Перейти к содержимому


Фото

Aperçu viral : Le Trojan.Mayachok, l’encoder Trojan.Matsnu et d’autres menaces pour Android OS ont fait parler d’eux au mois de mai 2012


  • Please log in to reply
Нет ответов в данной теме

#1 News Robot

News Robot

    Creator of the News

  • Dr.Web Staff
  • 7 935 Сообщений:

Отправлено 04 Июнь 2012 - 03:00

Le 4 juin 2012

Le mois de mai 2012 a été un mois relativement calme qui n’a pas vu d'épidémies virales. Néanmoins, le nombre de victimes des Trojans encoder reste important partout dans le monde et de nouvelles menaces pour Android continuent d’apparaitre. Le Trojan.Matsnu.1 est la menace du mois, il code les fichiers des utilisateurs et affiche un message sur le PC disant que le système est bloqué.

La situation virale

D’après les statistiques de l’utilitaire de traitement Dr.Web CureIt!, le trojan Trojan.Mayachok.1, redirigeant les utilisateurs vers d’autres sites lors de la connexion sur Internet, a été relativement diffusé : il a été détecté sur 3,73% des ordinateurs analysés. Le trojan se propage via les sites d’échanges de fichiers en se dissimulant sous les noms de fichiers d'installation de vrais programmes et également via le spam. Le Trojan.Mayachok.1 est assez rentable pour les pirates car ils proposent aux utilisateurs d’entrer leur numéro de téléphone portable pour obtenir l’accès au site bloqué, l’abonnant à son insu à un service payant. Parmi les sites auxquels les pirates bloquent l’accès on trouve : youtube.com, vkontakte.ru, vk.com, odnoklassniki.ru, my.mail.ru.

Les autres menaces significatives ce mois-ci sont les trojans Trojan.Carberp (1,3% des cas), Trojan.SMSSend (1,5% des cas), Trojan.Hosts (0,5% des cas) et toutes les modifications des bots IRC.

En comparant les statistiques, il apparaît que le nombre d’infections par le Trojan.Mayachok.1 a augmenté de 1,36%, soit 10 500 cas infectés en plus par rapport au mois d’avril. Tandis que le nombre de détections du Trojan.Carberp a diminué de 25 %. Le nombre d'infections par les trojans de la famille Trojan.Hosts, remplaçant le contenu du fichier Windows/System32/Drivers/etc/hosts déterminant la transformation des adresses réseau des sites web vers les noms DNS a augmenté. Une des modifications les plus répandues des trojans de cette famille est le Trojan.Hosts.5858, dont Doctor Web déjà signalé la propagation dans une actualité récente.

La propagation du trojan s’effectue via le botnet BackDoor.Andromeda. Lorsque l'utilisateur tente de passer vers une page Facebook, Google, ou Yahoo, le navigateur le redirige vers la page des pirates affichant un message en allemand affirmant que l’accès Internet est bloqué. Pour débloquer l’accès, les pirates demandent une rançon payable par carte de crédit.

Le nombre de menaces décrites ci-dessus n'a pas changé durant le mois.

Spam

La menace la plus répandue dans les messages de spam est le Trojan.SMSSend.2856, qui redirige l'utilisateur vers un site pirate. Les Trojan.Mayachok.1 et Trojan.Carberp sont également souvent rencontrés dans les messages spam. Le ver Win32.HLLW.Shadow, aussi connu sous le nom de Kido, est souvent détecté dans les messages, ce programme est capable de télécharger, d'installer et de lancer différentes applications sur le PC infecté. D’autres programmes malveillants comme des downloader et rootkit se trouvent souvent dans les messages électroniques, notamment le rootkit Trojan.NtRootKit.6725. Il est à noter qu'en comparaison avec avril 2012, le nombre de spam contenant des virus en pièces jointes a diminué, mais que l’ensemble des applications malveillantes utilisées dans les pièces jointes n'a presque pas changé.

Fin mai, des spam usurpant l’identité de la banque Sberbank se sont multipliés en Russie. Le message dit que le délai d’autorisation de découvert a été dépassé et le lien contenu dans le message doit soi-disant permettre à l’utilisateur de voir le détail de ses dépenses. Suite à l'ouverture du lien, le trojan télécharge le virus et code tous les fichiers sur le PC.

