Kaspersky Analysis Aperçu de l activité virale en juin 2011

Aperçu de l'activité virale en juin 2011 Viatcheslav Zakorjevsky Voici le bilan de l'activité des logiciels de Kaspersky Lab sur les ordinateurs des
utilisateurs :
•
•
•
•
249 345 057 attaques de réseau ont été déjouées ;
68 894 639 tentatives d'infection via des sites Web ont été bloquées ;
216 177 223 programmes malveillants ont été détectés et neutralisés (tentatives
d'infection locale) ;
83 601 457 détections virales ont été recensées.
Evénements marquants du mois :
Le premier mois de l'été a été relativement calme : aucun événement marquant ne s'est produit.
L'activité cybercriminelle du mois de juin peut être considérée comme « classique ». Dans les
pays en voie de développement, les individus malintentionnés ont exploité le manque de
connaissances des utilisateurs en matière de sécurité informatique pour diffuser leurs
programmes. Dans les pays développés, ce sont les programmes malveillants chargés d'obtenir
les informations et l'argent des utilisateurs qui ont été les plus répandus. Les programmes
malveillants de type banker ont comme toujours été diffusés au Brésil tandis qu'en Russie, ce
sont des programmes malveillants plus traditionnels qui ont été exploités dans le cadre
d’escroqueries diverses.
Ces derniers temps, on évoque beaucoup les services de « cloud computing » proposés par de
nombreuses sociétés. En juin, le service de cloud computing du réseau Amazon a été exploité par
des individus malintentionnés pour héberger et diffuser un programme malveillant. Il visait les
internautes brésiliens dont il devait voler les données dans 9 banques du pays. Pour améliorer ses
chances de réussite, le programme malveillant bloque le fonctionnement des logiciels antivirus et
des modules externes spéciaux qui garantissent la sécurité des services de transaction bancaire en
ligne. Ses fonctions incluent également le vol de certificats chiffrés et d’informations
d'identifications pour Microsoft Live Messenger.
En plus des fausses archives typiques et des chevaux de Troie qui exigent l'envoi d'un SMS à un
numéro surtaxé pour débloquer les données, les escrocs russes ont tenté d’utiliser le système
d'argent virtuel BitCoins afin d’en tirer profit. Dans le cadre de ce système, pour émettre de
l'argent, il suffit simplement d'exploiter la puissance du processeur pendant une période définie.
Les experts de Kaspersky Lab ont découvert un programme malveillant qui, pour créer la
cyberdevise, lance le fichier légitime bcm.exe de BitCoins sur l'ordinateur des victimes. Ce
fichier est intégré au programme malveillant et s'enregistre sur le disque dur après le lancement.
Dans la mesure où les administrateurs du site réussissent rapidement à bloquer le compte de
l'individu malintentionné où l'argent « gagné » était envoyé, l'escroc n’a en général pas le temps
de faire fortune.
Les individus malintentionnés ne laissent pas la plateforme Mac OS X de coté. Alors qu'en mai,
de faux antivirus pour cette plateforme avaient été détectés, les escrocs diffusent maintenant la
porte dérobée Backdoor.OSX.Olyx.a Ce programme malveillant a été développé pour
l'administration à distance des ordinateurs : les individus malintentionnés peuvent utiliser le
système infecté à leur fins, qu'il s'agisse de télécharger d'autres programmes malveillants, de
lancer une application ou d'exécuter un interprète d'instructions.
Le mois de juin aura été marqué par plusieurs victoires dans la lutte des autorités judiciaires
contre la cybercriminalité, et ce dans plusieurs pays. Dans de nombreux cas, ces réussites sont le
fruit d'une coopération entre ces autorités. Ainsi, aux Etats-Unis, c'est l'activité criminelle de
deux groupes internationaux spécialisés dans la vente de faux antivirus qui a été démantelée.
D'après les premières estimations, ces groupes ont provoqué des dommages à hauteur de 74
millions de dollars. Cette opération a impliqué les autorités américaines, allemandes, françaises,
hollandaises, suédoises, anglaises, roumaines, canadiennes, ukrainiennes, lituaniennes, lettonnes
et chypriotes. Près de 600 personnes soupçonnées d'escroquerie sur Internet ont été arrêtées dans
plusieurs pays d'Asie du Sud-Est. L'opération s'est déroulée avec la participation des polices
chinoise, taïwanaise, cambodgienne, indonésienne, malaise et thaïlandaise. Les autorités russes
ont arrêté Pavel Vrubliovsky, propriétaire de ChronoPay, le plus important centre de traitement
de Russie, ce dernier étant accusé d'avoir organisé des attaques DDoS et offert les services
associés. Il convient de citer un autre événement important en matière de lutte contre la
cybercriminalité sur le plan législatif : le parlement japonais a adopté en juin plusieurs
amendements aux lois existantes qui prévoient des peines d'emprisonnement pour la création et
la diffusion de programmes malveillants.
