Classement des programmes malveillants - Février 2010 :La pollution numérique demeure éminemment liée aux vulnérabilités des applications les plus répandues

11 mars 2010
Actualités Virus

Les chercheurs de Kaspersky Lab établissent chaque mois leurs Tops 20 des programmes malveillants. Leur premier classement s’intéresse aux logiciels malveillants, publicitaires et potentiellement indésirables détectés et neutralisés dès l’analyse initiale sur les ordinateurs des Internautes. Le second classement dresse le panorama des menaces présentes sur Internet, à partir des résultats générés par le composant Antivirus Internet. Il inclut non seulement les malveillances hébergées sur les pages Web mais aussi celles téléchargées par les ordinateurs des Internautes depuis des sites Web.

Logiciels malveillants détectés dans les ordinateurs – Février 2010 :


RangEvolutionProgramme malveillantNombre d’ordinateurs infectés
1  top20_noch0Net-Worm.Win32.Kido.ir  274729  
2  top20_up1Virus.Win32.Sality.aa  179218  
3  top20_up1Net-Worm.Win32.Kido.ih  163467  
4  top20_down-2Net-Worm.Win32.Kido.iq  121130  
5  top20_noch0Worm.Win32.FlyStudio.cu  85345  
6  top20_up3Trojan-Downloader.Win32.VB.eql  56998  
7  top20_newNewExploit.JS.Aurora.a  49090  
8  top20_up9Worm.Win32.AutoIt.tc  48418  
9  top20_up1Virus.Win32.Virut.ce  47842  
10  top20_up4Packed.Win32.Krap.l  47375  
11  top20_down-3Trojan-Downloader.WMA.GetCodec.s  43295  
12  top20_noch0Virus.Win32.Induc.a  40257  
13  top20_newNewnot-a-virus:AdWare.Win32.RK.aw  39608  
14  top20_down-3not-a-virus:AdWare.Win32.Boran.z  39404  
15  top20_up1Worm.Win32.Mabezat.b  38905  
16  top20_newNewTrojan.JS.Agent.bau  34842  
17  top20_up3Packed.Win32.Black.a  32439  
18  top20_up1Trojan-Dropper.Win32.Flystud.yo  32268  
19  top20_retReturnWorm.Win32.AutoRun.dui  32077  
20  top20_newNewnot-a-virus:AdWare.Win32.FunWeb.q  30942  

A noter plus particulièrement, 2 logiciels espions font leur entrée au Top 20 des chercheurs de Kaspersky Lab :

Le logiciel publicitaire FunWeb.q, classé en 20ème position, s’apparente à une barre d'outils pour les navigateurs les plus utilisés. Il permet d'accéder rapidement aux ressources de sites Web déterminés (en général, avec qui intègrent des contenus multimédia). Afin d'afficher les publicités, il modifie également l'apparence des pages visitées par l'utilisateur.

Not-a-virus:AdWare.Win32.RK.aw (13ème place) est plus complexe. Dans ce cas, l'application Relevant Knowledge se propage et s'installe avec différentes applications. Le contrat d'utilisateur indique que l'application récolte automatiquement des données personnelles sur l'utilisateur, qu'il en surveille pratiquement la moindre activité, surtout sur Internet et qu'il les enregistre su son serveur. Le texte précise que les données recueillies sont utilisées exclusivement à des fins louables (« elles contribuent à forger l'avenir d'Internet » tout en étant soigneusement protégées. C’est là que la naïveté de l’utilisateur peut engendrer des effets pervers.

Logiciels malveillants sur Internet – Février 2010 :

Ce second classement établi par les chercheurs de Kaspersky Lab décrit la situation sur Internet, à partir des programmes malveillants découverts sur les sites ainsi que des codes malicieux qui ont tenté de se télécharger depuis les pages Web sur les ordinateurs des utilisateurs.


RangEvolutionProgramme malveillantNombre de tentatives uniques de téléchargement
1  top20_retReturnTrojan-Downloader.JS.Gumblar.x  453985  
2  top20_down-1Trojan.JS.Redirector.l  346637  
3  top20_newNewTrojan-Downloader.JS.Pegel.b  198348  
4  top20_up3not-a-virus:AdWare.Win32.Boran.z  80185  
5  top20_down-2Trojan-Downloader.JS.Zapchast.m  80121  
6  top20_newNewTrojan-Clicker.JS.Iframe.ea  77067  
7  top20_newNewTrojan.JS.Popupper.ap  77015  
8  top20_up3Trojan.JS.Popupper.t  64506  
9  top20_newNewExploit.JS.Aurora.a  54102  
10  top20_newNewTrojan.JS.Agent.aui  53415  
11  top20_newNewTrojan-Downloader.JS.Pegel.l  51019  
12  top20_newNewTrojan-Downloader.Java.Agent.an  47765  
13  top20_newNewTrojan-Clicker.JS.Agent.ma  45525  
14  top20_newNewTrojan-Downloader.Java.Agent.ab  42830  
15  top20_newNewTrojan-Downloader.JS.Pegel.f  41526  
16  top20_retReturnPacked.Win32.Krap.ai  38567  
17  top20_newNewTrojan-Downloader.Win32.Lipler.axkd  38466  
18  top20_newNewExploit.JS.Agent.awd  35024  
19  top20_newNewTrojan-Downloader.JS.Pegel.k  34665  
20  top20_newNewPacked.Win32.Krap.an  33538  