Doctor Web conseille aux utilisateurs de rester vigilants et de ne pas cliquer sur les liens invitant à télécharger des fichiers, reçus dans des messages douteux.

Botnets

BackDoor.Flashback.39, le botnet qui a défrayé la chronique

Le botnet BackDoor.Flashback.39 détecté en avril par Doctor Web et enrôlant plus de 800 000 ordinateurs Apple sous Mac OS X continue son activité même si le nombre d'ordinateurs a considérablement diminué. Début mai, le nombre de Mac enrôlés à baissé pour atteindre 529 355 ordinateurs. Selon les données au 24 mai, le nombre de mac infectés était de 331 992, alors que plus de 110 nouveaux Mac s'ajoutaient chaque jour au botnet. Durant le mois d’avril, le nombre d’infections a diminué progressivement. Voici le schéma reflétant l’évolution du nombre de bots dans le botnet BackDoor.Flashback.39 au mois de mai 2012.

Voici le schéma avec les nouveaux Mac infectés :

Win32.Rmnet.12, un botnet touchant des millions de PC

En avril, Doctor Web a annoncé l’interception d’un important botnet, Win32.Rmnet.12qui infectait alors plus d’un million de PC, la plupart au Moyen Orient et en Asie. Win32.Rmnet.12 est un virus contenant plusieurs composants et modules le rendant capable de s’auto-multiplier. Il possède des fonctions de backdoor, il sait exécuter les commandes d’un serveur distant et voler les mots de passe des clients FTP les plus répandus, comme Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP et certains autres.

Au 29 mai 2012, le nombre de PC dans Win32.Rmnet.12 était de 2 641 855, ce qui veut dire que le nombre a augmenté de deux millions et demi. La géographie de propagation n’a pas changé : l’Indonésie, le Bangladesh, le Vietnam, l'Inde et l'Egypte restent en tête. Voici le schéma reflétant l'augmentation du nombre de PC dans Win32.Rmnet.12 :

L’augmentation moyenne par jour est de 25 000 nouveaux bot, le botnet continuant de grossir.

La situation n’est pas vraiment différente pour un autre botnet que les spécialistes Doctor Web étudient attentivement : Win32.Rmnet.16. Mi mai, Doctor Web a annoncé que le nombre de bots au 11 mai 2012 était de 55 310 nœuds infectés, la majorité des bots se trouvant en Grande Bretagne. 18 jours plus tard, ce nombre a atteint 84 491 PC. Le schéma reflète l’apparition de nouveaux bots dans le botnet.

L'évolution du nombre de nouveaux PC dans Win32.Rmnet.16 n'est pas régulière mais continue à augmenter.

Trojan.Matsnu.1, la menace du mois

Un grand nombre d'utilisateurs a été touché par cette menace dans le monde, un nombre important de personnes se sont adressées au support technique Doctor Web en Allemagne.

Le trojan est écrit en langage Assembler, il se propage via des fichiers exécutables compressés se trouvant dans les pièces jointes de spam contenant le nom de l’utilisateur dans l’objet du message. Si l'utilisateur ouvre l'archive, le trojan code les fichiers sur les disques durs et affiche un message disant que l'ordinateur est bloqué. Les pirates préviennent que l’arrêt du PC aggrave la perte des données. Pour décoder les fichiers, les pirates demandent une rançon, payable via des systèmes de paiement en ligne.

screen

Lors de l'affichage du message, le trojan attend les commandes du serveur distant, il est notamment capable de :

  • tuer l’OS (supprimer tous les fichiers sur les disques durs );
  • télécharger un programme et le lancer ;
  • Télécharger et afficher d’autres images pour communiquer avec l’utilisateur ;
  • Sauvegarder sur le disque un fichier exécutable et le lancer en tâche de fond ;
  • Décoder les fichiers (la clé est envoyée depuis le serveur des pirates avec la commande);
  • Coder de nouveau les fichiers avec une nouvelle clé;
  • Mettre à jour la liste des serveurs;
  • Mettre à jour le module principal du trojan.

Prenant en compte la multiplicité des actions qu’il peut effectuer, il convient de rester vigilant envers le potentiel malveillant du Trojan.Matsnu.1. Un grand nombre d’utilisateurs en Europe et en Amérique latine ont déjà souffert de cette menace.

