Aperçu de l'activité virale du mois d'octobre 2005

01 nov. 2005
Actualités Virus

Rang Evolution Nom du programme malicieux Pourcentage des incidents viraux
1. Up+1 Net-Worm.Win32.Mytob.c 14,56
2. New!Nouveau! Email-Worm.Win32.Doombot.b 10,27
3. Down-2 Email-Worm.Win32.Zafi.d 7,92
4. Up+15 Net-Worm.Win32.Mytob.bi 6,80
5. Down-1 Email-Worm.Win32.LovGate.w 5,27
6. Up+2 Email-Worm.Win32.NetSky.q 3,66
7. New!Nouveau! Email-Worm.Win32.Doombot.d 3,27
8. Down-3 Email-Worm.Win32.NetSky.b 3,08
9. Down-2 Net-Worm.Win32.Mytob.bk 3,03
10. Down-1 Net-Worm.Win32.Mytob.t 2,51
11. Up+4 Net-Worm.Win32.Mytob.y 2,35
12. Up+5 Net-Worm.Win32.Mytob.be 2,22
13. Down-7 Net-Worm.Win32.Mytob.q 2,10
14. Down-4 Net-Worm.Win32.Mytob.u 2,08
15. Down-12 Email-Worm.Win32.Zafi.b 1,59
16. New!Nouveau! Email-Worm.Win32.Fanbot.f 1,46
17. New!Nouveau! Email-Worm.Win32.Bagle.dx 1,24
18. New!Nouveau! Trojan-Spy.HTML.Bayfraud.hn 1,22
19. Down-8 Net-Worm.Win32.Mytob.r 1,20
20. Down-8 Email-Worm.Win32.NetSky.aa 1,16
Autres programmes malicieux (ne font pas partie du classement) 23,01

Au mois de septembre, nous signalions l'arrestation au Maroc et en Turquie de deux suspects dans l'affaire des vers de la famille Mytob. Les suites de l'enquête montreront s'ils sont coupables ou non mais pour l'heure on note une chute sensible de la quantité de nouvelles versions de Mytob au mois de septembre.

Il est bien connu que la nature a horreur du vide et la nature du monde des virus informatique encore moins. Les autres cyber-criminels n'ont pas manqué de profiter de la situation en diffusant en toute liberté et sans attendre quelques nouvelles familles de vers dangereux.

Dans l'ensemble, octobre 2005 s'est avéré un mois riche en nouveaux programmes malicieux. Les spécialistes de Kaspersky Lab ont atteint un record particulier en ajoutant plus de 1400 nouveaux virus dans les bases antivirus en l'espace d'une semaine.

Qui plus est le top 20 des virus voit son leader changer une fois de plus. Et pour la énième fois il s'agit de Mytob.c, il est d'ailleurs difficile de se rappeler combien de fois cette variante de Mytob a dominé le classement. Il semble que ce ver soit à même de devenir le ver le plus diffusé de 2005.

En deuxième position, un nouveau a pris place. Ce dernier est le représentant de la nouvelle génération de vers de réseau que nous avons évoqué précédemment – Doombot.b. Son fonctionnement est très proche de celui de Mytob. Il combine également les fonctions de ver de courrier et de bot IRC. Tout comme Mytob il est basé sur les codes sources du ver Mydoom. Cependant, de nombreuses différences dans des éléments importants du composant du ver nous obligent à le considérer comme une famille à part entière. Il faut ajouter que la variante .b a été identifiée le 16 octobre ce qui signifie qu'il a réussi à se hisser en deuxième position en deux semaines seulement. Il n'est pas exclu qu'il prenne la tête du classement en novembre.

Mytob.bi a fait preuve d'une progression tout aussi impressionnante. Ce dernier occupait la 19ème place en septembre et disparaissait déjà de notre champ de vision lorsqu'en octobre il a progressé de quatre places pour occuper la 15ème place. A noter que son indice en pourcentage est également relativement important.

