06 avr.
Actualités Virus
Les chercheurs de Kaspersky Lab observent qu’un nombre croissant de programmes malveillants exploite la confiance des internautes, notamment les faux antivirus et les programmes bloqueurs.
Programmes malveillants détectés sur les ordinateurs des utilisateurs en mars 2010 :
Ce premier tableau liste les codes malicieux et les programmes potentiellement indésirables détectés et neutralisés sur les ordinateurs des utilisateurs au premier contact.
| Rang | Evolution | Programme malicieux | Nombre d’ordinateurs infectés |
| 1 |  0 | Net-Worm.Win32.Kido.ir | 274729 |
| 2 |  1 | Virus.Win32.Sality.aa | 179218 |
| 3 | 1 | Net-Worm.Win32.Kido.ih | 163467 |
| 4 |  -2 | Net-Worm.Win32.Kido.iq | 121130 |
| 5 | 0 | Worm.Win32.FlyStudio.cu | 85345 |
| 6 | 3 | Trojan-Downloader.Win32.VB.eql | 56998 |
| 7 |  New | Exploit.JS.Aurora.a | 49090 |
| 8 | 9 | Worm.Win32.AutoIt.tc | 48418 |
| 9 | 1 | Virus.Win32.Virut.ce | 47842 |
| 10 | 4 | Packed.Win32.Krap.l | 47375 |
| 11 | -3 | Trojan-Downloader.WMA.GetCodec.s | 43295 |
| 12 | 0 | Virus.Win32.Induc.a | 40257 |
| 13 | New | not-a-virus:AdWare.Win32.RK.aw | 39608 |
| 14 | -3 | not-a-virus:AdWare.Win32.Boran.z | 39404 |
| 15 | 1 | Worm.Win32.Mabezat.b | 38905 |
| 16 | New | Trojan.JS.Agent.bau | 34842 |
| 17 | 3 | Packed.Win32.Black.a | 32439 |
| 18 | 1 | Trojan-Dropper.Win32.Flystud.yo | 32268 |
| 19 |  Return | Worm.Win32.AutoRun.dui | 32077 |
| 20 | New | not-a-virus:AdWare.Win32.FunWeb.q | 30942 |
Parmi les modifications notables, les chercheurs de Kaspersky Lab observent l'apparition de trois versions du cheval de Troie Autorun. Comme déjà répertoriés il y a deux mois, il s'agit de fichiers autorun.inf qui contribuent à la diffusion via des lecteurs amovibles de P2P-Worm.Win32.Palevo et Trojan-GameThief.Win32.Magania.
De même, les chercheurs de Kaspersky Lab notent la présence d’une nouvelle variante du comportement Packed. Dans ce cas, Packed.Win32.Krap.as (en 13ème position) dissimule des pseudos antivirus. L'utilisation de compacteurs spéciaux de fichiers exécutables est une tendance très marquée ces derniers temps chez les cyber criminels.
Programmes malveillants sur Internet en mars 2010 :
Le deuxième tableau décrit la situation sur Internet. Il reprend les codes malicieux découverts dans les pages Web ainsi que les programmes malveillants qui ont tenté de se télécharger depuis les pages Web sur les ordinateurs des utilisateurs.
| Rang | Evolution | Programme malicieux | Nombre de tentatives uniques de téléchargement |
| 1 | Return | Trojan-Downloader.JS.Gumblar.x | 453985 |
| 2 | -1 | Trojan.JS.Redirector.l | 346637 |
| 3 | New | Trojan-Downloader.JS.Pegel.b | 198348 |
| 4 | 3 | not-a-virus:AdWare.Win32.Boran.z | 80185 |
| 5 | -2 | Trojan-Downloader.JS.Zapchast.m | 80121 |
| 6 | New | Trojan-Clicker.JS.Iframe.ea | 77067 |
| 7 | New | Trojan.JS.Popupper.ap | 77015 |
| 8 | 3 | Trojan.JS.Popupper.t | 64506 |
| 9 | New | Exploit.JS.Aurora.a | 54102 |
| 10 | New | Trojan.JS.Agent.aui | 53415 |
| 11 | New | Trojan-Downloader.JS.Pegel.l | 51019 |
| 12 | New | Trojan-Downloader.Java.Agent.an | 47765 |
| 13 | New | Trojan-Clicker.JS.Agent.ma | 45525 |
| 14 | New | Trojan-Downloader.Java.Agent.ab | 42830 |
| 15 | New | Trojan-Downloader.JS.Pegel.f | 41526 |
| 16 | Return | Packed.Win32.Krap.ai | 38567 |
| 17 | New | Trojan-Downloader.Win32.Lipler.axkd | 38466 |
| 18 | New | Exploit.JS.Agent.awd | 35024 |
| 19 | New | Trojan-Downloader.JS.Pegel.k | 34665 |
| 20 | New | Packed.Win32.Krap.an | 33538 |
Les chercheurs de Kaspersky Lab observent l’apparition d’une nouvelle vulnérabilité d’Internet Explorer, dont le code d'exploitation a été très diffusé après un décryptage trop détaillé. Aujourd'hui, seuls les cyber criminels paresseux n'utilisent pas ce code d'exploitation dans leurs attaques. Deux versions sont identifiées dans ce Top 20 : Exploit.JS.CVE-2010-0806.i (2) et Exploit.JS.CVE-2010-0806.b (10).
A noter également une nouvelle vague de l'épidémie Gumblar. Outre l'ancienne version du téléchargeur détectée en tant que Gumblar.x en tête du classement, une mise à jour détectée sous le nom HEUR:Trojan-Downloader.Script.Generic est également présente.
Le code d'exploitation Aurora, déjà évoqué par les chercheurs de Kaspersky Lab en février 2010, est toujours utilisé activement par les cyber criminels, avec une progression de la 9ème à la 5ème position de leur Top 20.
L'étrange téléchargeur Twetti.a est de retour après deux mois d'absence. Comme dans le cas de Gumblar, les cyber délinquants ont marqué une petite pause avant de provoquer l'infection d'un grand nombre de sites à l'aide de ce programme malveillant.
Exploit.JS.Pdfka.bub fait son entrée directement à la 15ème place du classement de Kaspersky Lab. Ce fichier PDF malicieux est un composant d'une attaque par téléchargement à la dérobée dont le point de départ est Twetti.a.
Les chercheurs de Kaspersky Lab identifient aussi quatre nouveaux représentants des pages web modèles utilisées pour la diffusion de faux antivirus et de programmes bloqueurs : Trojan.HTML.Fraud.aj, Trojan.JS.FakeUpdate.ab, Trojan.HTML.Fraud.aq et Trojan.JS.FakeUpdate.aa.
Classement des premiers pays producteurs de tentatives d’infections via le Web en mars 2010 :
Parmi les attaques contre les utilisateurs, les plus fréquentes sont celles organisées via Internet à l'aide de vulnérabilités qui apparaissent régulièrement dans les applications les plus standards. Heureusement, ces vulnérabilités sont souvent supprimées rapidement par l'éditeur de l'application. Malheureusement, tous les utilisateurs n'installent pas nécessairement les correctifs en temps opportuns. Un nombre croissant de programmes malveillants exploite ainsi la confiance et l'inexpérience des internautes, notamment les faux antivirus et les programmes bloqueurs, largement diffusés par les cyber criminels en mars 2010.
(China)
(Japan)
(Korea)
