Classement des programmes malveillants en mars 2010

06 avr. 2010
Actualités Virus

Les chercheurs de Kaspersky Lab observent qu’un nombre croissant de programmes malveillants exploite la confiance des internautes, notamment les faux antivirus et les programmes bloqueurs.

Programmes malveillants détectés sur les ordinateurs des utilisateurs en mars 2010 :

Ce premier tableau liste les codes malicieux et les programmes potentiellement indésirables détectés et neutralisés sur les ordinateurs des utilisateurs au premier contact.


RangEvolutionProgramme malicieuxNombre d’ordinateurs infectés
1  top20_noch0Net-Worm.Win32.Kido.ir  274729  
2  top20_up1Virus.Win32.Sality.aa  179218  
3  top20_up1Net-Worm.Win32.Kido.ih  163467  
4  top20_down-2Net-Worm.Win32.Kido.iq  121130  
5  top20_noch0Worm.Win32.FlyStudio.cu  85345  
6  top20_up3Trojan-Downloader.Win32.VB.eql  56998  
7  top20_newNewExploit.JS.Aurora.a  49090  
8  top20_up9Worm.Win32.AutoIt.tc  48418  
9  top20_up1Virus.Win32.Virut.ce  47842  
10  top20_up4Packed.Win32.Krap.l  47375  
11  top20_down-3Trojan-Downloader.WMA.GetCodec.s  43295  
12  top20_noch0Virus.Win32.Induc.a  40257  
13  top20_newNewnot-a-virus:AdWare.Win32.RK.aw  39608  
14  top20_down-3not-a-virus:AdWare.Win32.Boran.z  39404  
15  top20_up1Worm.Win32.Mabezat.b  38905  
16  top20_newNewTrojan.JS.Agent.bau  34842  
17  top20_up3Packed.Win32.Black.a  32439  
18  top20_up1Trojan-Dropper.Win32.Flystud.yo  32268  
19  top20_retReturnWorm.Win32.AutoRun.dui  32077  
20  top20_newNewnot-a-virus:AdWare.Win32.FunWeb.q  30942  

Parmi les modifications notables, les chercheurs de Kaspersky Lab observent l'apparition de trois versions du cheval de Troie Autorun. Comme déjà répertoriés il y a deux mois, il s'agit de fichiers autorun.inf qui contribuent à la diffusion via des lecteurs amovibles de P2P-Worm.Win32.Palevo et Trojan-GameThief.Win32.Magania.

De même, les chercheurs de Kaspersky Lab notent la présence d’une nouvelle variante du comportement Packed. Dans ce cas, Packed.Win32.Krap.as (en 13ème position) dissimule des pseudos antivirus. L'utilisation de compacteurs spéciaux de fichiers exécutables est une tendance très marquée ces derniers temps chez les cyber criminels.

Programmes malveillants sur Internet en mars 2010 :

Le deuxième tableau décrit la situation sur Internet. Il reprend les codes malicieux découverts dans les pages Web ainsi que les programmes malveillants qui ont tenté de se télécharger depuis les pages Web sur les ordinateurs des utilisateurs.


RangEvolutionProgramme malicieuxNombre de tentatives uniques de téléchargement
1  top20_retReturnTrojan-Downloader.JS.Gumblar.x  453985  
2  top20_down-1Trojan.JS.Redirector.l  346637  
3  top20_newNewTrojan-Downloader.JS.Pegel.b  198348  
4  top20_up3not-a-virus:AdWare.Win32.Boran.z  80185  
5  top20_down-2Trojan-Downloader.JS.Zapchast.m  80121  
6  top20_newNewTrojan-Clicker.JS.Iframe.ea  77067  
7  top20_newNewTrojan.JS.Popupper.ap  77015  
8  top20_up3Trojan.JS.Popupper.t  64506  
9  top20_newNewExploit.JS.Aurora.a  54102  
10  top20_newNewTrojan.JS.Agent.aui  53415  
11  top20_newNewTrojan-Downloader.JS.Pegel.l  51019  
12  top20_newNewTrojan-Downloader.Java.Agent.an  47765  
13  top20_newNewTrojan-Clicker.JS.Agent.ma  45525  
14  top20_newNewTrojan-Downloader.Java.Agent.ab  42830  
15  top20_newNewTrojan-Downloader.JS.Pegel.f  41526  
16  top20_retReturnPacked.Win32.Krap.ai  38567  
17  top20_newNewTrojan-Downloader.Win32.Lipler.axkd  38466  
18  top20_newNewExploit.JS.Agent.awd  35024  
19  top20_newNewTrojan-Downloader.JS.Pegel.k  34665  
20  top20_newNewPacked.Win32.Krap.an  33538  

Les chercheurs de Kaspersky Lab observent l’apparition d’une nouvelle vulnérabilité d’Internet Explorer, dont le code d'exploitation a été très diffusé après un décryptage trop détaillé. Aujourd'hui, seuls les cyber criminels paresseux n'utilisent pas ce code d'exploitation dans leurs attaques. Deux versions sont identifiées dans ce Top 20 : Exploit.JS.CVE-2010-0806.i (2) et Exploit.JS.CVE-2010-0806.b (10).

A noter également une nouvelle vague de l'épidémie Gumblar. Outre l'ancienne version du téléchargeur détectée en tant que Gumblar.x en tête du classement, une mise à jour détectée sous le nom HEUR:Trojan-Downloader.Script.Generic est également présente.

Le code d'exploitation Aurora, déjà évoqué par les chercheurs de Kaspersky Lab en février 2010, est toujours utilisé activement par les cyber criminels, avec une progression de la 9ème à la 5ème position de leur Top 20.

L'étrange téléchargeur Twetti.a est de retour après deux mois d'absence. Comme dans le cas de Gumblar, les cyber délinquants ont marqué une petite pause avant de provoquer l'infection d'un grand nombre de sites à l'aide de ce programme malveillant.

Exploit.JS.Pdfka.bub fait son entrée directement à la 15ème place du classement de Kaspersky Lab. Ce fichier PDF malicieux est un composant d'une attaque par téléchargement à la dérobée dont le point de départ est Twetti.a.

Les chercheurs de Kaspersky Lab identifient aussi quatre nouveaux représentants des pages web modèles utilisées pour la diffusion de faux antivirus et de programmes bloqueurs : Trojan.HTML.Fraud.aj, Trojan.JS.FakeUpdate.ab, Trojan.HTML.Fraud.aq et Trojan.JS.FakeUpdate.aa.

Classement des premiers pays producteurs de tentatives d’infections via le Web en mars 2010 :

aseev_top20_march2010pic_fr_s

Parmi les attaques contre les utilisateurs, les plus fréquentes sont celles organisées via Internet à l'aide de vulnérabilités qui apparaissent régulièrement dans les applications les plus standards. Heureusement, ces vulnérabilités sont souvent supprimées rapidement par l'éditeur de l'application. Malheureusement, tous les utilisateurs n'installent pas nécessairement les correctifs en temps opportuns. Un nombre croissant de programmes malveillants exploite ainsi la confiance et l'inexpérience des internautes, notamment les faux antivirus et les programmes bloqueurs, largement diffusés par les cyber criminels en mars 2010.

  PARTAGER