Bulletin semestriel de janvier à juin 2009

G Data
Compte rendu des
logiciels malveillants
Bulletin semestriel de janvier à juin 2009
Ralf Benzmüller & Werner Klier
G Data Security Labs
Go safe. Go safer. G Data.
Compte rendu des logiciels malveillants G Data, janvier-juin 2009
Compte rendu des logiciels malveillants G Data
Janvier - juin 2009
Ralf Benzmüller & Werner Klier
G Data Security Labs
Copyright © 2009 G Data Software AG
1
Vue d'ensemble
Chiffres
• Au premier semestre 2009, G Data a identifié 663.952 nouveaux programmes malveillants,
soit deux fois plus que l’année précédente sur la même période. Mais comparée au second
semestre 2008, l’augmentation est seulement de 15 %. Le nombre de familles actives de
programmes malveillants a quant à lui diminué de 7 %.
• Les catégories de programmes malveillants les plus courantes sont les chevaux de Troie, les
portes dérobées et les téléchargeurs. Si les chevaux de Troie et les téléchargeurs ont progressé, la part des portes dérobées a décliné. Les rootkits poursuivent leur croissance. Leur
nombre est plus de 8 fois supérieur, comparé à la même période sur l’année 2008.
• Les logiciels malveillants avec leurs propres routines de diffusion constituent seulement 4 %
des parasites informatiques.
• Les chevaux de Troie, portes dérobées et voleurs de comptes de jeux en ligne font partie
des logiciels malveillants les plus actifs. La famille de vers «Autorun» progresse fortement.
Avec une part de 1,6 %, sa fréquence a été multipliée par 5 par rapport au premier semestre
2008.
• 99,3% des logiciels malveillants du deuxième semestre sont exécutés sous Windows. La
concentration sur le leader du marché des systèmes d’exploitation se poursuit.
• Les codes malveillants pour plateformes mobiles sont passés dans le Top 5. Avec 106 parasites, sa part reste toutefois à un niveau très faible.
• Les utilisateurs de MacOS X sont également attaqués par des logiciels malveillants. 15 nouveaux parasites sont apparus et le premier réseau Botnet sur système MacOS X a été détecté
en avril.
Événements et tendances
• Les chevaux de Troie publicitaires et les logiciels basés sur la peur (Scareware) sont en forte
progression. Les solutions de protection antivirus imitées sont devenues chez les cyberdélinquants des outils de choix pour voler les données bancaires de leurs victimes.
• Les réseaux sociaux sont de plus en plus souvent utilisés pour diffuser des courriers indésirables et des logiciels malveillants.
• Conficker devient un incontournable. Il a infecté plusieurs millions de PC et a fait parler de
lui le 1er avril avec une nouvelle routine de mise à jour. Il s'est fait ensuite silencieux.
Prévisions
• Le nombre de logiciels malveillants va continuer à progresser dans les mois à venir, mais
les taux de croissance seront moins importants et les familles de logiciels malveillants vont
encore se réduire.
• Les utilisateurs de MacOSX et Smartphones vont entrer dans la ligne de mire des auteurs de
logiciels malveillants.
2
Copyright © 2009 G Data Software AG
Compte rendu des logiciels malveillants G Data, janvier-juin 2009
Contenu
Vue d'ensemble........................................................................................................................2
Chiffres..........................................................................................................................................................................2
Événements et tendances......................................................................................................................................2
Prévisions......................................................................................................................................................................2
Le flux de logiciels malveillants poursuit sa progression - mais plus aussi fortement.......................4
Catégories de logiciels malveillants....................................................................................................................4
Liens familiaux............................................................................................................................................................6
Plateformes..................................................................................................................................................................8
Perspective 2009......................................................................................................................9
Prévisions......................................................................................................................................................................9
Événements et tendances du premier semestre 2009........................................................10
Janvier 2009.............................................................................................................................................................. 10
Février 2009...............................................................................................................................................................11
Mars 2009...................................................................................................................................................................13
Avril 2009....................................................................................................................................................................14
Mai 2009.....................................................................................................................................................................15
Juin 2009.................................................................................................................................................................... 16
Copyright © 2009 G Data Software AG
3
Logiciels malveillants : chiffres et données
Le flux de logiciels malveillants poursuit sa progression - mais plus
aussi fortement
Au cours des années passées, le nombre des nouveaux parasites a augmenté en permanence.
Avec des taux de croissance de plus en plus élevés, de nouveaux records ont souvent été
atteints. Le nombre des parasites informatiques a également augmenté au cours du premier
semestre 2009. Par rapport à la même période de l'année précédente, le nombre de parasites,
de 663.952, a plus que doublé. Mais comme il a déjà été annoncé dans le dernier compte-rendu
des logiciels malveillants G Data, le taux de croissance a diminué. Par comparaison avec le
second semestre 2008, le nombre des parasites a seulement augmenté de 15 %.