Classement des programmes malveillants A l'instar des mois précédents, le Top 20 des programmes malveillants du mois de juin sur
Internet compte de nombreuses nouveautés tandis que le classement des programmes
malveillants détectés sur les ordinateurs des utilisateurs n'a pratiquement pas changé.
Programmes malveillants sur Internet Le Top 20 des programmes malveillants sur Internet est toujours dominé par des programmes
utilisés pour réaliser des attaques par téléchargement à la dérobée : redirigeurs, téléchargeurs de
scripts et codes d'exploitation. Ces programmes malveillants occupent 14 des 20 places du
classement.
Redirigeurs Le Top 20 compte quatre redirigeurs : Trojan-Downloader.JS.Agent.fzn (12ème position), TrojanDownloader.JS.Agent.gay (13e position), Trojan-Downloader.JS.IFrame.cfw (14ème position) et
Trojan.JS.IFrame.tm (15ème position).
Alors que les deux derniers peuvent être considérés comme primitifs et qu'ils se contentent
d'utiliser une balise “<iframe>” pour rediriger l'internaute vers les pages des individus
malintentionnés, les deux premiers exploitent une technique plus sophistiquée. Outre le fait qu'ils
infectent des fichiers js légitimes, ils entraînent également le téléchargement d'un autres script
JavaScript, même si cela se produit uniquement en cas d'événement de type “mousemove” de
l'objet“window” (à savoir, quand le curseur de la souris se déplace dans les limites de la fenêtre
active). Il semblerait que cette technique a été développée pour déjouer certains sandboxs (bacs à
sable) et autres émulateurs.
Extrait de script infecté par Trojan-Downloader.JS.Agent.gay
Téléchargeurs Les téléchageurs de script apparaissent dans le classement en deux groupes. Premier groupe :
Trojan.JS.Redirector.pz
(5eme
position),
Trojan.JS.Redirector.qa
(7ème
position),
ème
ème
Trojan.JS.Redirector.py (8
position) et Trojan.JS.Redirector.qb (9
position). Deuxième
groupe : Trojan-Downloader.JS.Agent.gbj (11e position) et Trojan-Downloader.JS.Agent.gaf
(19e position).
L'ensemble de ces téléchargeurs utilise des balises HTML pour conserver les données du script
dans le champ “alt” de la balise“<img>” pour le premier groupe et dans la balise “<div>” pour le
deuxième groupe. Cette méthode vise probablement à contourner divers émulateurs et sandboxs
qui n'offrent pas une intégration suffisante de JavaScript et HTML. Pour les codes d'exploitation
Java, ces téléchargeurs utilisent les vulnérabilités CVE-2010-4452 et CVE-2010-0886. Pour
s'intégrer aux documents PDF ou aux pages HTLM, c'est la balise “iframe” qui est utilisée tandis
que le téléchargement et l'exécution du fichier EXE reposent sur l'exploitation d'anciennes
vulnérabilités dans les applications Microsoft : Adodb.Stream et MDAC, que de nombreux
utilisateurs, semble-t-il, n'ont pas encore corrigées à l'aide des correctifs.
Extrait du téléchargeur malveillant Trojan.JS.Redirector.qa
Codes d'exploitation Il est intéressant de remarquer l'entrée dans le classement du code d'exploitation TrojanDownloader.SWF.Small.dj (20ème position) dans les fichiers SWF. Il sert à masquer le lancement
d'un autre fichier SWF malveillant qui se trouve dans le même répertoire, sur le serveur.
Deux codes d'exploitation pour fichier PDF, à savoir Exploit.JS.Pdfka.dyi (16ème position) et
Exploit.JS.Pdfka.duj (17ème position) utilisent la vulnérabilité CVE-2010-1885 du format TIFF.
Dans les fichiers PDF, les individus malintentionnés placent le code d'exploitation à l’intérieur
de plusieurs objets pour compliquer l'analyse. L’un des objets contient le début du script
JavaScript, un deuxième contient la fin tandis qu'un troisième abrite la partie principale. Le code
est également obfusqué : tous les noms des variables sont aléatoires et une partie des noms des
objets et des fonctions est formée au hasard.
Extrait du script JavaScript Exploit.JS.Pdfka.duj obfusqué
Le dernier code d'exploitation à faire son entrée au Top 20 en juin est Exploit.HTML.CVE-20104452.bc (10ème position). Il utilise la vulnérabilité élémentaire CVE-2010-4452 pour télécharger
et lancer un code d'exploitation Java en transmettant les paramètres spéciaux à l'applet Java via
la balise “<param>”. Les individus malintentionnés ont décidé de masquer Exploit.HTML.CVE2010-4452.bc : la majorité des caractères dans les balises “<param>” sont remplacés par une
série “&#number”, tandis que la casse est modifiée pour les autres caractères.
Code d'exploitation Exploit.HTML.CVE-2010-4452.bc
Programmes malveillants sur les ordinateurs des utilisateurs Comme nous l'avons dit plus haut, le classement des programmes malveillants découverts sur les
ordinateurs des utilisateurs n'a que très peu changé. Toutefois, aux côtés des habitués du Top 20,
nous retrouvons un représentant inhabituel des programmes malveillants : le virus
Virus.Win32.Nimnul.a.
