Classement des programmes malveillants – décembre 2008

02 janv. 2009
Actualités Virus

Virus.Win32.Alman.b, voleur de mots de passe de jeux en ligne, enregistre un bond de 10 places.

Au mois de décembre 2008, notre nouvelle technologie Kaspersky Security Network (KSN) a mis en évidence une modification de taille dans la composition des programmes malveillants les plus répandus.

Pour rappel, ces statistiques reposent sur le fonctionnement de la version 8 de notre logiciel antivirus et reprennent les programmes malveillants qui ont été bloqués et expédiés à partir des ordinateurs des utilisateurs Kaspersky Lab.

RangEvolutionProgramme malicieux
1  top20_noch0Virus.Win32.Sality.aa  
2  top20_noch0Packed.Win32.Krap.b  
3  top20_up2Trojan-Downloader.Win32.VB.eql  
4  top20_noch0Worm.Win32.AutoRun.dui  
5  top20_newNewTrojan.HTML.Agent.ai  
6  top20_down-3Trojan-Downloader.WMA.GetCodec.c  
7  top20_up10Virus.Win32.Alman.b  
8  top20_up12Trojan.Win32.AutoIt.ci  
9  top20_down-2Packed.Win32.Black.a  
10  top20_newNewWorm.Win32.AutoIt.ar  
11  top20_up3Worm.Win32.Mabezat.b  
12  top20_up3Worm.Win32.AutoRun.eee  
13  top20_newNewTrojan-Downloader.JS.Agent.czm  
14  top20_retReturnTrojan.Win32.Obfuscated.gen  
15  top20_up1Email-Worm.Win32.Brontok.q  
16  top20_down-3Virus.Win32.VB.bu  
17  top20_down-6Trojan.Win32.Agent.abt  
18  top20_down-8Trojan-Downloader.JS.IstBar.cx  
19  top20_down-1Worm.VBS.Autorun.r  
20  top20_newNewTrojan-Downloader.WMA.GetCodec.r  

Les leaders du mois de novembre, Virus.Win32.Sality.aa et Packed.Win32.Krap.b, restent campés sur leurs positions ; et dans l'ensemble on constate que le classement n'a subi que peu de changements en décembre.

En décembre, les vers Mabezat.b et AutoRun.eee, apparus il y a un mois seulement dans le classement, ont renforcé leurs positions de trois points. Force est de constater l'efficacité de la diffusion via les supports amovibles ainsi que via l'accès commun aux ressources réseaux, approche néanmoins plus traditionnelle. Mabezat.b provoque également l'infection de fichiers. Le ver Sality.aa présente le même schéma de propagation ce qui l'a propulsé au rang de leader. C'est au tour de Mabezat.b de consolider ses positions via cette méthode.

Virus.Win32.Alman.b enregistre un bond de 10 places. Rappelons qu'une des fonctions de ce malware consiste à voler des mots de passe de jeux en ligne. Le pic d'activité des joueurs se situant pendant la saison hivernale, cette hausse s'explique facilement.

On note deux autres nouveautés à savoir Trojan.HTML.Agent.ai et Trojan-Downloader.JS.Agent.czm qui à part être des téléchargeurs de scripts ne présentent pas grand intérêt.

On observe récemment un fort pourcentage de programmes malicieux écrits en langage de script Autolt, ce qui est sans doute lié à la facilité d'assimilation de ce langage. La brusque envolée du Trojan.Win32.AutoIt et l'arrivée dans le classement de Worm.Win32.AutoIt.ar, qui pareillement aux vers Mabezat.b et AutoRun.eee se propagent via des supports amovibles, confirment cette tendance.

On remarque la présence dans le classement de deux représentants d'une famille de malware peu commune - Trojan-Downloader.WMA.GetCodec. L'un d'eux est apparu dans le top 20 le mois dernier directement en troisième position, en décembre il enregistre une légère baisse.