Menaces pour Android

Le mois de mai a vu apparaitre de nouvelles menaces pour les mobiles sous Google Android. Début mai, Doctor Web a annoncé la propagation de trojans menaçant les mobiles avec accès root. Ces programmes malveillants fonctionnent sur le principe des poupées russes : une application modifiée par les pirates contient un autre fichier apk. Le trojan installe dans le système un downloader capable de télécharger et lancer les applications sur le mobile infecté.

screen

Une autre application pour Android a été ajoutée aux bases virales sous le nom d’ Android.Proxy.1.origin. Elle se dit être une mise à jour de l'OS et l'infection peut se faire via des sites infectés par les pirates. Le trojan lance sur le mobile infecté un serveur proxy grâce auquel les pirates obtiennent l’accès à des réseaux privés auxquels le mobile avait accès. Le lancement du trojan commence automatiquement lorsque l'utilisateur ouvre une page infectée avec un élément IFRAME caché, mais pour que le mobile soit infecté, l'utilisateur doit installer cette application.

screen

Winlocks et encoders

Un nombre important d’utilisateurs s’adresse au support technique de Doctor Web suite à l'infection par des winlock : 21,2% du nombre total de requêtes. Ce nombre a un peu diminué par rapport au mois d’avril. Les demandes concernant les Trojan.Encoderreprésentent, quant à elles, 0,71% des cas. 5,3% des requêtes concernent d’autres menaces et les questions techniques représentent 44% des demandes.

En bref

Autres menaces de mai 2012 :

  • Les pirates n’oublient pas le réseau social Facebook.
  • Le programme malveillant Win32.HLLW.Autoruner.64548 se propage en créant une copie sur le disque dur et en sauvegardant la copie dans la branche du registre relative à l'auto démarrage autorun.inf, il cherche et infecte les archives RAR.
  • Doctor Web a détecté un bot IRC BackDoor.IRC.Aryan.1 capable de télécharger différents fichiers depuis le serveur des malfaiteurs et de lancer des attaques DDoS sur commande du serveur IRC.
  • Un autre bot IRC diffusant des spam dans les réseaux de messageries instantanées utilise un mécanisme unique de recherche des processus en cours d’exécution à l’aide des compteurs des performances situés dans la base de registre Windows.

Fichiers malveillants détectés dans le courrier électronique en mai 2012

 01.05.2012 00:00 - 31.05.2012 16:00 
1BackDoor.Andromeda.2210.81%
2Trojan.Siggen.651113.60%
3BackDoor.Bulknet.5462.70%
4Trojan.DownLoader6.3802.70%
5Trojan.Packed.225442.70%
6Win32.HLLM.MyDoom.544642.70%
7Win32.HLLM.MyDoom.338081.80%
8Trojan.DownLoader6.85881.80%
9Trojan.PWS.Banker1.22691.80%
10Trojan.Winlock.60681.80%
11Win32.HLLM.Beagle1.80%
12Trojan.Inject.127030.90%
13Win32.HLLM.Netsky.184010.90%
14Adware.Downware.2350.90%
15Exploit.PDF.28620.90%
16JS.IFrame.1170.90%
17Trojan.Siggen4.10470.90%
18X97M.Escape.20.90%
19Trojan.DownLoader6.95950.90%
20Trojan.SMSSend.26660.90%

Fichiers malveillants détectés sur les PC des utilisateurs en mai 2012

 01.05.2012 00:00 - 31.05.2012 16:00 
1Trojan.Fraudster.2920.73%
2Trojan.Mayachok.10.68%
3Trojan.Fraudster.2560.67%
4Tool.Unwanted.JS.SMSFraud.150.62%
5Trojan.Carberp.300.61%
6Trojan.SMSSend.28560.56%
7Win32.HLLW.Shadow0.55%
8Trojan.SMSSend.27780.52%
9Trojan.Fraudster.2960.51%
10SCRIPT.Virus0.51%
11Trojan.SMSSend.28720.50%
12Win32.HLLW.Shadow.based0.50%
13Tool.Unwanted.JS.SMSFraud.100.49%
14Trojan.Fraudster.2520.47%
15Trojan.NtRootKit.67250.47%
16Trojan.SMSSend.27260.44%
17Trojan.Fraudster.2610.42%
18Tool.InstallToolbar.740.41%
19Trojan.MulDrop3.496570.40%
20Adware.Downware.1790.39%


[url=http://news.drweb.fr/show/?i=656&c=5]Lire l


Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых