.Win32.Induc, qui a adopté une démarche innovante dans l'infection des ordinateurs.

    Le second Top 20 établi par les chercheurs de Kaspersky Lab repose sur les données obtenues via Antivirus Internet. Il permet d’identifier les programmes malveillants qui infectent les pages Web et les codes malicieux qui sont téléchargés depuis des pages malveillantes ou infectées.


    RangEvolutionProgramme malicieuxNombre de pages web infectées
    1  top20_newNewnot-a-virus:AdWare.Win32.Boran.z  16760  
    2  top20_up1Trojan-Downloader.HTML.IFrame.sz  5228  
    3  top20_newNewTrojan.JS.Redirector.l  4693  
    4  top20_down-3Trojan-Downloader.JS.Gumblar.a  4608  
    5  top20_newNewTrojan-Clicker.HTML.Agent.w  4564  
    6  top20_newNewExploit.JS.DirektShow.k  4475  
    7  top20_noch0Trojan-GameThief.Win32.Magania.biht  4416  
    8  top20_down-4Trojan-Downloader.JS.LuckySploit.q  3416  
    9  top20_down-7Trojan-Clicker.HTML.IFrame.kr  3323  
    10  top20_down-4Trojan-Downloader.JS.Major.c  2688  
    11  top20_newNewExploit.JS.Sheat.c  2684  
    12  top20_newNewTrojan-Downloader.JS.FraudLoad.d  2553  
    13  top20_down-4Trojan-Clicker.HTML.IFrame.mq  2367  
    14  top20_down-3Trojan.JS.Agent.aat  2246  
    15  top20_down-3Exploit.JS.DirektShow.j  2128  
    16  top20_newNewTrojan-Downloader.JS.IstBar.bh  1973  
    17  top20_newNewTrojan-Downloader.JS.Iframe.bmu  1933  
    18  top20_newNewExploit.JS.DirektShow.l  1838  
    19  top20_newNewExploit.JS.DirektShow.q  1753  
    20  top20_newNewTrojan-Downloader.Win32.Agent.ckwd  1504  

    not-a-virus:AdWare.Win32.Boran.z, présent dans le premier Top 20 en 3ème position, gagne également la 1ère position de ce second Top 20.

    Il y a un mois, les chercheurs de Kaspersky Lab publiaient un article sur les vulnérabilités d'Internet Explorer dont le code d'exploitation avait été détecté par notre logiciel antivirus sous le nom Exploit.JS.DirektShow. 3 variantes de ce code d'exploitation (a, j et o) faisaient leur entrée dans le Top 20 du mois de juillet. Aujourd'hui, elles sont 4 ! Les cybercriminels supposent vraisemblablement que de nombreux utilisateurs n'aient pas encore installé le correctif correspondant et continuent ainsi d'attaquer le système via cette ouverture.

    Une autre vulnérabilité, présente dans Microsoft Office est fortement exploitée au mois d'août 2009 par les cybercriminels : une des variantes du code d'exploitation pour cette vulnérabilité détectée par notre Kaspersky Anti-Virus sous le nom Exploit.JS.Sheat occupe la 11ème place de ce Top 20.

    Internet est riche en pages qui proposent des solutions antivirales fictives. Un des scripts utilisé à cette fin figure en 12ème position de ce Top 20. Kaspersky Anti-Virus le détecte sous Trojan-Downloader.JS.FraudLoad.d. Lorsque l'utilisateur accède au site qui héberge ce script, il est averti que son ordinateur est infecté par de nombreux programmes malveillants et il est invité à les supprimer. Si l'utilisateur accepte, FraudTool, le logiciel antivirus fictif, est téléchargé sur l'ordinateur.

    La fonction du cheval de Troie Redirector.1 consiste à rediriger les requêtes de recherche de l'utilisateur vers certains serveurs afin d'augmenter le nombre de visite. Le téléchargeur Iframe.bmu est un conteneur typique reprenant plusieurs codes d'exploitation, notamment pour les logiciels Adobe.

    Les tendances de juillet se maintiennent : les cybercriminels utilisent toujours les vulnérabilités dans les applications les plus répandues. Les faux antivirus et les cliqueurs iframe sont toujours largement diffusés.

    Enfin, pour les chercheurs de Kaspersky Lab, en août 2009, le Top 5 des pays producteurs de menaces cybercriminelles par tentatives d’infections via Internet est le suivant :

    top20_august09_fr