Kaspersky Lab: Antivirus Software and Free Online Virus Scan
Free Virus Scan|Free Trials|Site Map

HomeMenaces Salle de PresseLa mort de la vieille école de l’écriture des virus
Menaces

Evolution du malware - Premier trimestre 2008

Kaspersky Lab, éditeur reconnu de solutions de sécurité informatique contre toutes les formes de cyber-menaces (cyber-escroqueries, botnet, spams, phishing, etc), publie un rapport sur les menaces informatiques modernes au premier trimestre 2008. Alexandre Gostev, analyste-expert en virus chez Kaspersky Lab, décrit les principales tendances dans le milieu des virus et analyse les principales menaces qui planent sur la sécurité informatique à l'heure actuelle.

Le taux de croissance des programmes malveillants a continué à augmenter au premier trimestre 2008 et des dizaines de milliers de nouvelles versions sont découvertes chaque jour. Cette croissance s'accompagne d'une augmentation de la complexité technologique. Le recyclage d'anciennes idées et techniques est d'actualité et ces nouvelles incarnations présentent un niveau de danger tout autre. Il s'agit notamment de l'infection des secteurs d'amorçage des disques durs, la diffusion des programmes malveillants à l'aide de disques amovibles et l'infection de fichiers.

La mort symbolique de la "vieille école" du développement de virus a eu lieu au début de l'année 2008. Au mois de février, le légendaire groupe 29A publiait un message sur son site dans lequel il annonçait l'arrêt de ses activités. Ces personnes à l'origine de "Cap" (le premier virus de macro responsable d'une épidémie internationale), "Stream" (le premier virus pour flux complémentaire NTFS), "Donut" (le premier virus pour la plate-forme .NET), "Rugrat" (le premier virus pour la plate-forme Win64), le premier virus mobile Cabir ont jeté le gant face à la commercialisation généralisée de l'écriture de virus. Plus personne ne crée des programmes malveillants pour s'affirmer ou à des fins de recherche. Il est bien plus avantageux de générer des centaines de chevaux de Troie primitifs pour la vente.

Bootkit

Les bootkits, qui sont des outils de dissimulation d'activité avec une fonction de chargement depuis les secteurs de démarrage de n'importe quel périphérique, sont devenus la principale épine dans le pied du secteur de la lutte contre les virus au début de l'année 2008. A l'aube de l'écriture des virus, les virus de boot figuraient parmi les programmes malveillants les plus répandus. Ces virus écrivent leur code au lieu du code original du secteur de démarrage de la disquette et prennent ainsi les commandes du système au démarrage. La commercialisation de Windows 95/98 et la fin de l'utilisation des disquettes mirent les virus de boot hors jeux pendant 10 ans.

Mais au début de l'année 2007, Nitin et Vipin Kumar, deux programmeurs indiens, présentèrent Vbootkit, un outil de dissimulation d'activité doté de fonction de chargement depuis les secteurs de démarrage compatible avec Windows Vista. L'ancienne technologie d'infection des secteurs de démarrage a rattrapé la mode des outils de dissimulation d'activité.

En novembre 2007, plusieurs sites qui permettaient le téléchargement d'un certain programme malveillant furent identifiés. L'analyse de ce programme permit de voir que nous étions face à un code capable d'infecter le MBR et les secteurs du disque dur. Outre la dissimulation de sa présence dans le système, le code malveillant installe une porte dérobée dans Windows. Cette porte intervient également dans le vol d'informations, notamment les données d'accès à divers systèmes bancaires en ligne. Ce bootkit ressemble à une plate-forme autonome qui peut être ajoutée facilement à n'importe quel programme malveillant existant en vue de le protéger et de le dissimuler. Ceci signifie qu'il n'est pas exclu de voir prochainement des bootkits disponibles à la vente. La technologie deviendra alors accessible aux milliers d'auteurs de virus et, si nous tenons compte du taux de croissance actuelle des programmes malveillants, elle pourrait devenir une des menaces les plus étendues.

Le danger des bootkit provient du fait que le code malveillant prend les commandes avant le démarrage du système d'exploitation, et par conséquent avant le lancement du logiciel antivirus. Il y a dix ans, nous avions résolu ce problème à l'aide de disquettes de démarrage dotée d'un logiciel antivirus. Il semblerait que le retour aux anciennes technologies soit d'actualité aussi bien pour les logiciels malveillants que pour les logiciels antivirus.

Poursuite de la tempête

Le milieu du mois de janvier 2008 a marqué le premier anniversaire de l'apparition du programme malveillant connu sous le nom Zhelatin, Nuwar ou Storm Worm. Zhelatin réunit la structure modulaire, la fréquence de diffusion de nouvelles versions, l'utilisation de centaines de sites infectés pour se diffuser et la diffusion via Skype et IM et il exploite la technologie des outils de dissimulation d'activité, les contre-attaques contre les éditeurs de logiciels antivirus et un réseau de zombies décentralisé. Et en moins d'un an, Storm Worm est devenu le principal casse-tête de la sécurité informatique, principalement à cause de son réseau de zombies aux proportions mythiques. La nature décentralisée du réseau de zombies empêche de définir le nombre exact de machines qui le composent. Au mois de janvier, la société Fortinet, avança l'hypothèse que ce réseau de zombies avait été impliqué dans les attaques d'hameçonnage contre les banques Barclays et Halifax. Si cette hypothèse se confirme, alors il s'agira du premier cas d'utilisation directe du réseau de zombies Storm Worm dans le cadre d'activités criminelles classiques.