㄀㘀　㄀㐀　㄀㈀　㄀　㠀　㘀　㐀　㈀　䨀愀渀
01
02
䘀攀戀
03
䴀爀稀
04
䄀瀀爀椀氀
05
䴀愀椀
06
䨀甀渀椀
07
䨀甀氀椀
08
䄀甀最
09
匀攀瀀
10
伀欀琀
11
一漀瘀
12
䐀攀稀
Diagramme 1 : nombre de nouveaux logiciels malveillants par mois pour 2008 (gris) et 2009 (rouge)
Catégories de logiciels malveillants
Un aperçu des modifications dans chaque catégorie de logiciel malveillant permet d’expliquer ce
ralentissement de croissance. Si les rootkits et les chevaux de Troie connaissent une progression supérieure à la moyenne, les portes dérobées, logiciels publicitaires et logiciels espions sont stables. Les
téléchargeurs et de droppers quant à eux sont justes au dessus de la moyenne.
Les portes dérobées sont nécessaires pour intégrer un ordinateur zombie dans un réseau Botnet
afin de pouvoir l’administrer à distance. Un recul dans ce domaine signifie que le développement
des réseaux botnet a perdu en importance. Manifestement, les capacités disponibles suffisent pour
effectuer la demande d’activités telle que l’expédition de courrier indésirable et des attaques de déni
de service distribué (DDoS). La hausse inquiétante des Rootkits signale que de plus en plus de parasites (également des portes dérobées) pourraient ne plus être visibles par les protections antivirus
et les utilisateurs avancés. Le marché des logiciels publicitaires reste à un haut niveau, mais stagne
également. Des campagnes de prise de conscience semblent avoir porté leurs fruits. Mais les budgets
publicitaires limités par la crise économique peuvent aussi expliquer que l’économie eCrime fasse, elle
aussi, profil bas.
4
Copyright © 2009 G Data Software AG
Compte rendu des logiciels malveillants G Data, janvier-juin 2009
Le nombre de logiciels espions a diminué. Plus en détail, le nombre des enregistreurs de frappe a doublé, tandis que les chevaux de Troie bancaires et les usurpateurs de mots de passe ou jeux en ligne ont
chacun diminué d’env. 30 %. Les mesures de sécurité accrues des banques et chez les exploitants de
jeux en ligne ne peuvent plus être contournées par des moyens simples. Dans le domaine des usurpateurs, la tendance s’oriente vers des parasites de plus en plus universels et performants.
Catégorie
Nb.
PourcenNb.
% des me- Différence
Nb.
%des me- Différence
premier tage des deuxième naces au 2008H1 deuxième naces au 2008H1
semestre menaces semestre deuxième 2008H2 semestre deuxième 2009H1
2009 au premier 2008
semestre
2008
semestre
semestre
221.610
33,6% 155.167
26,9%
143% 52.087
16,4%
425%
Chevaux de
Troie
Portes déro104.224
bées
Téléchargeurs/ 147.942
droppers
Logiciels
97.011
espions
Logiciels
34.813
publicitaires
Vers
26.542
Outils
11.413
Rootkits
12.229
Exploits
2.279
Composeurs
1.153
Virus
143
Autres
4.593
Total
663.952
15,7% 125.086
21,7%
83%
75.027
23,6%
139%
22,1%
115.358
20,0%
128%
64.482
20,3%
229%
14,6%
96.081
16,7%
101%
58.872
18,5%
165%
5,3%
40.680
7,1%
86%
32.068
10,1%
109%
4,0% 17.504
1,6%
7.727
1,9%
6.959
0,3%
1.841
0,2%
1013
0,0%
167
0,7%
8.419
100,0% 576.002
3,0%
1,3%
1,2%
0,3%
0,2%
0,0%
1,5%
100,0%
152%
148%
176%
124%
114%
86%
55%
115%
10.227
12.203
1.425
1.613
4.760
327
5.170
318248
3,2%
3,8%
0,4%
0,5%
1,5%
0,1%
1,6%
100,0%
260%
94%
858%
141%
24%
44%
89%
209%
Tableau 1 : Nombre et part des nouvelles catégories de logiciels malveillants au cours du premier semestre 2008 et
2009 avec modification
Le tableau 1 montre que le nombre des composeurs a diminué d’un quart par rapport au
volume de l’année précédente. Le modèle commercial du Composeur arrive à son terme (les
liaisons ADSL, Câble et Fibre qui se généralisent ont mis fin à ces systèmes exploitant les modems bas-débit). Le nombre des virus classiques (les contaminateurs de fichiers) a également
beaucoup diminué par rapport à l’année précédente. Cette voie de propagation constitue une
exception. Les vers - parmi lesquels le grand groupe des contaminateurs Autorun - passent à 4
%. Leur nombre a été multiplié par 2,6 par rapport au premier semestre 2008 et a augmenté de
1,5 fois par rapport au second semestre 2008.
