Kaspersky Analysis Courrier indésirable en mars 2011

Courrier indésirable en mars 2011
Mars en chiffres
Par rapport au mois de février, la part du courrier indésirable dans le trafic de messagerie
a diminué de 0,9% pour atteindre en moyenne 79,6%.
Par rapport au mois de février, la part de messages de phishing dans le trafic de
messagerie a reculé de 0,01 % et représente 0,02%.
Au mois de mars, 3,23% des messages électroniques contenaient des fichiers
malveillants, soit 0,05% de plus que le mois passé.
Survol des principaux événements du mois
Beaucoup d'agitation autour de Rustock
Au milieu du mois de mars, nous avons appris la désactivation de l'important réseau de zombies
de courrier indésirable Rustock suite aux efforts conjoints de Microsoft et des autorités
judiciaires des États-Unis.
Cela faisait près de cinq ans que Rustock existait (depuis 2006) et, selon diverses estimations, il
était responsable de 30 à 40 % de l'ensemble du courrier indésirable. La mise hors service du
réseau de zombies fut annoncée le 17 mars. L'opération en elle-même s'était déroulée un jour
plus tôt, le 16.
Les experts de Kaspersky Lab ont remarqué une certaine réduction du courrier indésirable du 17
au 21 mars. Au cours de cette période, le pourcentage de courrier indésirable dans le trafic de
messagerie a diminué de 3 % par rapport à la moyenne de la première quinzaine du mois de
mars. S'agissant des messages non sollicités, leur nombre a reculé d'environ 15 %.
Toutefois, dès le 22 mars, le volume du trafic de courrier indésirable était à nouveau en hausse. Il
semblerait que malgré la dimension impressionnante et la puissance du réseau de zombies mis
hors service, l'expérience acquise à la fin de l'année 2010 a permis aux diffuseurs de courrier
indésirable et aux propriétaires de réseaux de zombie de très vite répartir leur puissance.
Néanmoins, les actions des autorités judiciaires dans le cadre de la lutte contre le courrier
indésirable continuent à donner des résultats et à réjouir tous ceux qui tentent de résoudre cette
problématique.
Événements mondiaux et courrier indésirable
La tragédie japonaise n'a pas laissé les diffuseurs de courrier indésirables indifférents
Le séisme dévastateur, le tsunami et la catastrophe dans la centrale nucléaire qui s'en est suivi ont
capté l'attention du monde entier. Les citoyens de nombreux pays ont essayé de venir en aide aux
Japonais à l'aide des moyens qui étaient à leur portée, qu'il s'agisse de denrées non périssables, de
médicaments, d'articles de première nécessité ou de dons à diverses organisations humanitaires.
Une multitude de sites présentant des informations sur la manière de transférer des fonds aux
victimes ont fait leur apparition.
Bien entendu, les diffuseurs de courrier indésirable ont tout de suite tenté d'adopter la thématique
des initiatives humanitaires. Des messages d'escroquerie invitant le destinataire à verser de
l'argent sur le prétendu compte de la Croix Rouge ou d'autres organisations humanitaires ont tout
de suite fait leur apparition.
Il va de soi que l'argent déposé par les destinataires qui se sont laissé prendre au piège n'a
contribué au bien être de personne, si ce n'est des diffuseurs de courrier indésirable.
L'actualité du Japon a été également très exploitée dans les messages non sollicités de diffusion
de code malveillant. Comme toujours, la curiosité de l'être humain a joué à l'avantage des
individus malintentionnés : les utilisateurs étaient invité à lire des détails choquants ou à regarder
des vidéos en provenance de la zone sinistrée.
Libye. Point chaud et sujet d'actualité
La situation en Libye est également sur toutes les lèvres. Et les diffuseurs de courrier indésirable
ont commencé à utiliser le thème du conflit armé dans des messages d'escroquerie. On retrouve
de plus en plus souvent des escroqueries « nigériennes » dans le cadre desquels de prétendus
membres du gouvernement Libyen tentent de transférer leurs millions hors des banques du pays
en révolte ainsi que des messages qui, comme pour le Japon, proposent de faire un don aux
victimes.
