Top 20 des virus de courrier - octobre 2007

01 nov. 2007
Actualités Virus

Rang Evolution Nom Détecté proactivement comme Pourcentage
1 Email-Worm.Win32.NetSky.q Trojan.generic 20,11
2 New Trojan-Spy.HTML.Fraud.ay <Not detected> (phishing email) 10,83
3 -1 Email-Worm.Win32.NetSky.aa Trojan.generic 9,07
4 +3 Worm.Win32.Feebs.gen Hidden Data Sending 5,97
5 -2 Email-Worm.Win32.Mydoom.l Trojan.generic 5,85
6 New Exploit.Win32.PDF-URI.k <Not detected> (PDF exploit) 5,17
7 +1 Email-Worm.Win32.NetSky.t Trojan.generic 4,94
8 -4 Email-Worm.Win32.Bagle.gt Trojan.generic 4,31
9 -4 Email-Worm.Win32.Nyxem.e Trojan.generic 4,16
10 -4 Net-Worm.Win32.Mytob.c Trojan.generic 4,12
11 Email-Worm.Win32.NetSky.x Trojan.generic 2,72
12 Email-Worm.Win32.Scano.gen Trojan.generic 2,61
13 +1 Net-Worm.Win32.Mytob.t Worm.P2P.generic 2,37
14 New Virus.Win32.Virut.a <Not detected> (file infector, not operational if KAV installed) 1,87
15 +3 Net-Worm.Win32.Mytob.u Worm.P2P.generic 1,75
16 -6 Email-Worm.Win32.NetSky.b Trojan.generic 1,40
17 Return Email-Worm.Win32.LovGate.w Trojan.generic 1,28
18 -3 Net-Worm.Win32.Mytob.dam <Not detected> (damaged files) 1,28
19 -6 Exploit.Win32.IMG-WMF.y <Not detected> (WMF exploit) 1,07
20 -11 Trojan-Spy.HTML.Paylap.bg <Not detected> (phishing email) 1,07
Autres programmes malicieux 8,05

Le classement aurait été tout autre si la collecte des statistiques s’était arrêtée avant le 26 octobre. En effet, les faits les plus marquants du mois ont eu lieu après cette date.

Deux diffusions à grande échelle ont été enregistrées à la fin du mois d’octobre et elles se sont avérées parmi les plus massives de ces derniers mois en particulier dans le segment russe d’internet.

La première d’entre elles a propulsé Fraud.ay à la deuxième place du classement. Les auteurs malicieux ont une fois de plus ressenti le besoin d’atteindre les comptes des utilisateurs du système « Yandex Dengui ». Pour se faire, ils ont créé quelques dizaines de sites contrefaits et ont organisé une diffusion en demandant expressément aux destinataires de suivre le lien et de rentrer leurs données confidentielles.

Il est curieux de voir que les cyber-criminels se sont tellement peu préoccupés de leur entreprise qu’ils n’ont pas pris la peine de vérifier le bon fonctionnement des liens du message de phishing. Une erreur s’est glissée dans l’adresse du site et lorsque l’internaute clique sur le lien à partir de Outlook\Outlook Express, le site de phishing ne s’ouvre pas. Le seul client de messagerie qui ignorait cette erreur et permettait d’accéder au site est TheBat. C’est à partir de ce programme que les auteurs criminels ont crée leur message sans le vérifier sur les autres clients de messagerie.

Qui plus est ces sites d’escroquerie ont été placés sur des ressources qui ont déjà été utilisées pour ce type d’attaques, aussi ces dernières se trouvent elles sur les listes noires du « Anti-Phishing Working Group ». Par conséquent, l’entrée sur le site à l’aide des navigateurs Internet Explorer 7 et Firefox a été bloquée par les filtres anti-hameçonnage intégrés. Au final, la diffusion a été aussi massive qu’inefficace.

La deuxième attaque, qui a débuté le 26 octobre, est bien plus intéressante. Des emails accompagnés d’un fichier .pdf ont envahi les boites de messagerie. Il s’agissait d’un exploit connu depuis peu d’une vulnérabilité dans les produits de la société Adobe. Lors de l’ouverture de ce type de pdf, un code malicieux était exécuté et un Trojan downloader s’installait dans le système. L’ampleur de l’attaque permet à Exploit.Win32.PDF-URI.k de se retrouver directement à la sixième place de notre classement.

En plus de ces deux programmes malicieux, un autre nouveau s’est inséré dans le classement d’octobre. Il s’agit d’un virus de fichier classique – Virut.a. Détecté en mai 2006, il a réussi à passer dans les statistiques du courrier électronique le plus diffusé. De quelle façon me direz-vous ? A l’aide d’une méthode bien classique – par infection de fichiers de vers de messagerie tiers. Cette méthode n’est pas nouvelle dans le monde de la cybercriminalité et Virut se diffuse de par le monde « sur le dos » d’autres vers concurrents.

Toutes les autres places du classement sont occupées par les anciens et bien connus représentants des vers NetSky, Mydoom, Bagle, Feebs, Nyxem, Scano. Même le retour dans le classement du ver Lovegate.w n’étonne plus personne. Il est toujours aussi actif dans les pays proches de sa patrie – l’Asie du sud-est.

Quant à l’unique nouveau du classement de septembre – l’attaque de phishing Paylap.bg - il a dégringolé en 20ème position.

  1. Trois nouveaux codes malicieux font leur entrée dans le Top 20 : Trojan-Spy.HTML.Fraud.ay, Exploit.Win32.PDF-URI.k, Virus.Win32.Virut.a
  2. En hausse dans le classement : Worm.Win32.Feebs.gen, Email-Worm.Win32.NetSky.t, Net-Worm.Win32.Mytob.t, Net-Worm.Win32.Mytob.u
  3. En baisse dans le classement : Email-Worm.Win32.NetSky.aa, Email-Worm.Win32.Mydoom.l, Email-Worm.Win32.Bagle.gt, Email-Worm.Win32.Nyxem.e, Net-Worm.Win32.Mytob.c, Email-Worm.Win32.NetSky.b, Net-Worm.Win32.Mytob.dam, Exploit.Win32.IMG-WMF.y, Trojan-Spy.HTML.Paylap.bg
  4. De retour dans le classement : Email-Worm.Win32.LovGate.w

  PARTAGER