Ce mois-ci, dans la première dizaine du classement, on note un autre représentant de la famille Doombot – Doombot.d. Au départ, il était classifié comme Mytob.dc, cependant la présence du texte « H-E-L-L-B-O-T-P-O-L-Y-M-O-R-P-H » inhérent aux Doombot, a aidé à corriger sa classification. En général, de tels cas sont très difficiles à classifier étant donné que les fonctions et la structure du programme de tous ces vers bots sont très ressemblantes. Ce qui n'est somme toute pas très étonnant étant donné qu'ils sont tous des clones du ver Mydoom qui va bientôt fêter ces deux ans d'existence.

Cela illustre d'ailleurs bien que la diffusion des codes source des virus provoque souvent plus de dégât que la diffusion d'un nouveau ver de réseau créée sur ces codes – en effet n'importe quel script kiddies, en présence d'un code source peut rapidement créer une variante du ver en modifiant simplement le code sans vraiment s'y connaître en programmation.

Dans le reste du classement trois nouveaux programmes malicieux attirent l'attention, ils occupent les places 16 à 18. Ils sont tous très différents et d'autant plus intéressants.

La 16ème place est occupée par un représentant de la nouvelle génération. Le ver Fanbot.f créée une fois de plus sur la base de Mydoom et de la backdoor SdBot, tente de mener une cyber-guerre avec l'auteur de Doombot, ce dont témoigne expressément les lignes de texte dans le corps du virus :

«HellBot3 have BackDoor in 'HellMsn.h'. The HellBot3 author is an idiot!!! [Phantom] 2005 Made By Evil[xiaou]. Greetz to good friend x140d4n. Based On sdbot&&mydoom.»

L'auteur de Fanbot exprime également son mécontentement envers les sociétés antivirus qui n'ont pas baptisé le virus de la façon dont le souhaitait l'auteur :

«MSG to Kaspersky&Norton: can u make it difficulty next time!!! stupid. dont call me Fanbot,i am [Phantom]!!! SHIT!!! Play with The best, Die like the rest.»

Fanbot est une famille nombreuse. A l'heure actuelle nous connaissons 11 variantes de ce ver et il est certain qu'ils seront avec Doombot uns des virus les plus actifs ces prochains mois.

Les auteurs du ver Bagle quant à eux n'ont pas perdu leur temps. Nous vous informions déjà qu'en septembre, plus de 20 nouvelles variantes étaient identifiées. En octobre, la suractivité a été négligée au profit de la qualité, et Bagle.dx authentifié le 20 octobre est devenu l'évènement de ce mois-ci. Comme toujours dans le cas de Bagle, le but principal des auteurs de virus n'est pas la diffusion du ver mais l'installation sur les ordinateurs infectés de trojans de proxy serveur pour la diffusion de spam ainsi qu'un programme de collecte d'adresses de courrier électronique. A notre avis, Bagle et sa récente épidémie locale sont responsables de la croissance remarquée de la diffusion de spam dans le monde entier ces dernières semaines.

En plus des diffusions de spams, des attaques par phishing sont organisées via les ordinateurs infectés. Une des attaques les plus massives d'octobre s'avère être la diffusion de Trojan-Spy.HTML.Bayfraud.hn développée pour les utilisateurs du système eBay. Cette lettre occupe la 18ème place dans notre classement, rappelant une fois de plus les dangers du phishing.

Les autres programmes malicieux ont pris une place relativement importante dans le trafic viral global d'Internet (23.01%) ce qui témoigne d'une grande activité de la part de vers et programmes de Troie appartenant à d'autres familles.

Dans le top 20 des virus cinq nouveaux programmes malicieux sont apparus Doombot.b, Doombot.d, Fanbot.f, Bagle.dx, Bayfraud.hn

Sont montés dans le classement: Mytob.c, Mytob.bi, NetSky.q, Mytob.y, Mytob.be

Ont baissé dans le classement: Zafi.d, Lovgate.w, NetSky.b, Mytob.bk, Mytob.t, Mytob.q, Mytob.u, Zafi.b, Mytob.r, NetSky.aa

  PARTAGER