Les diffuseurs de courrier indésirable qui propagent des programmes malveillants n'ont pas
manqué eux aussi d'exploiter l'intérêt des internautes pour les événements dramatiques qui se
déroulent en Libye. À l'aide de méthodes éprouvées, ils ont diffusé des messages contenant des
liens malveillants vers de prétendues « dépêches » en provenance de Libye.
Mais les messages les plus intéressants, de notre point de vue, sont les messages non sollicités à
motivation politique concernant la situation en Libye qui ont fait leur apparition au mois de
mars.
Ces messages citent en général des publications issues de divers blogs ou des articles de
journaux. Il s'agit de messages rédigés en anglais qui ne visent pas les Libyens. Ce genre de
courrier indésirable tente d'attirer l'attention des étrangers, aux États-Unis ou en Europe, sur le
conflit libyen et peut être diffusé aussi bien par des partisans du régime que par des opposants à
celui-ci.
Survol statistique
Part du courrier indésirable dans le trafic de messagerie
Par rapport au mois de février, la part du courrier indésirable dans le trafic de messagerie a
diminué de 0,9% pour atteindre en moyenne 79,6%.
Le volume le plus faible de courrier indésirable (74,5%) a été enregistré le 25 mars. Le volume
de courrier indésirable a été le plus élevé le 13 novembre (86,9%).
Pays, source du courrier indésirable
Au mois de mars, le leader des pays source de courrier indésirable est à nouveau l'Inde qui a été
à l'origine de 11,42 % (+2,59 %) de l'ensemble du courrier indésirable.
La deuxième place revient au Brésil, avec 6,6 % (augmentation de 2 % par rapport à février),
repoussant ainsi la Russie en troisième position. Le volume de courrier indésirable issu du
territoire russe représentait 4,8% comme au mois de février. La part du courrier indésirable en
provenance d'Indonésie (4,3 %) et d'Italie (4 %), en 4e et 5e position respectivement dans notre
classement, est pratiquement inchangée.
La part de courrier indésirable envoyé depuis la Corée du Sud a augmenté de 0,8% (3,3 %). Ce
pays est passé de la 5e à la 8e position dans le classement du mois de mars des pays source de
courrier indésirable. En conséquence, la Grande-Bretagne (3,9 %) et les États-Unis (3,4 %)
progressent d'une position pour atteindre respectivement la 6e et la 7e place. Et la part de
courrier indésirable en provenance de ces pays n'a que très peu changé par rapport au mois de
février.
Pièces jointes malveillantes dans le courrier
Au mois de mars, 3,23% des messages électroniques contenaient des fichiers malveillants, soit
0,05% de plus que le mois passé.
Par rapport au mois de février, nous n'observons que très peu de modification dans la répartition
par pays des déclenchements de l'Antivirus Courrier.
La Russie occupe toujours la première position (12,7% des pièces jointes malveillantes) et les
États-Unis arrivent en deuxième position (12,5 %, soit 1,9% de plus que le mois précédent). Le
pourcentage de déclenchements de l'Antivirus Courrier aux États-Unis est presque comparable à
celui enregistré en Russie.
La Grande-Bretagne, en troisième position, représente 6,2 % de l'ensemble des messages bloqués
contenant des pièces jointes malveillantes, soit une progression de 1,1 % par rapport à février.
L'Inde (4,35 %) et le Viet Nam (5,61 %), qui avaient fait leur entrée dans le Top 5 depuis
quelques mois, ont connu un certain recul en mars. L'Inde est passée de la 4e à la 6e place tandis
que le Viet Nam a reculé de la 3e à la 4e position.
L'Allemagne, avec 5,4 %, a progressé d'une place. La position de l'Australie (4,21 %) dans notre
classement reste inchangée. L'Italie (4,05 %), qui ne figurait pas dans le Top 10 en février,
occupe la 8e position en mars. L'Espagne (3,27 %) a progressé de la 11e à la 9e position.