Les avis des experts sur la nationalité des auteurs de Storm Worm divergent. Une des hypothèses les plus probables est celle de l'activité d'un groupe international aux responsabilités clairement définies. Une personne se charge de la programmation, une autre de la diffusion du courrier indésirable, une troisième place le ver sur les sites infectés, une quatrième compromet les sites et une cinquième crée les codes d'exploitation. Storm est l'exemple parfait de la cybercriminalité actuelle qui privilégie la répartition internationale du travail.

TrojanGet

Les incidents en matière de sécurité informatique qui impliquent des applications légales en tant que diffuseur de l'infection sont rares mais existent malgré tout.

De tels incidents nuisent à la réputation de la société, touchent les utilisateurs et posent un problème aux éditeurs de logiciels antivirus qui considèrent les logiciels licites comme des logiciels fiables.

Au début du mois de mars, les experts de Kaspersky Lab ont été confrontés à des appels d'utilisateurs qui faisaient état de l'existence de chevaux de Troie dans le répertoire du célèbre client de téléchargement FlashGet. En plus des chevaux de Troie, la date de création et de modification du fichier FGUpdate3.ini dans le répertoire de FlashGet étaient récentes. C'est ce fichier qui contenait le lien vers le fichier inapp4.exe, le cheval de Troie. Le cheval de Troie était téléchargé depuis le véritable site de FlashGet. Durant dix jours, ce programme légal a fonctionné en tant que téléchargeur et a installé et exécuté des chevaux de Troie depuis le site de l'éditeur du logiciel sur les ordinateurs des utilisateurs, sans que le développeur ne fasse la moindre déclaration.

Une fois qu'ils ont compromis le site de l'éditeur, les individus mal intentionnés peuvent remplacer le fichier de configuration standard par un fichier qui réoriente l'utilisateur vers le cheval de Troie présent au même endroit. Cette vulnérabilité existe dans toutes les versions FlashGet 1.9.xx. N'importe quel cheval de Troie peut remplacer le fichier ini FlashGet local et l'obliger à remplir les fonctions d'un cheval de Troie téléchargeur. La société chinoise derrière le développement de FlashGet n'a pas encore fait de déclaration officielle.

Vers sociaux

Selon nos pronostics, les utilisateurs des réseaux sociaux deviendront la principale cible des attaques d'hameçonnage en 2008. Les données d'accès à des services tels que Facebook, MySpaces, Livejournal, Blogger ou autres vont être de plus en plus recherchées par les individus mal intentionnés. En 2008, de nombreux chevaux de Troie vont être diffusés via des comptes d'utilisateurs de réseaux sociaux, via leurs blogs et leur profil.

Les principaux éléments qui confèrent un intérêt simultané aux services Web 2.0 pour les utilisateurs et les pirates sont les suivants :

  1. Migration des données de l'utilisateur depuis l'ordinateur personnel vers Internet
  2. Utilisation d'un seul compte pour plusieurs services différents
  3. Informations détaillées sur l'utilisateur
  4. Informations relatives à ses contacts et à ses connaissances
  5. Endroit de publication de n'importe quoi
  6. Relations de confiance entre les contacts

Le problème est d'ores et déjà grave et il est fort probable qu'il devienne le principal problème en matière de sécurité informatique.

Nouveautés mobiles

Le premier trimestre 2008 a été riche en nouveautés dans le domaine de la virologie mobile. Nous observons la poursuite du développement des technologies et l'augmentation du nombre d'acteurs dans ce processus. Les nouveautés en la matière se répartissent de manière plus ou moins égale entre les quatre cibles principales des menaces pour appareils nomades : Symbian, Windows Mobile, J2ME et iPhone.

Ainsi, au premier trimestre 2008, des chevaux de Troie pour J2ME (version mobile de la plate-forme Java), capables de fonctionner sur n'importe quel téléphone mobile moderne, ont fait leur apparition à une fréquence inquiétante. Au mois de janvier, nous avons découvert Smarm.b, au mois de février, Smarm.c et Swapi.a et en mars, SMSFree.d. Ils exploitent tous la même méthode pour gagner de l'argent : l'envoi de SMS vers des numéros à surfacturation.

Nous avons également découvert une toute nouvelle famille de vers Symbian baptisée Beselo, sans oublier le cheval de Troie chinois InfoJack pour la plate-forme Windows Mobile qui est en circulation et qui est à l'origine de l'infection de nombreux utilisateurs.

Conclusion

Il est évident que l'accalmie sur le front des virus touche à sa fin.

L'année dernière, nous étions confrontés à une production à la chaîne qui visait à produire des programmes malveillants primitifs mais en grands nombres.

La tendance évolue, comme en témoigne l'émergence des bootkits. Les méthodes d'infection des fichiers ne cessent de changer, notamment le recours à des technologies polymorphes compliquées. Certaines des technologies de la lutte contre les virus commencent même à être retournées contre leur maître !

Il se peut que les événements du premier trimestre exercent une grande influence sur le secteur de la sécurité informatique à court terme.

La version complète du rapport « Evolution du malware au premier trimestre 2008 - La mort de la vieille école de l’écriture des virus » est accessible sur le site Viruslist.com.
Kaspersky Anti-virus Logo
Photos non contractuelles - Copyright © 1997 - 2009 Kaspersky Lab
La meilleure des technologies en matière de prévention des cyber-risques
Confidentialité |Contactez-nous