Copyright © 2009 G Data Software AG
5
Liens familiaux
Au moyen des fonctions et des propriétés des codes utilisés, les parasites informatiques sont subdivisés en familles. Depuis des années le nombre de ces familles est en baisse. Au cours du premier
semestre 2008, il en existait 2395, contre 2094 lors du second semestre. 1948 familles de virus ont été
comptabilisées pour les 6 premiers mois de l’année 2009. Un nombre de parasites en hausse, mais une
baisse des familles : le secteur se concentre…
1
2
3
4
5
6
7
8
9
10
Nb.
premier
semestre
2009
34.829
26.879
18.576
16.719
16.675
13.889
13.104
11.106
10.322
10.312
Famille de
virus
Monder
Hupigon
Genome
OnlineGames
Buzus
Fraudload
Bifrose
Inject
Poison
Magania
Nb.
deuxième
semestre
2008
45.407
35.361
20.708
18.718
15.937
13.133
13.104
12.805
11.530
10.412
Famille de
virus
Hupigon
OnlineGames
Monder
MonderB
Cinmus
Buzus
Magania
PcClient
Zlob
Virtumonde
Nb.
premier
semestre
2008
32.383
19.415
13.922
11.933
7.370
7.151
6.779
6.247
6.194
5.433
Famille de
virus
Hupigon
OnLineGames
Virtumonde
Magania
FenomenGame
Buzus
Zlob
Cinmus
Banload
Bifrose
Tableau 2 : Top 10 des familles de virus les plus actifs au premier semestre 2008 et 2009
Tandis que certaines familles ne possèdent que quelques variantes, d’autres sont particulièrement productives. Certaines d’entre elles sont déjà présentes dans le Top 10 depuis quelques
années. Comptent parmi celles-ci les portes dérobées des familles Hupigon et Bifrose, qui ont
perdu leur place de leader, les voleurs de données pour les jeux en ligne des familles OnlineGames et Magania ainsi que les chevaux de Troie de la famille Buzus. Les nouveaux numéros
un sont les chevaux de Troie publicitaires/logiciels basés sur la peur (Scareware) de Monder, qui
suivent les traces de Virtumonde. Avec l’entrée au classement de Fraudload, ils montrent à quel
point les scareware et leurs solutions de protection antivirus imitées sont devenus populaires
chez les cyber-délinquants. Les familles Genome, Poison et Inject sont également nouvelles
dans le top 10.
6
Copyright © 2009 G Data Software AG
Compte rendu des logiciels malveillants G Data, janvier-juin 2009
Place 1 : Monder
Les innombrables variantes de Monder sont des
chevaux de Troie qui manipulent des paramètres de
sécurité sur le système infecté et le rendent ainsi perméable à d’autres attaques. En outre, une infection par
des logiciels publicitaires peut se produire. Elle affiche
sur le système infecté des inserts publicitaires indésirables, en particulier pour les logiciels de sécurité
falsifiés. Il est suggéré à la victime de procéder à l’analyse des infections de son système. Pour éliminer ces
prétendues infections, la victime est incitée à acquérir
la «version complète» et à payer par carte de crédit
(!!). Certaines variantes téléchargent d’autres logiciels
malveillants et transmettent à l’auteur de l’attaque
des informations sur les habitudes de navigation de la
victime, sans en informer l’utilisateur.
Place 2 : Hupigon
La porte dérobée Hupigon permet entre autres à
l’auteur de l’attaque de commander l’ordinateur à
distance, d’enregistrer les saisies de clavier, d’accéder
au système de fichiers et d’allumer la Webcam.
Place 3 : Genome
La famille des chevaux de Troie Genome allie des fonctionnalités telles que le téléchargeur, l'enregistreur de
frappe ou le codage de fichiers.
Place 4 : Buzus
Les chevaux de Troie de la famille Buzus examinent
les systèmes infectés de leur victime pour y trouver
des données personnelles (cartes de crédit, banque
en ligne, accès email et FTP), qui sont transmises à
l’auteur de l’attaque. En outre, ils tentent de réduire
les paramètres de sécurité de l’ordinateur et de rendre
ainsi le système de la victime vulnérable.
Place 5 : OnlineGames
Les membres de la famille Onlinegames dérobent
principalement les données d’accès des jeux en ligne.
Pour cela, certains fichiers et entrées du registre sont
examinés. Un enregistreur de frappe peut aussi être
installé. Dans ce dernier cas, les données de jeux
peuvent ne pas être les seules informations volées. Ces
attaques visent principalement les jeux populaires en
Asie.
Copyright © 2009 G Data Software AG
Place 6 : Fraudload
La famille Fraudload comprend d’innombrables
variantes de ce que l’on appelle des programmes
«Scareware». Ils se présentent à l’utilisateur comme des
logiciels de sécurité ou outils du système. Il est suggéré à la victime de procéder à l’analyse des infections de
son système. Pour éliminer ces prétendues infections,
elle est alors incitée à acquérir la «version complète»
en fournissant ses informations de carte de crédit sur
un site internet. Des achats frauduleux sont alors effectués avec cette carte. L’infection a lieu en général via
des failles de sécurité non patchées dans le système
d’exploitation ou des applications vulnérables. Une
autre méthode d’attaque consiste à attirer la victime
vers des pages sur lesquelles des vidéos d’actualité
(souvent érotiques) peuvent, soi-disant, être consultées. La victime est alors invitée à installer un codec
vidéo spécial pour visualiser ces contenus. Codec qui
dissimule bien entendu un logiciel malveillant.
