Kaspersky Analysis Aperçu de l activité virale en février 2011
Transcription
Kaspersky Analysis Aperçu de l activité virale en février 2011
Aperçu de l'activité virale : février 2011 Le mois de février en chiffres Voici le bilan de l'activité des logiciels de Kaspersky Lab sur les ordinateurs des utilisateurs : 228 649 852 attaques de réseau ont été déjouées ; 70 465 949 tentatives d'infection via des sites Web ont été bloquées ; 252 187 961 programmes malveillants ont été détectés et neutralisés (tentatives d'infection locale) ; 75 748 743 verdicts heuristiques ont été recensés. Attaques par téléchargement à la dérobée : les individus malintentionnés perfectionnent les techniques Le mois de février aura été marqué par la hausse sensible d'un nouveau mode de diffusion d’applications malveillantes. Les individus malintentionnés ont utilisé des feuilles de style en cascade (CSS) afin d’enregistrer des blocs de données de téléchargeur de script, ce qui complique énormément, pour de nombreux logiciels antivirus, la détection des scripts malveillants. Cette méthode, actuellement employée dans la majorité des attaques par téléchargement à la dérobée, permet aux individus malintentionnés de se protéger contre la détection des codes d'exploitation téléchargés. Dans le cadre d'une attaque par téléchargement à la dérobée, l'utilisateur est redirigé, à l'aide d'un IFrame, du site infecté vers une page contenant une feuille de style CSS et le téléchargeur de script malveillant. Nous retrouvons dans le Top 20 trois programmes qui appliquent cette technique : Trojan-Downloader.HTML.Agent.sl (1re position), Exploit.JS.StyleSheeter.b (13e position) et Trojan.JS.Agent.bte (19e position). Les téléchargeurs de script sur ces pages malveillantes lancent deux types de code d'exploitation. L'un deux que nous avons détecté sous le nom Exploit.HTML.CVE-2010-1885.ad (4e position) exploite la vulnérabilité CVE-2010-1885 et a été déclenché en moyenne chez près de 10 000 utilisateurs uniques par jour. Le deuxième type de code d'exploitation exploite la vulnérabilité CVE-2010-0840. Nous détectons ces codes d'exploitation sous les noms Trojan.Java.Agent.ak (7e position), TrojanDownloader.Java.OpenConnection.dc (9e position) et TrojanDownloader.Java.OpenConnection.dd (3e position). Bien que la première vulnérabilité ait déjà été, par le passé, exploité par les individus malintentionnés, l'utilisation active de CVE-2010-0840 est un phénomène qui n’a été observé qu’en février. Les statistiques du module heuristique confirme que l'application des feuilles de style en cascade pour protéger les codes d'exploitation et diffuser les applications malveillantes domine actuellement les attaques par téléchargement à la dérobée menées par les individus malintentionnés. La majorité des domaines vers lesquels les utilisateurs sont redirigés figure déjà dans la base de notre Antivirus Internet et ont le statut Bloqué. Maintien du danger des vulnérabilités dans le format PDF Les données statistiques fournies par le module heuristique montrent que le nombre d'utilisateurs uniques, chez qui des codes d'exploitation pour PDF ont été détectés, est supérieur à 58 000. L'exploitation des vulnérabilités dans les fichiers PDF constitue pour l'instant une des principales méthodes utilisées par les individus malintentionnés pour introduire des programmes malveillants dans les ordinateurs des utilisateurs. Un de ces codes d'exploitation pour PDF est Exploit.JS.Pdfka.ddt, qui a atteint la 8e position dans le classement des programmes malveillants sur Internet. Palevo compacté Le compacteur malveillant utilisé pour protéger le ver de réseau P2P Palevo a été détecté par le module de protection heuristique chez plus de 67 000 utilisateurs uniques. Pour rappel, ce ver est responsable de la création du réseau de zombies Mariposa démantelé par la police espagnole. Il est probable que la diffusion active du ver compacté soit liée à la volonté des individus malintentionnés de créer un nouveau réseau de zombies ou de restaurer l'ancien. Le compacteur possède une caractéristique intéressante car il permet d’ajouter une multitude de chaînes aléatoires dans le fichier compacté. Menaces sur les appareils nomades Android Plusieurs nouveaux programmes malveillants ont été détectés en février sur la plateforme nomade Android. L'un d'entre eux, Trojan-Spy.AndroidOS.Adrd.a, possède une fonctionnalité de porte dérobée. Il contacte un serveur distant et lui transmet les données d'identification du téléphone portable : IMEI et IMSI. Le centre de commande répond en envoyant des informations que le programme malveillant exploite afin d'interroger les moteurs de recherche en arrière plan. Ces requêtes servent à faire augmenter le nombre de visites sur certains sites. Il convient de noter que le programme malveillant examiné n'a été découvert que dans les référentiels chinois. Le deuxième programme malveillant pour le système d'exploitation Android s'appelle TrojanSpy.AndroidOS.Geinimi.a. Il s'agit d'une version « améliorée » de la famille Adrd qui a été détectée non seulement en Chine, mais également aux États-Unis, en Espagne, au Brésil et en Russie. Trojan-SMS sur J2ME Les programmes malveillants pour la plateforme J2ME sont également très fréquents. Par exemple, le programme malveillant Trojan-SMS.J2ME.Agent.cd qui fait son entrée dans le Top 20 des programmes malveillants les plus diffusés sur Internet en18e position. Il se propage principalement sous la forme de liens dans des messages non sollicités dans ICQ et sa principale fonctionnalité est l'envoi de SMS vers un numéro surfacturé. Ce ver est surtout présent en Russie et en Espagne, les chiffres des autres pays n’étant pas significatifs.