« Développement des programmes malveillants au premier semestre 2007 »

Kaspersky Lab, éditeur reconnu de solutions de sécurité informatique contre toutes les formes de cyber-menaces (cyber-escroqueries, botnet, spams, phishing, etc), publie un rapport analytique intitulé "Développement des programmes malveillants au premier semestre 2007" rédigé par Alexandre Gostev, un de ses meilleurs spécialistes en virus.

Dans cet article, Alexandre Gostev analyse les changements survenus au niveau de la dynamique du développement des programmes malveillants par rapport au dernier semestre de 2006 et présente les tendances cybercriminelles qui se sont manifestées au cours de la période couverte par le rapport. Il propose également un pronostic pour les prochains mois.

Pour le premier semestre 2007, le nombre de nouveaux programmes malveillants découverts par mois a augmenté en moyenne de 89% par rapport au deuxième semestre de l'année dernière, soit 15 292,2 unités (contre 8 108,5 au deuxième semestre 2006). Pour l'ensemble de la période couverte par ce rapport, ce sont 91 753 nouveaux programmes malveillants qui ont été identifiés.

La tendance observée depuis quelques années déjà par les experts de Kaspersky Lab se maintient pour le premier semestre 2007 : augmentation de la part des chevaux de Troie de tout type et réduction correspondant des indicateurs Virware et Other MalWare. Au cours des six premiers mois de l'année 2007, la part de chevaux de Troie a augmenté de 2,61% pour atteindre 91,36%. Malgré l'augmentation affichée par la catégorie Other MalWare par comparaison au deuxième semestre de l'année dernière, sa part dans la masse globale a encore diminué de 0,36% pour atteindre la valeur insignifiante de 1,95%.

Les portes dérobées sont les chevaux de Troie qui affichent la croissance la plus remarquable : 202%. Outre les portes dérobées, le nombre de chevaux de Troie espion (Trojan-PSW) qui volent les données des comptes utilisateurs de divers services, applications et jeux en ligne a également fortement augmenté (+135%). Tout semble indiquer que cette croissance va se maintenir. Le comportement Trojan-PSW a réussi à dépasser ses résultats de 2006 : à l'époque, leur croissance avait été de +125%.

Une grande partie des chevaux de Troie espion, responsable de la croissance de 69% des programmes malveillants au comportement Trojan-Spy, est composée de ce que nous appelons les Bankers, des programmes conçus pour voler les données d'accès à divers services de paiement en ligne, de consultation de comptes bancaires via Internet ou les données des cartes de crédit.

S'agissant des outils de dissimulation d'activité, ils ont affiché une croissance honorable de 178% au cours des six premiers mois de l'année 2007. Les vers de messagerie de la famille Zhelatin sont les programmes malveillants qui ont le plus activement utilisé les outils de dissimulation de l'activité ainsi que plusieurs portes dérobées créées en Chine.

Pendant le premier semestre 2007, ce sont les virus traditionnels qui ont affiché la croissance la plus grande parmi tous les types de programmes malveillants avec 237 % !

Cette année, le rythme de croissance des programmes de la catégorie Worm a quelque peu ralenti mais dépasse toujours les 100%. Les vers de messagerie représentent plus de la moitié de tous les éléments VirWare. Comme par le passé, le nombre des représentants d'Email-Worm est réparti entre trois grandes familles : Warezov, Zhelatin et Bagle.

Dans l'ensemble, nous pouvons affirmer que la catégorie Other Malware a enregistré une croissance de près de 60% à l'issue des six premiers mois de 2007 mais cela n'a pas suffit pour conserver son pourcentage dans la masse globale de programmes malveillants : elle est passée de 2,51 % en 2006 à 1,95%.

Dans cette catégorie, le leader en termes de taux de croissance pour les six premiers mois de l'année 2007 est la catégorie SpamTool avec 222%, ce qui le met en deuxième position. L'explosion actuelle du nombre de programmes DoS (+209%) qui permettent de lancer des attaques par déni de service et qui se retrouvent sur tous les réseaux de zombies du monde s'explique par l'émergence d'une nouvelle génération de script-kiddies qui ne savent encore rien faire et qui préfèrent utiliser les réalisations d'autrui pour appliquer la force brute.

Les codes d'exploitation des diverses vulnérabilités occupent toujours la première position parmi les programmes malveillants de la catégorie Other MalWare.

Ce rapport semestriel évoque pour la première fois les systèmes d'exploitation qui suscitent le plus d'intérêt chez les auteurs de virus. Au cours du premier semestre 2007, Kaspersky Lab a recensé des programmes malveillants pour 30 plateformes et systèmes d'exploitation différents. L'écrasante majorité des programmes malveillants existants sont conçus pour l'environnement Win32. Les autres programmes malveillants, ciblant d'autres systèmes d'exploitation ou plateformes, ne représentent que 4% du nombre total. Parmi les systèmes d'exploitation, Linux conserve la deuxième position en terme de popularité avec 123 nouveaux programmes malveillants et une croissance de 55% par comparaison au deuxième semestre de l'année 2006.

Pour près de 50 pour cent des plateformes et des systèmes d'exploition, nous observons une croissance négative du nombre de programmes malveillants qui les prennent pour cible. S'agissant de MacOS, aucun programme malveillant n'a été créé depuis juillet 2006 !

Parmi les applications qui peuvent fonctionner sous divers systèmes d'exploitation, MS Word recueille toujours le plus grand nombre de programmes malveillants (150 nouveautés) et affiche une croissance de 95%.

JavaScript est devenu le milieu de développement et de réalisation de programmes malveillants le plus innovant avec une croissance de 380%, soit près de deux fois plus que son frère jumeau, le langage VisualBasic Script.

L'article présente des statistiques sur les mises à jour des bases antivirus : le nombre de nouveaux enregistrements ajoutés chaque mois aux bases antivirus de Kaspersky Anti-Virus au cours du premier semestre 2007 oscille entre 8 000 au début de la période couverte par le rapport et jusqu'à 25 000 vers la fin de celle-ci. A l'issue des six mois, le nombre d'enregistrements mensuels était en moyenne de 15 518, alors qu'il n'était que de 8 221 pour le deuxième semestre 2006.

En guise de conclusion, Alexandre Gostev déclare que les principales cibles de ces attaques demeurent toujours les clients de divers systèmes bancaires ou de paiement en ligne ainsi que les adeptes des jeux en ligne.p>

De plus, la coopération entre auteurs de programmes malveillants et spammeurs se poursuit. Toutes les grandes épidémies de 2007 (Warezov, Zhelatin, Bagle) visaient à créer des réseaux de zombies pour la diffusion ultérieure de messages non sollicités via les ordinateurs infectés et à récolter des adresses électroniques pour la création de bases en vue de la diffusion de courrier indésirable.

L'absence de nouvelles vulnérabilités critiques dans les services de réseau de Windows est un des principaux facteurs expliquant l'absence de grande épidémie de vers de réseau adaptes de l'attaque directe sur les ports de l'ordinateur. En dépit des attentes des experts, le nouveau système d'exploitation Windows Vista n'est pas encore devenu le sujet principal des questions de sécurité en 2007. Ceci s'explique tout d'abord par le fait que le rythme de sa diffusion n'est pas aussi bon que prévu et le nombre d'utilisateurs ayant fait la transition est encore loin d'avoir atteint la masse critique qui attire l'attention des pirates et des auteurs de virus sur un système d'exploitation en particulier.

La version complète de ce rapport est accessible sur le portail d'information Viruslist.com/fr.