Septembre 2009 : les cybercriminels s’appuient sur les supports amovibles et les vulnérabilités dans les logiciels les plus utilisés

06 oct. 2009
Actualités Virus

Rueil-Malmaison – Lundi 5 octobre 2009 – Les chercheurs de Kaspersky Lab établissent chaque mois leurs Tops 20 des programmes malveillants à partir de données générées par Kaspersky Security Network et Antivirus Internet. En septembre 2009, les indices des 2 classements sont en léger recul, en raison de la migration des utilisateurs vers les nouvelles versions de Kaspersky Anti-Virus et de Kaspersky Internet Security.

Le premier Top 20 établit le classement des codes malicieux, programmes malveillants et logiciels publicitaires présentant un danger potentiel, détectés et neutralisés dès le premier contact, au déclenchement du composant d'analyse à la demande de Kaspersky Security Network.

L'utilisation des statistiques permet d'analyser les menaces les plus récentes, les plus dangereuses et les plus répandues bloquées au démarrage ou lors du téléchargement depuis Internet sur l'ordinateur de l'utilisateur.

RangEvolutionProgramme malicieuxNombre de PC infectés
1  top20_noch0Net-Worm.Win32.Kido.ih  41033  
2  top20_noch0Virus.Win32.Sality.aa  18027  
3  top20_noch0not-a-virus:AdWare.Win32.Boran.z  12470  
4  top20_newNouveautéNet-Worm.Win32.Kido.ir  11384  
5  top20_down-1Trojan-Downloader.Win32.VB.eql  6433  
6  top20_down-1Trojan.Win32.Autoit.ci  6168  
7  top20_up3Virus.Win32.Induc.a  5947  
8  top20_down-2Virus.Win32.Virut.ce  5433  
9  top20_newNouveautéP2P-Worm.Win32.Palevo.jdb  5169  
10  top20_down-2Net-Worm.Win32.Kido.jq  4288  
11  top20_newNouveautéWorm.Win32.FlyStudio.cu  4104  
12  top20_down-5Worm.Win32.AutoRun.dui  4071  
13  top20_down-4Virus.Win32.Sality.z  4056  
14  top20_up6P2P-Worm.Win32.Palevo.jaj  3564  
15  top20_down-4Worm.Win32.Mabezat.b  2911  
16  top20_newNouveautéExploit.JS.Pdfka.ti  2823  
17  top20_newNouveautéTrojan-Downloader.WMA.Wimad.y  2544  
18  top20_noch0Trojan-Dropper.Win32.Flystud.yo  2513  
19  top20_newNouveautéP2P-Worm.Win32.Palevo.jcn  2480  
20  top20_newNouveautéTrojan.Win32.Refroso.bpk  2387  

Kido est toujours actif. Outre Kido.ih, en pôle position des précédents Tops 20, apparaît Kido.ir qui désigne l’ensemble des fichiers autorun-inf que le ver crée pour se diffuser via des supports amovibles.

Le ver Palevo se diffuse rapidement et en 3 versions : Palevo.jdb, Palevo.jcn et Palevo.jaj.

Ces 2 programmes malveillants se diffusent via des supports mobiles, tout comme le ver chinois FlyStudio.cu, qui possède toujours les mêmes fonctions populaires de porte dérobée.

Parmi les nouveautés, les chercheurs de Kaspersky Lab remarquent une nouvelle version du téléchargeur multimédia Wimad : Trojan-Downloader.WMA.Wimad.y. Au lancement, il déclenche une requête de chargement du fichier malveillant. Dans ce cas-ci, not-a-virus:AdWare.Win32.PlayMP3z.a.

Le second Top 20 établi par les chercheurs de Kaspersky Lab repose sur les données obtenues via Antivirus Internet. Il permet d’identifier les programmes malveillants qui infectent les pages Web et les codes malicieux qui sont téléchargés depuis des pages malveillantes ou infectées.

RangEvolutionProgramme malicieuxNombre de tentatives de téléchargement
1  top20_noch0not-a-virus:AdWare.Win32.Boran.z  17624  
2  top20_up1Trojan.JS.Redirector.l  16831  
3  top20_down-1Trojan-Downloader.HTML.IFrame.sz  6586  
4  top20_newNouveautéExploit.JS.Pdfka.ti  3834  
5  top20_upNouveautéTrojan-Clicker.HTML.Agent.aq  3424  
6  top20_up4Trojan-Downloader.JS.Major.c  2970  
7  top20_down-3Trojan-Downloader.JS.Gumblar.a  2583  
8  top20_newNouveautéExploit.JS.ActiveX.as  2434  
9  top20_down-1Trojan-Downloader.JS.LuckySploit.q  2224  
10  top20_down-3Trojan-GameThief.Win32.Magania.biht  1627  
11  top20_newNouveautéExploit.JS.Agent.ams  1502  
12  top20_up4Trojan-Downloader.JS.IstBar.bh  1476  
13  top20_newNouveautéTrojan-Downloader.JS.Psyme.gh  1419  
14  top20_newNouveautéExploit.JS.Pdfka.vn  1396  
15  top20_retRetourExploit.JS.DirektShow.a  1388  
16  top20_down-10Exploit.JS.DirektShow.k  1286  
17  top20_retRetournot-a-virus:AdWare.Win32.Shopper.l  1268  
18  top20_retRetournot-a-virus:AdWare.Win32.Shopper.v  1247  
19  top20_newNouveautéTrojan-Clicker.JS.Agent.jb  1205  
20  top20_newNouveautéExploit.JS.Sheat.f  1193  

Les chercheurs de Kaspersky Lab observent la performance de 2 représentants de la famille Exploit.JS.Pdfka, fichiers JavaScript contenus dans des documents PDF qui exploitent diverses vulnérabilités des logiciels Adobe (y compris Adobe Reader).

Pdfka.ti exploite une vulnérabilité identifiée pour la 1ère fois il y a 2 ans dans la fonction Collab.collectEmailInfo (cve.mitre.org). Pdfka.vn exploite une vulnérabilité un peu plus récente dans la fonction getIcon du même objet Collab (cve.mitre.org).

Ces vulnérabilités dans les logiciels Adobe, nombreuses ces dernières années, sont massivement exploitées par les cybercriminels, quelle que soit la version du logiciel, afin de d’accroître la probabilité du téléchargement du programme malveillant principal sur les ordinateurs des victimes. En effet, il est toujours probable que certains utilisateurs n’aient pas actualisé leurs applications. Par conséquent, les équipes de Kaspersky Lab recommande à nouveau d’actualiser en temps opportuns les logiciels les plus utilisés, dont les produits Adobe.

Les chercheurs de Kaspersky Lab observent aussi le retour de DirektShow.a et l’apparition de Sheat.f et l’apparition des cliqueurs iframes.

En conclusion, la tendance des mois précédents se maintient : le nombre de paquets Web d’applications malveillantes qui exploitent toutes les vulnérabilités possibles des logiciels standards continue à augmenter. Ceci donne aux cybercriminels de nombreuses opportunités pour développer leurs activités. Cette diffusion est favorisée par des cliqueurs iframe élémentaires situés sur des sites légitimes infectés. Les cybercriminels peuvent accéder à ces sites grâce aux infections d’applications malveillantes volant les données confidentielles. La boucle est ainsi bouclée.

Enfin, pour les chercheurs de Kaspersky Lab, en septembre 2009, le Top 5 des pays producteurs de menaces cybercriminelles par tentatives d’infections via Internet est le suivant :

top20_sept09_fr

  PARTAGER