Le 4 juin 2012
Le mois de mai 2012 a été un mois relativement calme qui n’a pas vu d'épidémies virales. Néanmoins, le nombre de victimes des Trojans encoder reste important partout dans le monde et de nouvelles menaces pour Android continuent d’apparaitre.
La situation virale
D’après les statistiques de l’utilitaire de traitement Dr.Web CureIt!, le trojan
Les autres menaces significatives ce mois-ci sont les trojans
En comparant les statistiques, il apparaît que le nombre d’infections par le
La propagation du trojan s’effectue via le botnet
Le nombre de menaces décrites ci-dessus n'a pas changé durant le mois.
Spam
La menace la plus répandue dans les messages de spam est le
Fin mai, des spam usurpant l’identité de la banque Sberbank se sont multipliés en Russie. Le message dit que le délai d’autorisation de découvert a été dépassé et le lien contenu dans le message doit soi-disant permettre à l’utilisateur de voir le détail de ses dépenses. Suite à l'ouverture du lien, le trojan télécharge le virus et code tous les fichiers sur le PC.
Doctor Web conseille aux utilisateurs de rester vigilants et de ne pas cliquer sur les liens invitant à télécharger des fichiers, reçus dans des messages douteux.
Botnets
BackDoor.Flashback.39, le botnet qui a défrayé la chronique
Le botnet
Voici le schéma avec les nouveaux Mac infectés :
Win32.Rmnet.12, un botnet touchant des millions de PC
En avril, Doctor Web a annoncé l’interception d’un important botnet,
Au 29 mai 2012, le nombre de PC dans
L’augmentation moyenne par jour est de 25 000 nouveaux bot, le botnet continuant de grossir.
La situation n’est pas vraiment différente pour un autre botnet que les spécialistes Doctor Web étudient attentivement :
L'évolution du nombre de nouveaux PC dans
Trojan.Matsnu.1 , la menace du mois
Un grand nombre d'utilisateurs a été touché par cette menace dans le monde, un nombre important de personnes se sont adressées au support technique Doctor Web en Allemagne.
Le trojan est écrit en langage Assembler, il se propage via des fichiers exécutables compressés se trouvant dans les pièces jointes de spam contenant le nom de l’utilisateur dans l’objet du message. Si l'utilisateur ouvre l'archive, le trojan code les fichiers sur les disques durs et affiche un message disant que l'ordinateur est bloqué. Les pirates préviennent que l’arrêt du PC aggrave la perte des données. Pour décoder les fichiers, les pirates demandent une rançon, payable via des systèmes de paiement en ligne.
Lors de l'affichage du message, le trojan attend les commandes du serveur distant, il est notamment capable de :
- tuer l’OS (supprimer tous les fichiers sur les disques durs );
- télécharger un programme et le lancer ;
- Télécharger et afficher d’autres images pour communiquer avec l’utilisateur ;
- Sauvegarder sur le disque un fichier exécutable et le lancer en tâche de fond ;
- Décoder les fichiers (la clé est envoyée depuis le serveur des pirates avec la commande);
- Coder de nouveau les fichiers avec une nouvelle clé;
- Mettre à jour la liste des serveurs;
- Mettre à jour le module principal du trojan.
Prenant en compte la multiplicité des actions qu’il peut effectuer, il convient de rester vigilant envers le potentiel malveillant du
Menaces pour Android
Le mois de mai a vu apparaitre de nouvelles menaces pour les mobiles sous Google Android. Début mai, Doctor Web a annoncé la propagation de trojans menaçant les mobiles avec accès root. Ces programmes malveillants fonctionnent sur le principe des poupées russes : une application modifiée par les pirates contient un autre fichier apk. Le trojan installe dans le système un downloader capable de télécharger et lancer les applications sur le mobile infecté.
