Kaspersky Analysis Aperçu de l activité virale en février 2011

Aperçu de l'activité virale : février 2011
Le mois de février en chiffres
Voici le bilan de l'activité des logiciels de Kaspersky Lab sur les ordinateurs des utilisateurs :
228 649 852 attaques de réseau ont été déjouées ;
70 465 949 tentatives d'infection via des sites Web ont été bloquées ;
252 187 961 programmes malveillants ont été détectés et neutralisés (tentatives
d'infection locale) ;
75 748 743 verdicts heuristiques ont été recensés.
Attaques par téléchargement à la dérobée : les individus malintentionnés
perfectionnent les techniques
Le mois de février aura été marqué par la hausse sensible d'un nouveau mode de diffusion
d’applications malveillantes. Les individus malintentionnés ont utilisé des feuilles de style en
cascade (CSS) afin d’enregistrer des blocs de données de téléchargeur de script, ce qui
complique énormément, pour de nombreux logiciels antivirus, la détection des scripts
malveillants. Cette méthode, actuellement employée dans la majorité des attaques par
téléchargement à la dérobée, permet aux individus malintentionnés de se protéger contre la
détection des codes d'exploitation téléchargés.
Dans le cadre d'une attaque par téléchargement à la dérobée, l'utilisateur est redirigé, à l'aide
d'un IFrame, du site infecté vers une page contenant une feuille de style CSS et le téléchargeur
de script malveillant. Nous retrouvons dans le Top 20 trois programmes qui appliquent cette
technique : Trojan-Downloader.HTML.Agent.sl (1re position), Exploit.JS.StyleSheeter.b (13e
position) et Trojan.JS.Agent.bte (19e position).
Les téléchargeurs de script sur ces pages malveillantes lancent deux types de code
d'exploitation. L'un deux que nous avons détecté sous le nom Exploit.HTML.CVE-2010-1885.ad
(4e position) exploite la vulnérabilité CVE-2010-1885 et a été déclenché en moyenne chez près
de 10 000 utilisateurs uniques par jour.
Le deuxième type de code d'exploitation exploite la vulnérabilité CVE-2010-0840. Nous
détectons ces codes d'exploitation sous les noms Trojan.Java.Agent.ak (7e position), TrojanDownloader.Java.OpenConnection.dc
(9e
position)
et
TrojanDownloader.Java.OpenConnection.dd (3e position).
Bien que la première vulnérabilité ait déjà été, par le passé, exploité par les individus
malintentionnés, l'utilisation active de CVE-2010-0840 est un phénomène qui n’a été observé
qu’en février.
Les statistiques du module heuristique confirme que l'application des feuilles de style en
cascade pour protéger les codes d'exploitation et diffuser les applications malveillantes domine
actuellement les attaques par téléchargement à la dérobée menées par les individus
malintentionnés. La majorité des domaines vers lesquels les utilisateurs sont redirigés figure
déjà dans la base de notre Antivirus Internet et ont le statut Bloqué.
Maintien du danger des vulnérabilités dans le format PDF
Les données statistiques fournies par le module heuristique montrent que le nombre
d'utilisateurs uniques, chez qui des codes d'exploitation pour PDF ont été détectés, est
supérieur à 58 000. L'exploitation des vulnérabilités dans les fichiers PDF constitue pour
l'instant une des principales méthodes utilisées par les individus malintentionnés pour
introduire des programmes malveillants dans les ordinateurs des utilisateurs. Un de ces codes
d'exploitation pour PDF est Exploit.JS.Pdfka.ddt, qui a atteint la 8e position dans le classement
des programmes malveillants sur Internet.
Palevo compacté
Le compacteur malveillant utilisé pour protéger le ver de réseau P2P Palevo a été détecté par le
module de protection heuristique chez plus de 67 000 utilisateurs uniques. Pour rappel, ce ver
est responsable de la création du réseau de zombies Mariposa démantelé par la police
espagnole. Il est probable que la diffusion active du ver compacté soit liée à la volonté des
individus malintentionnés de créer un nouveau réseau de zombies ou de restaurer l'ancien.
Le compacteur possède une caractéristique intéressante car il permet d’ajouter une multitude
de chaînes aléatoires dans le fichier compacté.
Menaces sur les appareils nomades
Android
Plusieurs nouveaux programmes malveillants ont été détectés en février sur la plateforme
nomade Android. L'un d'entre eux, Trojan-Spy.AndroidOS.Adrd.a, possède une fonctionnalité
de porte dérobée. Il contacte un serveur distant et lui transmet les données d'identification du
téléphone portable : IMEI et IMSI. Le centre de commande répond en envoyant des
informations que le programme malveillant exploite afin d'interroger les moteurs de recherche
en arrière plan. Ces requêtes servent à faire augmenter le nombre de visites sur certains sites. Il
convient de noter que le programme malveillant examiné n'a été découvert que dans les
référentiels chinois.
Le deuxième programme malveillant pour le système d'exploitation Android s'appelle TrojanSpy.AndroidOS.Geinimi.a. Il s'agit d'une version « améliorée » de la famille Adrd qui a été
détectée non seulement en Chine, mais également aux États-Unis, en Espagne, au Brésil et en
Russie.
Trojan-SMS sur J2ME
Les programmes malveillants pour la plateforme J2ME sont également très fréquents. Par
exemple, le programme malveillant Trojan-SMS.J2ME.Agent.cd qui fait son entrée dans le Top
20 des programmes malveillants les plus diffusés sur Internet en18e position. Il se propage
principalement sous la forme de liens dans des messages non sollicités dans ICQ et sa principale
fonctionnalité est l'envoi de SMS vers un numéro surfacturé. Ce ver est surtout présent en
Russie et en Espagne, les chiffres des autres pays n’étant pas significatifs.