Aperçu de l`activité virale : Janvier 2011

Aperçu de l'activité virale :
Janvier 2011
Janvier en chiffres
Voici le bilan de l'activité des logiciels de Kaspersky Lab sur les ordinateurs des utilisateurs :
213 915 256 attaques de réseau ont été déjouées ;
68 956 183 tentatives d'infections via des sites Web ont été bloquées ;
187 234 527 programmes malveillants ont été détectés et neutralisés (tentatives d'infection
locale) ;
70 179 070 verdicts heuristiques ont été recensés.
Escroquerie sur Internet
La majorité des programmes malveillants, surtout les plus complexes, dissimulent leur
présence dans le système et agissent à l'insu de l'utilisateur. Toutefois, dans le cas de la
cyber escroquerie, le plan requiert l'intervention de l'utilisateur. Il est très important de
connaître les trucs et astuces que les individus malintentionnés emploient afin de ne pas
se laisser prendre au piège.
Cadeaux empoisonnés
Les individus malintentionnés exploitent souvent la popularité d'un service ou d'un
produit Internet quelconque. La popularité des logiciels de Kaspersky Lab n'est pas
passée inaperçue aux yeux des escrocs, ce qui a été confirmé au mois de janvier.
Nous avons vu apparaître sur Internet des utilitaires qui permettent d'utiliser certains
logiciels de Kaspersky Lab sans devoir les activer. Nous les avons détectés en tant que
membre de la famille de programmes potentiellement indésirables Kiser. Au mois de
janvier, deux représentants de cette famille ont même fait leur entrée dans le Top 20
des verdicts les plus fréquents sur les ordinateurs des utilisateurs (9e et 11e place).
Après les fêtes de fin d'année, nous avons découvert un trojan-dropper sous les traits
d'un générateur de clés de licence pour les logiciels de Kaspersky Lab
(http://www.securelist.com/ru/blog/40232/Syurpriz_dlya_lyubiteley_khalyavy).
Ce
dropper installe et exécute deux programmes malveillants dangereux sur les ordinateurs
de ceux qui cherchent à avoir le beurre et l'argent du beurre. Un de ces programmes
vole les données d'enregistrement d'applications et les mots de passe d'accès à des jeux
en ligne. La deuxième porte dérobée remplit également les fonctions d'enregistreur de
frappes.
Au début du mois de janvier, nos experts ont découvert un faux site de Kaspersky Lab
dont
l'adresse
se
différenciait
par
une
seule
lettre
(http://www.securelist.com/en/blog/11127/Mistyping_leads_to_infections). Ce site
proposait aux internautes de télécharger un « cadeau de Noël », à savoir une version
gratuite de Kaspersky Internet Security 2011.
Au lieu de KIS2011, c'est le programme malveillant Trojan-Ransom.MSIL.FakeInstaller.e
qui était téléchargé et dont l'installation entraînait le redémarrage de l'ordinateur.
Après le redémarrage, le cheval de Troie affichait, pour une raison inconnue, une fausse
page d'accueil du site du réseau social Odnoklassniki qui annonçait à l'utilisateur qu'il
avait gagné le téléphone Samsung Galaxy S au prix de 1 200 roubles (environ 30 euros).
Pour confirmer le « gain », il fallait envoyer un SMS à un numéro surfacturé. Une somme
définie était retirée du compte de l'utilisateur après l'envoi du SMS et cet utilisateur
n'entendait plus jamais parler de son gain.
Nous conseillons aux utilisateurs d'être vigilants et d'utiliser les services et les produits
qui sont uniquement proposés sur les sites officiels de notre société.
IE « gratuit » pour 300 roubles
Internet Explorer est une autre application dont la popularité est exploitée par les
escrocs. Au mois de janvier, dans l'Internet russophone, des pages proposant aux
internautes de « mettre à jour Internet Explorer » ont fait leur apparition. Tout d'abord,
il fallait sélectionner les « mises à jour » requises, ensuite l'installation de ces mises à
jour était imitée à l'écran, suivie de la demande « d'activer application déjà installée »
en envoyant un SMS vers un numéro surfacturé.
Après avoir envoyé le SMS payant, l'utilisateur recevait un lien vers le programme
d'installation d'Internet Explorer 8, accessible gratuitement pour toutes les personnes
intéressées et vers des… « articles sur la sécurité informatique ».
Ces pages frauduleuses sont détectées sous le nom Hoax.HTML.Fraud.e : ce verdict
occupe la 17e place du TOP 20 des programmes malveillants sur Internet.
Archives vides
Les fausses archives sont un autre moyen toujours apprécié des escrocs sur Internet
pour gagner de l'argent. Ce mois-ci, une nouvelle version de Hoax.Win32.ArchSMS.mvr
a fait son entrée directement dans les 2 Top 20 : en 11e position dans le classement des
programmes malveillants sur Internet et en 17e position, dans le classement des
programmes malveillants découverts sur les ordinateurs des utilisateurs.
Attaques via Twitter
Dans la synthèse du mois passé, nous évoquions la diffusion, via Twitter, de liens
introduits via le service goo.gl. Au milieu du mois de janvier, la diffusion massive de liens
malveillants
s'est
poursuivie
(http://www.securelist.com/en/blog/11136/New_Twitter_worm_redirects_to_Fake_AV
). Tout comme au mois de décembre, quand l'utilisateur cliquait sur le lien, il arrivait,
après plusieurs redirection, sur la page d'un « antivirus en ligne ». Ce faux antivirus
suivait le même scénario qu'au mois de décembre : une fenêtre, évoquant la fenêtre
Poste de travail, s'ouvrait, l'analyse de l'ordinateur était imitée et à l'issue de celle-ci,
l'utilisateur était invité à payer pour la suppression des programmes malveillants
« détectés ».
Logiciels publicitaires
La diffusion des logiciels publicitaires est toujours aussi active. À la 12e place du
classement des programmes malveillants sur Internet, nous retrouvons
AdWare.Win32.WhiteSmoke.a qui ajoute le raccourci « Improve your PC » (améliorer
votre PC) sur le Bureau de l'ordinateur à l'insu de l'utilisateur. Une fois que l'utilisateur a
cliqué sur ce raccourci, une page proposant de « supprimer les erreurs dans
l'ordinateur » s'ouvre. Si le propriétaire de l'ordinateur accepte la proposition,
l'application RegistryBooster2011 est installée sur l'ordinateur. Elle analyse celui-ci et
demande à l'utilisateur de payer pour supprimer les erreurs détectées.
Le composant du populaire logiciel de publicité FunWeb Hoax.Win32.ScreenSaver.b fait
son entrée en 4e position directement pour la première fois dans le TOP 20 des
programmes malveillants bloqués sur les ordinateurs des utilisateurs. Pour rappel,
FunWeb est une des familles répandues de logiciels publicitaires dont les représentants
apparaissent régulièrement au fil de l'année dans le classement des programmes
malveillants les plus fréquents. Ces logiciels publicitaires sont surtout présents dans les
pays anglo-saxons : États-Unis, Canada, Grande-Bretagne, ainsi qu'en Inde.
Vulnérabilités et mises à jour
Une fois de plus, nous appelons les utilisateurs à ne pas négliger les mises à jour
critiques. Dans le Top 20 des menaces les plus répandues bloquées sur les ordinateurs
des utilisateurs, nous retrouvons au mois de janvier Exploit.JS.Agent.bbk (20e position)
qui exploite la vulnérabilité CVE-2010-0806. Bien que cette vulnérabilité ait été corrigée
dès la fin du mois de mars 2010 (le correctif est accessible via
http://www.microsoft.com/rus/technet/security/bulletin/ms10-018.mspx), elle est
exploitée par Agent.bbk et par d'autres programmes malveillants du TOP 20 (6e et 13e
position). Cela signifie que la vulnérabilité dans l'application est toujours présente sur
une multitude d'ordinateurs et qu'elle est exploitée avec efficacité par les individus
malintentionnés.
Téléchargement de fichiers malveillants à l'aide de programmes malveillants
Java
Le téléchargement de fichiers malveillants à l'aide de programmes malveillants Java via
la méthode OpenConnection, utilisée au début par les individus malintentionnés en
octobre de l'année passée, est une des méthodes de téléchargement les plus
répandues.
Deux
nouveaux
membres
de
la
famille
TrojanDownloader.Java.OpenConnection ont fait leur entrée dans le Top 20 du mois de janvier
des programmes malveillants sur Internet (9e et 20e position).
Nous tenons à signaler que si l'utilisateur possède les versions les plus récentes du JRE
(moteur de Java), un avertissement signalera l'exécution d'un applet Java dangereux. Il
suffit alors de refuser l'exécution pour empêcher l'infection de l'ordinateur.
Programmes malfaisants complexes : nouveau ver de messagerie
Le nouveau ver de messagerie Email-Worm.Win32.Hlux est apparu au mois de janvier.
Il se diffuse à l' aide de messages qui indiquent à l'utilisateur qu'il a reçu une carte de
félicitations, électronique et contient un lien vers une page proposant d'installer Flash
Player pour une bonne représentation de la carte. Le lien ouvre une boîte de dialogue
qui demande à l'utilisateur d'accepter ou non le téléchargement d'un fichier. Quelle que
soit la réponse de l'utilisateur, le ver tente de s'introduire dans l'ordinateur : dans les
cinq secondes qui suivent l'ouverture de la boîte de dialogue, l'utilisateur est redirigé
vers une page contenant un ensemble de codes d'exploitation ainsi que des
programmes de la famille Trojan-Downloader.Java.OpenConnection, qui commencent à
télécharger Hlux sur l'ordinateur.
Le ver, outre la capacité de se propager automatiquement via courrier électronique,
remplit la fonction de bot et intègre l'ordinateur infecté dans un réseau de zombies.
Hlux établit la connexion avec le centre de commande du réseau de zombies et exécute
les instructions de celui-ci, à savoir la diffusion de courrier indésirable faisant la publicité
de médicaments. Le bot communique avec le centre de commande via les serveurs
proxy du réseau de type fast-flux. Si l'ordinateur infecté possède une adresse IP externe,
alors il peut être utilisé en tant que maillon du réseau de type fast-flux. Grâce au
nombre élevé d'ordinateurs infectés, les individus malintentionnés peuvent changer très
souvent l'adresse IP des domaines dans lesquels se trouvent les centres de commande
du réseau de zombies.
Trojan-SMS : encore une méthode pour voler de l'argent
En janvier , les individus malintentionnés ont commencé à utiliser une nouvelle
méthode d'extorsion d'argent de propriétaires de téléphones portables. Le nouveau
cheval
de
Troie
Trojan-SMS.J2ME.Smmer.f
(http://www.securelist.com/ru/blog/43141/SMS_troyantsy_novyy_vitok) se diffuse via
la méthode standard pour les programmes malveillants Java, à savoir via des SMS
contenant un lien vers une « carte virtuelle ». Une fois installé sur le téléphone, le
cheval de Troie envoie un SMS à deux numéros surfacturés différents. Le SMS vers ces
numéros est gratuit. Comment les individus malintentionnés gagnent-ils leur argent ? Le
fait est que les deux numéros sont utilisés par un des opérateurs de téléphonie mobile
pour transférer de l'argent d'un compte à un autre. Le premier message envoyé par le
cheval de Troie indique la somme qui sera retirée du compte de l'utilisateur du
téléphone infecté (200 roubles, soit environ 5 euros) ainsi que le numéro utilisé par les
escrocs pour obtenir l'argent. Le deuxième message est envoyé pour confirmer le
transfert.
Nous avions déjà rencontré ce type d'escroquerie il y a deux ans. Elle avait touché
principalement les utilisateurs en Indonésie. Elle fait désormais partie de l'arsenal des
escrocs en Russie.