Aperçu du Top 20 des virus de courrier du mois d'octobre 2006

01 nov. 2006
Actualités Virus

Rang Evolution Nom Pourcentage
1. ReturnRe-entree Email-Worm.Win32.NetSky.q 13.14
2. New!Nouveau ! Email-Worm.Win32.Warezov.dn 11
3. ReturnRe-entree Email-Worm.Win32.Bagle.gen 10.43
4. No Change Email-Worm.Win32.Scano.gen 7.97
5. New!Nouveau ! Email-Worm.Win32.Warezov.ev 6.32
6. ReturnRe-entree Email-Worm.Win32.Bagle.mail 4.04
7. New!Nouveau ! Email-Worm.Win32.Warezov.dc 3.65
8. ReturnRe-entree Email-Worm.Win32.Mydoom.l 2.89
9. ReturnRe-entree Email-Worm.Win32.Mydoom.m 2.74
10. ReturnRe-entree Email-Worm.Win32.Scano.e 2.46
11. New!Nouveau ! Email-Worm.Win32.Warezov.do 2.41
12. ReturnRe-entry Email-Worm.Win32.NetSky.aa 2.08
13. Down-8 Email-Worm.Win32.NetSky.b 2.04
14. Down-13 Net-Worm.Win32.Mytob.c 2.01
15. Down-2 Trojan-Spy.HTML.Bankfraud.od 1.84
16. New!Nouveau ! Email-Worm.Win32.Warezov.eu 1.83
17. New!Nouveau ! Email-Worm.Win32.Warezov.gen 1.26
18. ReturnRe-entree Email-Worm.Win32.Bagle.dx 1.24
19. New!Nouveau ! Email-Worm.Win32.Warezov.dh 0.84
20. Down-12 Email-Worm.Win32.Scano.aq 0.8
Autres programmes malicieux 19.01
Taux de presence de la famille Warezov 27.31

Trois mois durant, nous avons assiste a une lutte farouche entre Mytob.c et Nyxem.e pour la premiere place du classement. Ces deux la n’ont eu de cesse de se soutirer tour a tour des parts de pourcentage. Il est difficile de dire combien de temps aurait dure ces bouleversements. N’importe quelle epidemie aurait renverse la donne mais en cette fin 2006, le fleau d’Internet qu’ont ete les vers de courrier est pratiquement tombe dans l’oubli. Les chevaux de Troie ou les vers de reseaux ont fait preuve d’un grand dynamisme exploitant pour leur diffusion des breches de securite dans Windows, y compris la recente MS06-040.

En octobre, la situation a change du jour au lendemain. Le ver Warezov est arrive comme un coup de massue et a seme le desordre dans nos statistiques. De tous les codes malicieux presents en septembre, cinq seulement restent dans la course ! Warezov s’est revele un veritable casse-tete pour les societes de securite informatique du monde entier pendant tout le mois d’octobre deployant un regain d’activite a la fin du mois. Ce dynamisme nous a oblige a moderniser le systeme de collecte des donnees statistiques, ce qui a influence la repartition des statistiques d’octobre.

« La folie d’octobre » provoquee par Warezov est telle que les representants de cette famille ont pris d’assaut sept places dans le classement. Mytob etait le seul jusqu’a present a avoir fait des debuts aussi devastateurs. Le pourcentage total des versions reunies de Warezov atteint plus de 27%. Si nos statistiques etaient basees sur les diffusions par familles et non pas par variantes – Warezov serait le leader absolu d’octobre. Pourtant, Warezov.dn occupe la deuxieme place, a 2% pres, derriere le leader de 2004 - NetSky.q. Ce dernier est a nouveau dans les hauteurs du hit-parade mais il est difficile de dire s’il s’agit la d’une tendance persistante ou d’une apparition fugace dont nous avons deja ete temoins par le passe.

Warezov n’est pas sans rappeler le fameux Bagle. Warezov est pourtant base sur les codes sources de Mydoom.a, alors que Bagle est l’?uvre « originale » d’un groupe d’auteurs de virus inconnu. Nous sommes toutefois enclins a penser que ces vers sont « cousins ».

Tout d’abord, l’organisation de l’epidemie est relativement complexe - une diffusion massive d’une quantite importante de variantes dans un temps tres court assortie d’un clivage geographique – la Russie et l’Europe ont ete attaques par des versions differentes.

Deuxiemement, leurs fonctions – installation sur les machines de modules tiers depuis des sites compromis par des chevaux de Troie et la collecte d’adresses de courrier electronique envoyees ensuite aux attaquants. Bagle a ete le premier a utiliser les technologies virales en vue de completer des bases de donnees de spams. Warezov fait exactement la meme chose.

Troisiemement, l’apparition de Warezov correspond a la deperdition de nouvelles variantes de Bagle a une semaine pres. Il est peu probable que les auteurs de Bagle aient subitement disparu du milieu et que quelqu’un d’autre ait repris l’affaire d’une maniere aussi efficace. Vraisemblablement, les deux vers sont le fruit d’un meme groupe criminel.

Quatriemement, Bagle a eu un retentissement enorme sur l’industrie virale dans son ensemble, obligeant les editeurs d’antivirus a creer de nouveaux moyens de defense. Warezov nous charge d’une tache ardue qui est de lutter contre l’obfuscation (brouillage de codes) des codes ainsi que de mettre en place une vitesse de reaction a un niveau jamais atteint.

Par ailleurs, Bagle fait toujours bonne figure dans le trafic de courrier. On n’enregistre pas de nouvelles variantes mais les anciennes sont toujours la et se diffusent activement. La troisieme, la sixieme et la dix huitieme en sont les exemples revelateurs.

Un autre ver, qui en son temps a egalement provoque la lutte contre l’obfuscation de code etait Scano. Il y a quelques mois, nos analystes ont vaincu le moteur polymorphe de ce ver mais l’echelle de diffusion de Scano reste elevee. Scano.gen occupe avec une remarquable stabilite la quatrieme place acquise en septembre malgre le changement radical dans nos statistiques.

Reste a souligner que le trio des leaders - Warezov, Bagle et Scano – presente malheureusement des origines « cyrilliques », autrement dit, ils ont ete crees soit en Russie, soit dans un pays de l’ex Union Sovietique.

L’attaque de phishing Bankfraud.od detectee en aout continue d’etre la plus diffusee en octobre. Elle a perdu une seule place en septembre, en octobre deux. Malgre tout, le phishing tient une place grandissante dans le trafic de courrier et nous projetons de consacrer prochainement des statistiques entierement dediees au phishing.

Les programmes malicieux presents dans le trafic de messagerie representent 19.1% du nombre total des programmes interceptes, ce qui temoigne du nombre eleve de vers et de chevaux de Troie apparentes a d’autres familles.

En resume :

Nouveaux dans le classement : Warezov.dn, Warezov.ev, Warezov.dc, Warezov.do, Warezov.eu, Warezov.gen, Warezov.dh

En baisse dans le classement : NetSky.b, Mytob.c, Bankfraud.od, Scano.aq

De retour dans le classement : NetSky.q, Bagle.gen, Bagle.mail, Mydoom.l, Mydoom.m, Scano.e, NetSky.aa, Bagle.dx

Meme position dans le classement : Scano.gen

  PARTAGER