Place 7 : Bifrose
La porte dérobée Bifrose permet aux auteurs d’attaque d’accéder à des ordinateurs infectés. La prise de
contrôle est pilotée à distance par des serveurs IRC.
Place 8 : Poison
La porte dérobée Poison permet à l’auteur de l’attaque
un accès à distance au système de la victime. Une prise
de contrôle utilisé pour par exemple, démarrer des
attaques de déni de service distribué.
Place 9 : Magania
Les chevaux de Troie de la famille Magania originaire
de Chine se sont spécialisés dans le vol de données de
comptes de jeux de la société de logiciels taïwanaise
Gamania. En général, les exemplaires Magania sont
distribués par emails dans lesquels se trouvent des
archives RAR compressées plusieurs fois. En exécutant
le logiciel malveillant, une image de diversion est tout
d’abord affichée, tandis qu’en arrière-plan d’autres
fichiers sont déposés dans le système. Magania insère
également des DLL dans Internet Explorer et peut ainsi
lire le trafic Web.
Place 10 : Inject
La famille Inject comprend une multitude de chevaux
de Troie qui s’enclenchent dans les processus en cours
et qui peuvent ainsi en prendre le contrôle. Ceci permet à l’auteur de l’attaque de manipuler les processus
infectés selon ses besoins.
7
La famille de vers la plus active est «Autorun», avec 9.689 variantes et une part de 1,6 %.
Les représentants de cette famille utilisent le mécanisme qui exécute automatiquement les
fichiers à la création de CD/DVD ou au raccordement de supports de données USB. Il se copie
pour cela sur le support de données et génère un fichier adéquat du nom de autorun.inf. Face
à la large propagation de ce parasite, il est préférable de désactiver le mécanisme Autorun de
Windows. Pour que cela fonctionne réellement, Microsoft a créé son propre patch.
Les Exploits les plus fréquents ont concerné la faille de sécurité WMF et des points névralgiques dans des PDF. Le nombre des fichiers PDF nuisibles a considérablement augmenté au
cours des derniers mois. Non seulement les failles de sécurité sont exploitées, mais la possibilité d'exécuter le code JavaScript en PDF bénéficie également d’une popularité croissante chez
les auteurs de logiciels malveillants.
Plateformes
Les auteurs de logiciels malveillants concentrent toujours autant leurs attaques sur les ordinateurs sous Windows. La part de logiciels malveillants sur ce système a encore augmenté pour
atteindre 99,3 %. Des logiciels malveillants pour d’autres systèmes d’exploitation sont extrêmement rares. Pour des systèmes basés sur Unix, 66 parasites (par comparaison avec 16 au cours
du second semestre 2009) ont été créés et 15 nouveaux parasites ont été trouvés sur MacOS X.
Au cours du second semestre 2008, il n’y en avait que 6. Même si une tendance à la hausse aux
logiciels malveillants pour d’autres systèmes d’exploitation est constatée, leur quantité comparée au flux des logiciels malveillants Windows est très faible.
Plate-forme
Nb. premier
% premier Nb. deuxième % deuxième Nb. premier Proportion
semestre 2009 semestre 2009 semestre 2008 semestre 2008 semestre 2008
1 Win32
659.009
99,3%
571.568
99,2%
312.656
98,2%
2 WebScripts
3.301
0,5%
2.961
0,5%
3.849
1,4%
3 Scripts
924
0,1%
1.062
0,2%
1.155
0,3%
4 MSIL
365
0,1%
318
0,1%
252
0,1%
5 Mobile
106
0,0%
70
0,0%
41
0,0%
Tableau 3 : Top 5 plates-formes 2008 et au premier semestre 2009. Les scripts Web font référence aux logiciels malveillants basés sur JavaScript, HTML, Flash/Shockwave, PHP ou ASP et qui exploitent généralement les failles via le
navigateur. Les scripts sont des scripts Batch ou Shell ou des programmes rédigés en langage VBS, Perl, Python ou
Ruby. Le langage MSIL fait référence aux logiciels malveillants présents dans le code intermédiaire des programmes
.NET. «Mobile» fait référence aux logiciels malveillants pour J2ME, Symbian et Windows CE.
Le nombre de nouveaux logiciels malveillants pour terminaux mobiles a augmenté environ
de moitié, ce qui fait entrer ces dangers dans le Top 5. Au total, 106 nouveaux parasites sont
apparus. Environ 90 de ceux-ci n’ont pas de routine de diffusion spécifique. Ils sont utilisés
pour envoyer des SMS surtaxés vers des clients russes et chinois. Seule la famille Yxe se diffuse
de manière autonome par SMS avec un lien vers un site Internet. Le fichier qui est proposé au
téléchargement est signé par Symbian. Ainsi, l'action utilisateur toujours nécessaire est réduite
à un clic.
