Aperçu du Top 20 Online Scanner du mois d'août 2006

01 sept. 2006
Actualités Virus

Rang Evolution Nom Pourcentage
1. Nouveau!Nouveau! Email-Worm.Win32.Mydoom.m 4,93
2. Nouveau!Nouveau! Email-Worm.Win32.NetSky.q 0,74
3. Re-entreeRe-entree Email-Worm.Win32.Nyxem.e 0,31
4. Up+1 Trojan-Dropper.Win32.Agent.asl 0,22
5. Nouveau!Nouveau! Backdoor.IRC.Zapchast 0,16
6. Nouveau!Nouveau! Email-Worm.Win32.NetSky.aa 0,15
7. Nouveau!Nouveau! Trojan-Downloader.Win32.Agent.arc 0,15
8. Nouveau!Nouveau! Backdoor.Win32.mIRC-based 0,13
9. Nouveau!Nouveau! Trojan-Proxy.Win32.Horst.av 0,12
10. Nouveau!Nouveau! Virus.DOS.PS-MPC-based 0,10
11. Down-8 Email-Worm.Win32.Rays 0,10
12. Up+1 not-a-virus:Monitor.Win32.Perflogger.163 0,10
13. Nouveau!Nouveau! not-a-virus:RiskTool.Win32.HideWindows 0,09
14. Nouveau!Nouveau! Email-Worm.Win32.Bagle.fj 0,09
15. Down-14 Trojan-Spy.Win32.Banker.anv 0,09
16. Nouveau!Nouveau! Net-Worm.Linux.Ramen 0,09
17. Down-13 Email-Worm.Win32.Brontok.q 0,09
18. Down-3 Virus.Win32.Parite.b 0,08
19. Nouveau!Nouveau! Backdoor.IRC.Acnuz 0,08
20. Nouveau!Nouveau! Backdoor.IRC.Mimic 0,07
Autres programmes malicieux 92,11

Comparer au classement du mois de juillet que nous avions considere comme un modele en raison de sa composition. Nous pouvons clairement identifier les virus qui sont repris de plein droit et qui sont bel et bien presents sur Internet et le virus qui ont fait leur entree au classement uniquement grace aux particularites de fonctionnement du scanner online et il est fort probable qu’ils disparaissent du classement aussi vite qu’ils n’y sont entres.

Le trio de tete du Top 20 au mois d’aout aurait pu figurer dans nos statistiques du debut d’annee sur le courrier. Il s’agit de trois vers dont les deux premiers ont ete particulierement remarques en 2004 et 2005. NetSky.g fut le virus le plus largement repandu en 2004. Mais a l’heure qu’il est, ces deux vers ne figurent deja plus dans notre classement pour le courrier, ce qui signifie qu’ils ne circulent plus dans le courrier electronique. Il y a plusieurs explications possibles a leur apparition dans le Top 20 Online. La principale explication tient aux differentes sources utilisees pour obtenir les statistiques servant a l’elaboration de nos classements. Ainsi, le Top 20 des virus de courrier repose sur les donnees antivirus recoltees sur quelques serveurs de messagerie important et refletent le nombre de virus interceptes et neutralise. Le Top 20 Online quant a lui repose sur les donnees obtenues aupres des machines d’utilisateurs finaux qui n’utilisent pas necessairement un logiciel antivirus. Pour cette raison, le « contingent » de virus sur de tels ordinateurs peut etre particulierement bigarre.

Des positions « logiques »

Les troisieme et quatrieme places sont tout a fait logiques. Nyxem.E a retrouve ces derniers mois une nouvelle jeunesse et nous relevons sa presence dans le courrier electronique. Autrement dit, son incursion dans le Top 20 online n’etait qu’une question de temps. Trojan-Dropper.Win32.Agent.asl a meme reussi a progresser d’une place malgre un recul au niveau du pourcentage.

Les 6 entrees suivantes du classement sont un melange de virus modernes dangereux, de virus qui ont connu leur heure de gloire il y a quelques annees et d’ «antiquites » dont l’existence sur les systemes d’exploitation moderne est tout simplement impossible. Trojan-Downloader.Win32.Agent.arc Trojan-Proxy.Win32.Horst.av appartiennent au premier groupe. Horst.av represente sans conteste a l’heure qu’il est un des principales menaces pour les utilisateurs. Il s’agit d’un cheval de Troie relativement complexe dote de plusieurs composants. Il est egalement dote d’outils de dissimulation d’activite et il utilise diverses technologies polymorphes pour compliquer la tache des logiciels antivirus. Le deuxieme groupe reprend Backdoor.IRC.Zapchast+Backdoor.Win32.mIRC-based et, a part, le ver NetSky.aa Comme l’indique la presence des initiales « IRC » dans le nom des deux premiers virus, il s’agit de chevaux de Troie administres via IRC. Il s’agit d’un des premiers representant de la categorie des « reseaux de zombies ». C’est en 2002 que nous avons decouvert les premieres variantes de Backdoor.IRC.Zapchast. Depuis lors, le nombre de variantes connues a depasse le millier. Une epidemie locale causee par une de ces variantes a du se produire quelque part en aout 2006.

Virus.DOS.PS-MPC-based est le cas bizarre de ce classement. Ce virus n’est pas un fichier concret, mais plutot une multitude de variantes creees a l’aide du constructeur PS-MPC. Il est sur nos radars depuis plus de 10 ans mais, vraisemblablement, il existe des personnes qui pensent etre capables d’utiliser ce constructeur afin de produire un virus qui ne pourra pas etre detecte. C’est ce qui expliquer les nombreuses analyses de ces fichiers par le scanner online et la 10e place qui n’est pas logique.

La deuxieme moitie du classement est plus reconnaissable. On y retrouve de vieilles connaissances telles que les vers Rays, Brontok, l’enregistreur de frappes Perflogger, le virus Parite.b et l’ancien leader du classement et habitue du Top 5 : le cheval de Troie espion Banker.anv. Le leader a enregistre un recul de 14 places mais nous pensons qu’au mois de septembre il reviendra au sommet du classement.

Les occupants des deux dernieres places sont etranges mais il n’est pas exclu qu’ils soient lies a Backdoor.IRC.Zapchast, decrit plus haut, ce qui donnerait une explication logique. Quant au ver Ramen, tournant sous Linux, il est toujours remarquable. Ramen est le code malveillant pour Linux le plus repandu. Mais jusqu’a present, nous n’avions jamais releve sa presence a un niveau qui justifierait son entree ne serait-ce que dans les dernieres places de notre classement. Toujours est-il que Ramen semble avoir atteint cette masse critique au mois d’aout pour faire son entree en 16e position. Il sera interessant de voir son comportement au mois de septembre.

  PARTAGER