Le deuxième échantillon de cette famille, Trojan-Downloader.WMA.GetCodec.r est relativement audacieux. Lors de la lecture d'un fichier multimédia infecté, un fichier exécutable, caché sous le codec, est téléchargé - P2P-Worm.Win32.Nugg.w. Lorsqu'il est exécuté, il télécharge quelques archives depuis le réseau. Ces dernières contiennent des fichiers multimédia et exécutables.

Comme on le constate par la suite, ces fichiers exécutables sont des versions diverses du ver P2P-Worm.Win32.Nugg alors que les fichiers multimédia sont déjà infectés par plusieurs versions du Trojan Downloader.WMA.Getcodec. Le ver modifie le nom de ces fichiers en 'keygen RELOADED.zip', '(hot remix).mp3' et autres appellations toutes aussi alléchantes et leur donne l'accès au réseau peer-to-peer Gnutella. Les internautes téléchargent à partir de ce réseau des fichiers infectés et transmettent en chaîne ces malwares en toute méconnaissance de cause. Il convient donc de se méfier des fichiers multimédia et d'être particulièrement vigilants face aux propositions de télécharger un codec.

top20_dec2008

Si l'on regroupe les principales catégories des cyber-menaces présentes dans nos statistiques, on s'aperçoit que la part des malwares qui se multiplient de façon autonome se maintiennent à 45% ce qui est témoigne de leur popularité. A noter également que la part de ces malwares est désormais au même niveau que les chevaux de Troie.

En décembre, le nombre de logiciels malveillants, publicitaires, potentiellement dangereux et uniques, s'élève à 38190 codes malicieux uniques. Ce chiffre indique une baisse des cyber-menaces ' in-the-wild ' de 7500 par rapport au mois de novembre (45690).

Le deuxième Top 20 reprend les programmes malveillants qui sont le plus souvent à l'origine de l'infection des objets sur les ordinateurs des utilisateurs. Il s'agit des programmes malicieux capables d'infecter les fichiers.

RangEvolutionProgramme malicieux
1  top20_up1Virus.Win32.Sality.aa  
2  top20_down-1Worm.Win32.Mabezat.b  
3  top20_up1Virus.Win32.Xorer.du  
4  top20_newNewTrojan-Downloader.HTML.Agent.ml  
5  top20_down-2Net-Worm.Win32.Nimda  
6  top20_up1Virus.Win32.Alman.b  
7  top20_down-2Virus.Win32.Parite.b  
8  top20_down-2Virus.Win32.Virut.n  
9  top20_down-1Virus.Win32.Sality.z  
10  top20_up1Virus.Win32.Virut.q  
11  top20_up1Virus.Win32.Parite.a  
12  top20_down-2Email-Worm.Win32.Runouce.b  
13  top20_up1Worm.Win32.Otwycal.g  
14  top20_up2P2P-Worm.Win32.Bacteraloh.h  
15  top20_up3Trojan.Win32.Obfuscated.gen  
16  top20_newNewWorm.Win32.Fujack.cf  
17  top20_noch0Worm.VBS.Headtail.a  
18  top20_down-3Virus.Win32.Hidrag.a  
19  top20_down-6Worm.Win32.Fujack.k  
20  top20_down-11Virus.Win32.Small.l  

Comme le mois précédent, ce classement conserve une relative stabilité.

Une des nouveautés, le téléchargeur Agent.ml, comporte un petit code - une balise malicieuse iframe. Cette dernière est insérée à la fin de pages web, aussi lorsque la page principale est téléchargée, la page qui est indiquée dans l'iframe est également appelée. Dans le cas présent, elle est porteuse d'un code Javascript malicieux. Il ne nous a pas été donné pour le moment de définir sa fonction.

L'autre débutant de ce classement est le ver Fujack.cf, version bien ultérieure à Fujack.bd, qui était apparue en octobre en 19ème position et pour le quitter finalement en novembre.

  PARTAGER