Une autre application pour Android a été ajoutée aux bases virales sous le nom d’
Winlocks et encoders
Un nombre important d’utilisateurs s’adresse au support technique de Doctor Web suite à l'infection par des winlock : 21,2% du nombre total de requêtes. Ce nombre a un peu diminué par rapport au mois d’avril. Les demandes concernant les
En bref
Autres menaces de mai 2012 :
- Les pirates n’oublient pas le réseau social Facebook.
- Le programme malveillant
Win32.HLLW.Autoruner.64548 se propage en créant une copie sur le disque dur et en sauvegardant la copie dans la branche du registre relative à l'auto démarrage autorun.inf, il cherche et infecte les archives RAR. - Doctor Web a détecté un bot IRC
BackDoor.IRC.Aryan.1 capable de télécharger différents fichiers depuis le serveur des malfaiteurs et de lancer des attaques DDoS sur commande du serveur IRC. - Un autre bot IRC diffusant des spam dans les réseaux de messageries instantanées utilise un mécanisme unique de recherche des processus en cours d’exécution à l’aide des compteurs des performances situés dans la base de registre Windows.
Fichiers malveillants détectés dans le courrier électronique en mai 2012
01.05.2012 00:00 - 31.05.2012 16:00 | ||
1 | BackDoor.Andromeda.22 | 10.81% |
2 | Trojan.Siggen.65111 | 3.60% |
3 | BackDoor.Bulknet.546 | 2.70% |
4 | Trojan.DownLoader6.380 | 2.70% |
5 | Trojan.Packed.22544 | 2.70% |
6 | Win32.HLLM.MyDoom.54464 | 2.70% |
7 | Win32.HLLM.MyDoom.33808 | 1.80% |
8 | Trojan.DownLoader6.8588 | 1.80% |
9 | Trojan.PWS.Banker1.2269 | 1.80% |
10 | Trojan.Winlock.6068 | 1.80% |
11 | Win32.HLLM.Beagle | 1.80% |
12 | Trojan.Inject.12703 | 0.90% |
13 | Win32.HLLM.Netsky.18401 | 0.90% |
14 | Adware.Downware.235 | 0.90% |
15 | Exploit.PDF.2862 | 0.90% |
16 | JS.IFrame.117 | 0.90% |
17 | Trojan.Siggen4.1047 | 0.90% |
18 | X97M.Escape.2 | 0.90% |
19 | Trojan.DownLoader6.9595 | 0.90% |
20 | Trojan.SMSSend.2666 | 0.90% |
Fichiers malveillants détectés sur les PC des utilisateurs en mai 2012
01.05.2012 00:00 - 31.05.2012 16:00 | ||
1 | Trojan.Fraudster.292 | 0.73% |
2 | Trojan.Mayachok.1 | 0.68% |
3 | Trojan.Fraudster.256 | 0.67% |
4 | Tool.Unwanted.JS.SMSFraud.15 | 0.62% |
5 | Trojan.Carberp.30 | 0.61% |
6 | Trojan.SMSSend.2856 | 0.56% |
7 | Win32.HLLW.Shadow | 0.55% |
8 | Trojan.SMSSend.2778 | 0.52% |
9 | Trojan.Fraudster.296 | 0.51% |
10 | SCRIPT.Virus | 0.51% |
11 | Trojan.SMSSend.2872 | 0.50% |
12 | Win32.HLLW.Shadow.based | 0.50% |
13 | Tool.Unwanted.JS.SMSFraud.10 | 0.49% |
14 | Trojan.Fraudster.252 | 0.47% |
15 | Trojan.NtRootKit.6725 | 0.47% |
16 | Trojan.SMSSend.2726 | 0.44% |
17 | Trojan.Fraudster.261 | 0.42% |
18 | Tool.InstallToolbar.74 | 0.41% |
19 | Trojan.MulDrop3.49657 | 0.40% |
20 | Adware.Downware.179 | 0.39% |
[url=http://news.drweb.fr/show/?i=656&c=5]Lire l