Le classement des programmes malveillants les plus diffusés dans le courrier indésirable au mois
de mars est le suivant :
Plus de la moitié des programmes malveillants du Top 10 appartient à la famille TrojanDownloader.Win32.Deliver. Ces programmes sont des chevaux de Troie classiques : ils
téléchargent et installent sur l'ordinateur infecté d'autres programmes malveillants à l'insu de
l'utilisateur.
Deux autres programmes du Top 10 sont des représentants de la famille TrojanSpy.Win32.SpyEyes. Les programmes malveillants de cette famille sont développés pour voler
les données confidentielles de l'utilisateur. Une des modifications de Trojan-Spy.Win32.SpyEyes
figurait déjà dans notre classement du mois de février.
La première place est toujours occupée par Trojan-Spy.HTML.Fraud.gen. Pour en savoir plus
sur ce cheval de Troie, lisez cet article.
Nous avons écrit ci-dessus que les diffuseurs de courrier indésirable ont exploité la catastrophe
naturelle au Japon et la guerre en Libye dans les messages contenant des liens ou des
programmes malveillants. Certains diffuseurs ont même exploité les deux sujets dans une même
diffusion : les messages au sujet de l'actualité brûlante du Japon ou de la Libye contenaient des
liens identiques et ont été envoyés en même temps.
Il est difficile de ne pas remarquer que ces messages ont été composés selon un modèle
identique. Il est même amusant de voir que le lien malveillant dans le texte est suivi d'une notice
de droit d'auteur qui change selon le message. Les détenteurs du droit d'auteur sont de grandes
sociétés informatiques ou des sites Internet. Peut-être que les individus malintentionnés ont
pensé que cette méthode maladroite suffirait à déjouer les filtres antispam.
Des codes d'exploitation Java installaient le programme malveillant sur l'ordinateur de la victime
qui cliquait sur le lien. Nicolas Brulé décrit cette diffusion malveillante plus en détail sur le blog
des
experts
de
Kaspersky
Lab
(http://www.securelist.com/ru/blog/40354/Goryachie_novosti_o_zemletryasenii_v_Yaponii).
Hameçonnage
Par rapport au mois de février, la part de messages de phishing dans le trafic de messagerie a
reculé de 0,01 % et représente 0,02%.
Au mois de mars, l'organisation en tête du Top 10 des victimes d'hameçonnage est toujours
PayPal. Le site de ventes aux enchères eBay occupe la deuxième position.
Les réseaux sociaux Facebook, Habbo et le jeu en ligne World of Warcraft figurent toujours
parmi les cibles de prédilection des auteurs d'attaque de phishing.
La moitié du classement de ces cibles est de nouveau composée par des services en ligne. Les
banques sont devenues des victimes plus rares : les systèmes de transactions bancaires en ligne
occupent principalement la partie inférieure du classement.
Conclusion
Les autorités judiciaires américaines ont une fois de plus porté un coup dur aux réseaux de
zombies au mois de mars, ce qui a entraîné une réduction de courte durée du volume de courrier
indésirable. Malgré cela, le pourcentage moyen de courrier indésirable au mois de mars a
augmenté par rapport au chiffre de février. Comme nous l'avions prévu dans le rapport du mois
de janvier, le volume mensuel moyen de courrier indésirable continue d'augmenter et il est fort
probable qu'il retrouve son niveau de l'été 2010.
Contrairement à nos attentes, les États-Unis n'ont pas fait leur apparition dans le Top 5 des pays
source de courrier indésirable. La part de courrier indésirable envoyée depuis ce pays n'a
pratiquement pas changé par rapport au mois de février. Il est toutefois intéressant de constater le
regain d'intérêt pour les États-Unis en tant que cible pour les diffusions de courrier indésirable.
Cela peut traduire les efforts fournis par les individus malintentionnés pour rétablir les réseaux
de zombies dans ce pays.