8
Copyright © 2009 G Data Software AG
Compte rendu des logiciels malveillants G Data, janvier-juin 2009
Perspective 2009
Au cours des mois à venir, les logiciels malveillants serviront encore à gagner beaucoup d’argent. L’économie eCrime est bien établie et les modèles commerciaux éprouvés (courriers
indésirables, logiciels espions et logiciels publicitaires) garantissent toujours des gains importants pour les concepteurs, propagateurs et utilisateurs de logiciels malveillants. Les utilisateurs
de Windows continueront à être dans la cible de mire des cyber-délinquants.
Le flux de logiciels malveillants poursuivra sa progression. Il est cependant prévisible que le
nombre croissant soit couvert par de moins en moins de familles. Les taux de croissance ne
sont pas aussi évidents que les années passées.
Face au professionnalisme de l’économie souterraine, des failles de sécurité dans le système
d’exploitation et dans les applications populaires pourraient être utilisées par les logiciels
malveillants dès leur publication. Des outils faciles à utiliser permettent à des novices de créer
en peu de temps des logiciels malveillants utilisant ces failles. Le maillon le plus faible de la
chaîne est actuellement le navigateur et ses composants. La plupart des failles de sécurité sont
trouvées et utilisées à cet endroit. Les utilisateurs dont l’ordinateur n’est pas bien à jour offrent
une plus large surface d’accès aux attaques de logiciels malveillants.
Mais d’autres plates-formes font également l’objet d’expérimentations. Le nombre de parasites
pour les ordinateurs Apple, Unix et mobiles augmentera. Une utilisation de masse n’est cependant pas attendue.
Comme de nombreux points d’entrées utilisés par les utilisés par les logiciels malveillants sont
maintenant protégés par des technologies de sécurité, les auteurs d’attaques se rabattent sur
d’autres domaines. Les pages Web avec leurs nombreuses applications offrent actuellement
les plus grandes chances de succès. Il faut donc s’attendre à ce que ce domaine soit également
utilisé dans les mois à venir avec des scénarios à chaque fois différents et astucieux. L’utilisation
de médias jusqu’à présent sous-estimés tels que Flash ou PDF pourrait être renforcée. L’astuce
des fraudeurs, qui consiste à entraîner l’utilisateur vers une page Web infectée ou à exécutant
des fichiers corrompus, va connaitre une augmentation. Nous nous attendons à de nouvelles
techniques trompeuses, en particulier dans des réseaux sociaux. Twitter offre de nombreuses
opportunités aux cyber-délinquants.
Prévisions
Tendance
Catégorie
Chevaux de Troie
Portes dérobées
Téléchargeurs/droppers
Logiciels espions
Logiciels publicitaires
Virus/Vers
Outils
Copyright © 2009 G Data Software AG
Catégorie
Rootkits
Exploits
Win32
WebScripts
Scripts
MSIL
Mobile
Tendance
9
Événements et tendances du premier semestre 2009
Lesévénementsimportantsautourdeslogicielsmalveillantssontreprésentésdansl’ordre
chronologique.LesévénementsautourdeConficker,quiafaitbeaucoupdebruitaucoursdes
premiersmoisdel’année,sefontprincipalementremarquer.Lesnombreuxincidentsdansdes
réseauxsociauxappréciéstelsqueTwitter,LinkedIn,MySpaceetFacebooksontaussimarquants.Outrelesdifférentsincidents,d’autrestendancesmontrentégalementquelesréseaux
sociauxgagnentenattractivité.Tandisquel’hameçonnageétaitencorelimitéilyaunan
presqueexclusivementauxbanquesetàeBay,GoogleetlesréseauxsociauxFacebook,Sulake
etMySpacesontdevenusaucoursduderniersemestredesreprésentantspermanentsdansle
PhishtankTop10.Lesréseauxsociauxserventaucyber-délinquantsdesourced’information
afindepréparerdesattaquescibléesetenvoyerdescourriersindésirablespersonnalisés.
Cesréseauxsonttrèsappréciés,égalementparlesauteursdelogicielsmalveillants.Cequ’attesteenparticulierledéveloppementduverKoobface.Alorsqu’audébut,ilétaitcommeson
noml’indiqueconcentrésurFacebook,ilestapparupeuaprèssurMySpace.Ils’estensuite
répandusurlesréseauxhi5.com,friendster.com,myyearbook.com,bebo.com,tagged.com,
netlog.com,fubar.cometlivejournal.com.Lesliensquiysontdéposésmontrentdespages
Webdanslesquellesdesmodèlesdefraudeéprouvés,«AntiVirusfrauduleux»ou«téléchargementCodec/Flash»,sontessayés.MaisKoobfaces’élargitégalementdanslenombre,commele
montreletableausuivant.Enjuin,lenombredevariantesapresqueétémultipliépardix.