Gumblar.x occupe à nouveau la pole position, bien qu’il ait pratiquement disparu en janvier. La nouvelle attaque de Gumblar, évoquée par les chercheurs de Kaspersky Lab le mois dernier, a bien eu lieu. Les cybercriminels n'ont pas introduit de modifications radicales au code source. Ils ont simplement récolté de nouvelles données pour l'accès aux sites des utilisateurs afin de les infecter en masse. D’autres développements sont malheureusement prévisibles.

aseev_top20_0310_pic01
Nombre de sites Web infectés par Gumblar

Par ailleurs, l'épidémie de Pegel, qui avait débuté en janvier, a été pratiquement multipliée par 6. Les chercheurs de Kaspersky Lab n’identifient pas moins de 4 représentants de cette famille, dont entre au classement directement à la 3ème place. Ce téléchargeur, quelque peu semblable à Gumblar, infecte également des sites Web légitimes. Lorsque l'utilisateur accède à une page infectée, le script intégré le redirige vers les ressources des cybercriminels. Pour éviter d'éveiller les soupçons de l'utilisateur, ceux-ci utilisent le nom de sites populaires dans les adresses des pages malveillantes, par exemple :

http://friendster-com.youjizz.com.jeuxvideo-com.**********.ru:8080/sify.com/sify.com/pdfdatabase.com/google.com/allegro.pl.php

http://avast-com.deviantart.com.dangdang-com.**********.ru:8080/wsj.com/wsj.com/google.com/nokia.com/aweber.com.php

Un autre script est chargé via ces liens qui tente alors d’accéder de différentes manières au fichier exécutable principal. Globalement, ces méthodes sont traditionnelles : l'exploitation des vulnérabilités des logiciels Internet Explorer (CVE-2006-0003) et Adobe Reader (CVE-2007-5659, CVE-2009-0927), ainsi que le chargement à l'aide d'un applet Java spécial (application Java sous la forme de bytecode).

Le fichier exécutable principal est toujours le tristement célèbre Backdoor.Win32.Bredolab, compactés par différents outils malveillants (dont certains sont détectés comme Packed.Win32.Krap.ar et Packed.Win32.Krap.ao).

Enfin, en 9ème position, les chercheurs de Kaspersky Lab retrouvent Exploit.JS.Aurora, qui détecte le code d'exploitation de la vulnérabilité CVE-2010-0249 vulnerability, découverte le mois dernier après une attaque d'envergure ciblant plusieurs versions d'Internet Explorer.

L'attaque, qui a été décrite dans toutes les ressources en rapport avec les technologies de l'information, visait de grandes entreprises telles que Google et Adobe et fut baptisée Aurora sur la base du nom du répertoire utilisé par un des principaux fichiers exécutables. L'objectif était la récupération des données personnelles de l'utilisateur et de la propriété intellectuelle des entreprises comme les codes sources de projets. Cette attaque fut menée en diffusant des messages électroniques contenant des liens vers une page malveillante abritant le code d'exploitation dont l'exécution entrainait le téléchargement du fichier exécutable principal à l'insu de l'utilisateur.

aseev_top20_0310_pic02

Extrait d'une des versions d'Exploit.JS.Aurora.a

Il est intéressant de voir que les collaborateurs de Microsoft connaissaient l'existence de cette vulnérabilité plusieurs mois avant l'attaque et qu'elle fut rectifiée seulement un mois après son identification. Faut-il ajouter qu'au cours de février, le code source en fut rendu public… Seuls les cyber criminels les plus paresseux ne l’ont pas exploité ! La collection de Kaspersky Lab en compte déjà plus de 100 versions différentes…

Aujourd’hui, la menace principale pour les utilisateurs demeure les vulnérabilités dans les applications répandues. Les cyber criminels tirent toujours profit des vulnérabilités découvertes il y a quelques années déjà. Même si un utilisateur averti installe toutes les mises à jour des applications importantes, rien ne garantit que son ordinateur soit en sécurité tant que les éditeurs de telles applications ne diffuseront pas à temps leurs correctifs aux vulnérabilités identifiées. C'est la raison pour laquelle, en cas d'utilisation d'un ordinateur principalement sur Internet, il faut être prudent et utiliser, bien entendu, un logiciel antivirus avec les mises à jour les plus récentes.

  PARTAGER