Nimnul
Ce programme malveillant est apparu pour la première fois dans le Top 20 en mai et est passé en
deux mois de la 20ème à la 11ème position. Ceci est particulièrement étonnant car les virus de
fichiers ont tendance à disparaître. A l'heure actuelle, les individus malintentionnés préfèrent les
programmes malveillants protégés par des compacteurs (ce qui garantit l'unicité du programme
malveillant compacté). Il n'est tout simplement plus rentable d'utiliser des virus de fichiers : leur
développement et leur maintenance sont compliqués et ils sont relativement faciles à détecter
dans le système.
Le virus Nimnul.a infecte les fichiers exécutables en ajoutant la section « .text » et en modifiant
le point d'entrée. Après avoir été exécuté, tout fichier infecté recherche la présence de
l'identificateur unique du virus dans le système d'exploitation (Mutex). La présence de l'objet
Mutex signifie qu'un autre fichier infecté a déjà été lancé dans le système. Dans ce cas, le virus
se contente de lancer l'application d'origine. Si le code Mutex est introuvable, un objet de
synchronisation est créé puis la partie principale du composant Nimnul est placée sur le disque.
Ce composant enregistre sur le disque quelques autres fichiers malveillants.
Le programme malveillant vole les fichiers de configuration personnelle de navigateurs
populaires, établit une connexion à un serveur à distance et est en mesure de remplacer les pages
Web.
Ce virus se propage via les supports amovibles à l'aide d'autorun.inf et de fichiers infectés. La
région où se manifeste ce virus est intéressante : Inde, Indonésie, Bangladesh et Viet Nam. Ces
pays comptent le plus grand nombre de participants au KSN sur les ordinateurs où ce programme
malveillant a été détecté : Bangladesh : 85,76%, Inde : 65,27%, Indonésie : 59,51% et Viet
Nam : 54,16%. De toute évidence les utilisateurs dans ces pays ne sont pas assez attentifs aux
questions de sécurité informatique et ils utilisent des versions de Windows qui ne sont pas à jour.
Et pourtant, la société Microsoft avait, dès le 8 février 2011, diffusé des mises à jour qui
désactivaient l'exécution automatique depuis des supports amovibles.
TOP 20 des programmes malveillants sur Internet
Classement Verdict
actuel
1
2
3
4
5
AdWare.Win32.FunWeb.kd
Trojan-Downloader.JS.Agent.fxq
AdWare.Win32.FunWeb.jp
Trojan.JS.Popupper.aw
Trojan.JS.Redirector.pz
6
7
Trojan.HTML.Iframe.dl
Trojan.JS.Redirector.qa
8
Trojan.JS.Redirector.py
9
Trojan.JS.Redirector.qb
10
Exploit.HTML.CVE-20104452.bc
11 Trojan-Downloader.JS.Agent.gbj
12
Trojan-Downloader.JS.Agent.fzn
2
4
2
-2
Nouv
eau !
5
Nouv
eau !
Nouv
eau !
Nouv
eau !
Nouv
eau !
Nouv
eau !
Nouv
eau !
13
Trojan-Downloader.JS.Agent.gay
14
TrojanDownloader.JS.Iframe.cfw
15 Trojan.JS.Iframe.tm
16
Exploit.JS.Pdfka.dyi
17
Exploit.JS.Pdfka.duj
18
Trojan-Ransom.JS.SMSer.id
Trojan-Downloader.JS.Agent.gaf
20
Hoax.Win32.Screensaver.b
Nouv
eau !
Nouv
eau !
Nouv
eau !
Nouv
eau !
Nouv
eau !
Nouv
eau !
Nouv
eau !
-1
Top 20 des programmes malveillants découverts sur les ordinateurs des
utilisateurs
Classement Verdict
actuel
Écart
1
Net-Worm.Win32.Kido.ir
0
2
AdWare.Win32.FunWeb.kd
2
3
Virus.Win32.Sality.aa
-1
4
Net-Worm.Win32.Kido.ih
-1
5
Trojan.Win32.Starter.yy
0
6
Virus.Win32.Sality.bh
0
7
Virus.Win32.Sality.ag
1
8
TrojanDownloader.Win32.Geral.cnh
9 HackTool.Win32.Kiser.il
10
AdWare.Win32.HotBar.dh
11
Virus.Win32.Nimnul.a
12
TrojanDownloader.Win32.FlyStudio.k
x
13 Trojan.JS.Agent.bhr
-1
0
Réentré
e
1
-2
5
14
Worm.Win32.FlyStudio.cu
0
15
Worm.Win32.Mabezat.b
1
16
HackTool.Win32.Kiser.zv
-3
17
Hoax.Win32.Screensaver.b
0
18
TrojanDownloader.Win32.VB.eql
19 Hoax.Win32.ArchSMS.pxm
20
TrojanDownloader.SWF.Small.dj
1
-4
Nouv
eau !