Mois
# Variantes Koobface
Jan 09
18
Fév 09
14
Mars 09
23
Avr 09
50
Mai 09
56
Juin 09
541
Tableau 4 : Nombre de variantes Koobface au cours du premier semestre 2009
Danslesmoisàvenir,nousnousattendonsàdavantagedelogicielsmalveillantsdansles
réseauxsociaux.Aveclenombrecroissantd'utilisateurs,l'attractivitédespropagateursde
logicielsmalveillantss'accroîtégalement.
Janvier 2009
05.01. Lesutilisateursdumicro-blogTwittersontattiréspardesmessagesrapidescibléssur
unefaussepagedeconnexionauservice,afindevolerlesdonnéesd'accèspourdes
campagnesd'hameçonnagefutures.
06.01. Twitteravertit:“Multipleaccountshacked.Situationstable”.Lescomptesde
BritneySpearsetBarackObamasontentre
autresconcernés.Desmessagespartiellementmalveillantssontenvoyésaunom
des victimes
07.01. Defauxprofilsdestarssontcrééssurla
pagederéseauxsociauxLinkedIn.Ils
contiennentdesliensquirenvoientàun
fauxscannerdevirusouàuneversion
infectéepardeschevauxdeTroiede
10
Copyright © 2009 G Data Software AG
Compte rendu des logiciels malveillants G Data, janvier-juin 2009
Windows Media Player. Victimes célèbres : Victoria Beckham, Beyoncé Knowles, Salma
Hayek entre autres
08.01. 3000 ordinateurs du gouvernement du land autrichien de Carinthie sont tombés en
panne en raison d’une attaque par Conficker. Motif : La mise à jour de sécurité publiée
par Microsoft dès octobre 2008, qui comble les failles de sécurité exploitées par Conficker, n’a pas encore été installée.
12.01. Conficker passe de nouveau à l’attaque en Carinthie, cette fois dans les hôpitaux de
l’association des centres hospitaliers de Carinthie KABEG. Environ 3000 ordinateurs
sont à nouveau touchés.
14.01. Des estimations supposent déjà 2,5 millions d’infections Conficker. Il est découvert
pour la première fois que Conficker génère au moyen d’un algorithme spécial des
noms de domaine en permanence, avec lesquels il prend contact. Destination : Les
auteurs d’attaque qui enregistrent ainsi bon nombre des domaines et peuvent ainsi les
utiliser pour télécharger ultérieurement d’autres codes malveillants ou alimenter des
ordinateurs infectés avec d’autres instructions.
21.01. L’épidémie Conficker se répand constamment : de grandes parties des forces armées
sont concernées.
23.01. Une copie du cheval de Troie de logiciels de layout et de présentation Apple iWork 09
circule dans le réseau BitTorrent. Environ 20.000 utilisateurs doivent déjà avoir téléchargé la copie diffusée en début de mois.
25.01. La bourse au travail Monster.com indique qu’elle a été la victime d’un usurpateur. Par
des «accès non autorisés» à la base de données de l’entreprise, des données d’accès,
noms, numéros de téléphone et adresses email ainsi que quelques données démographiques ont apparemment été volés.
Février 2009
01.02. En raison d’une faille de sécurité, la commande des comptes utilisateurs (UAC) peut
être désactivée dans la version bêta de Windows 7 au moyen d’un script simple, ce qui
permet à l’auteur de l’attaque d’installer de manière invisible des logiciels malveillants
sur le système d’exploitation.
02.02. Les auteurs d’attaques manipulent le code du site du Hamburger Abendblatt, pour
infecter les visiteurs des pages par des logiciels malveillants.
04.02. Via une fausse page de connexion au réseau social appartenant à RTL wer-kennt-wen.
de, des données d’accès des utilisateurs sont espionnées.
08.02. Au moyen d’une attaque de déni de service distribué, différentes pages Web de
sécurité telles que Metasploit, Milw0rm ou Packetstorm sont paralysées.
10.02. Seulement deux jours après la première attaque, la page Internet du projet Metasploit
subit de nouveau une attaque DDoS. Les auteurs changent plusieurs fois de technique
d’attaque.
11.02. Via une faille de sécurité découverte un jour auparavant dans le système de gestion
des contenus Typo 3, différentes pages Web germanophones, qui n’ont pas encore
installé la mise à jour de sécurité correspondante, sont manipulées. Sont par exemple
touchés les pages Web du FC Schalke 04, sur lesquelles le licenciement de Kevin
Kuranyi est rapporté, ou le site de Wolfgang Schäuble, sur lequel un faux lien relatif à la
conservation des données est placé.
Copyright © 2009 G Data Software AG
11
12.02. Microsoftoffreuneprimede250.000dollarspourl’arrestationetlacondamnation
des auteurs du ver Conficker.L’éditeurdéclareparlamêmeoccasiontravailleren
étroitecollaborationavecl’ICANNetlesexploitantsdeserveursDNScentrauxafinde
limiterl’infectioncroissante.
14.02. Plusieurscentainesd’ordinateursdel’arméeallemandeontétéinfectésparConficker.
17.02. Enraisond’uneconfigurationerronéedurouteurchezunfournisseurInternettchèque,
lastabilitédelatransmissiondedonnéesestfortemententravéedanscertainesparties
del’Internetmondial.
23.02. LeschercheursdelogicielsmalveillantsanalysentlesvariantesBetB++duverConfickeretconstatentqueceux-ci,enraisondeleurstructuremodulaire,peuventagirde
manièreencorebienplusflexiblequelavarianteinitialeA.
25.02. Àl’aidedebannièresflashpréparées,lesauteursdel’attaquedistribuentvialapage
WebdumagazineenligneeWeeketcelleduréseauZiff-Davis,desdocumentsPDF
manipulés.Ilsinstallentunfauxlogicielantivirussurlesordinateursdesvictimes.
Mars 2009
01.03. Leschercheursenlogicielsmalveillantsdécodentl’algorithmeutiliséparConficker
pourgénérerdesnomesdedomained’unserveurdecontrôle.Ilgénèreégalement
desnoms,quisontdéjàutilisés.Aucoursdumoisdemars,lesdomaineslégitimes
jogli.com(moteurderecherchedemusique),wnsux.com(ligneaérienneSouthwestAirlines),qhflh.com(réseaudefemmeschinoises)etpraat.org(analyseaudio)sont
perturbéspardesessaisdeconnexiond’ordinateursConficker.
12
Copyright © 2009 G Data Software AG
Compte rendu des logiciels malveillants G Data, janvier-juin 2009
04.03. UneéquipedespécialistesdeLKABaden-Württembergparalyselaplate-formecommercialeillégalecodesoft.ccsurlaquelledeschevauxdeTroieetdesinformations
illégalessurlevoldedonnéesetlafalsificationdecartesdecréditsontproposésàla
vente.
09.03. Confickerutiliseunnouvelalgorithmequicalcule50.000domainesparjouraulieude
250jusqu’àprésent.Enoutre,desprocessussontarrêtéssurdesordinateursinfectés.
Cesprocessuscomportentdeschaînesdecaractèresprécisesquisontutiliséesparles
outilsd’analysespourdétecterlever.Leparasiterésisteainsiactivementauxmesures
visantàlimiterl’épidémie.
12.03. LaBBCbritanniqueprendlecontrôledanslecadred’uneémissiondetélévision,d’un
réseauBotnet avec environ 22.000 ordinateurs. Comme la prise de contrôle engendre
desreprochescontrelaBBC,celle-cilaisseentendrequecetteactionaétéréalisée
dansl’intérêtpublicetestcouverteparlesdirectivesdel’Offi
cebritanniquedela
communication(OFCOM).Laquestiondesavoirsidel’argentaétéinvestipourlaprise
enchargeduréseauBotnet.Aucuneréponsen’aétéapportéeparlaBBC.
17.03. Enutilisantledomainedhl-packstation.info,lescyber-délinquantsattirentviaune
campagned’hameçonnagedesutilisateursduserviced’envoiDHLPackstationvers
unefaussepagedeconnexion.Ilsrécoltentainsileurscodesd’accès.
23.03. Les routeurs DSL de type
NetcommNB5peuventêtre
manipuléssansmotdepasse
enraisond’unfirmwaretrop
vieuxvial’interfaceWeb
etaccèsSSHàInternet.Ils
constituentunréseauBotnet
du nom de Psybot, dont la
tailleestévaluéeàde80.000
à100.000routeursinfectés.
Copyright © 2009 G Data Software AG
13
30.03. Selon les experts, Conficker commencera au 1er avril à examiner les innombrables
domaines générés par son algorithme après des mises à jour. Personne ne peut dire à
ce moment-là ce qui se passera exactement dans le cadre de la prise de contact.
31.03. Le large intérêt des médias pour Conficker fait naître des profiteurs qui, au moyen de
manipulations ciblées, positionnent dans la liste de résultats du moteur de recherche
Google des sites Web avec de prétendus outils de désinfection. En réalité, il s’agit de
logiciels basés sur la peur, Scareware. De faux logiciels antivirus qui suggèrent une infection de l’ordinateur à la victime et veulent lui arracher des informations sur sa carte
de crédit.
Avril 2009
01.04. Les essais de mise à jour attendus de Conficker ne servent tout d’abord à rien. Apparemment, les systèmes infectés prennent comme attendu au préalable contact avec
des domaines précis. L’on suppose qu’aucune mise à jour n’est cependant prête à ce
moment-là.
09.04. Contrairement aux attentes initiales, Conficker ne télécharge pas de mises à jour
via des noms de domaine générés par un algorithme. Au lieu de cela, il recourt à un
mécanisme P2P alternatif et communique directement avec d’autres systèmes infectés.
La nouvelle variante bloque de manière ciblée l’accès à des sites Web de fabricants
d’antivirus afin de compliquer l’accès aux outils de désinfection.
12.04. Conficker télécharge à partir d’un serveur ukrainien le scareware «SpywareProtect2009», qui émet sur les systèmes des victimes de faux avertissements de virus. Pour
éliminer les parasites détectés (et de facto non existants), l’utilisateur infecté doit payer
49,95 dollars.
18.04. Les experts en sécurité découvrent les indices d’un premier réseau Botnet sur
MacOS X. La base de cette infection semble provenir d’une version d’Apple iWork 09
échangée sur les réseaux BitTorent et contenant des chevaux de Troie. Une version
d’Adobe Photoshop CS4 infectée circule aussi sur ces réseaux.
22.04. Le plus gros réseau Botnet est découvert. Il contient près de deux millions de PC
zombie infectés. Il est détenu par seulement 6 personnes qui exploitent le serveur de
commande et de contrôle à partir de l’Ukraine.
23.04. Dans la partie russe du World Wide Web, un cheval de Troie apparaît. Il bloque l’accès
de certains PC sous Windows. L’utilisateur est alors invité à envoyer un SMS à un numéro Premium particulièrement cher, s’il veut recevoir un code de déverrouillage.
Mai 2009
07.05. Une étude du groupe de télécommunications BT découvre que des disques durs
utilisés avant leur revente ne sont pas suffisamment effacés et peuvent contenir des
données extrêmement sensibles. Dans cette étude, l’achat de 300 disques durs utilisés
a entre autres permis de trouver les détails confidentiels d’un système antimissile américain ainsi que des modèles d’armes mis au point par le groupe d’armement américain
Lockheed Martin.
08.05. Selon un rapport de FAA, l’administration d’aviation fédérale, plusieurs pirates auraient pénétré dans des systèmes de contrôle aérien au cours des années passées.
L’étendue irait de l’accès illégal à quasiment 50.000 ensembles de données personnels
d’employés FAA jusqu’à la possibilité de couper l’alimentation en courant de serveurs
importants.
14
Copyright © 2009 G Data Software AG
Compte rendu des logiciels malveillants G Data, janvier-juin 2009
09.05. Defauxpacksd’installationd’unsoi-disantReleaseCandidatedeWindows 7 contiennent un cheval de Troie,quiestactivépendantl’exécutiondelaconfiguration.
24.05. L’Office fédéral du Crime allemand (BKA) lanceunealerte.Defauxmailssontenvoyésensonnom.Ilsdemandentauxdestinataireslepaiementd’uneamendeàlasuite
desoi-disanttéléchargementsillégauxdefilms,logicielsetfichiersMP3.
30.05. LemagazineInformationWeekdévoilequedesactivistesturcsauraientàplusieurs
reprises détourné le site Web de l’armée US.DesaccèsauxsitesWebconcernésont
étédéroutéssurd’autressitesWeb,surlesquelssetrouvaientdessloganspolitiques.
Juin 2009
03.06. PlusieursdizainesdesitesWeblégauxdeviennentlesvictimesd’unpiratage de
masse.LesvisiteursdessitesWebmanipuléssontdéroutéssurunserveurukrainien,
quiexploitelesfaillesd’InternetExplorer,FirefoxetQuickTime.
05.06. LefournisseurdeservicesInternetcalifornienPricewert LLC,agissantégalementsous
le nom de 3FN et APS Telecomestmishorslignesurpressiondel’inspectioncommercialeFTC.Outrel’hébergementdeserveursdecontrôleetdecommandeservantà
contrôlerplusde4500programmes-espions,l’entrepriseestcenséeavoirrecrutéactivementdescyber-délinquantsetd’avoircompliquélapoursuitedecontenusillégaux.
ContrairementàlafermetureradicaledeMcColoennovembre2008,cetteactionn’a
paseud’impactsurl’envoidecourriersindésirablesetdelogicielsmalveillants.
09.06. Desinconnuspénètrentdanslessystèmesdel’hébergeurbritanniqueVAserv et manipulentousupprimentdesdonnéesdeplusde100.000sitesWebhébergés.
17.06. Environ2,2millionsd’URLduservicederaccourcisURLcli.gssontmanipuléeset
détournéesversuneautredestination.
24.06. Lepentagonecréeunnouveaucommandementmilitairedecyberguerre.Sousles
ordresduministèredelaDéfensedesÉtats-Unis,ilestcapablederiposterauxattaques
visantlasécuriténationale.
Copyright © 2009 G Data Software AG
15
25.06. Le ministère public de Hanovre statue contre le site Web mega-downloads.net en raison d’une fraude massive. Près de 20.000 utilisateurs étaient chaque mois prélevés sur
leurs comptes bancaires pour un abonnement inexistant. Les comptes de l’entreprise,
qui ont été gelés, contenaient environ 1 million d’euros.
16
Copyright © 2009 G Data Software AG
Go safe. Go safer. G Data.