Septembre 2009 : les cybercriminels s’appuient sur les supports amovibles et les vulnérabilités dans les logiciels les plus utilisés

06 oct. 2009
Actualités Virus

Rueil-Malmaison – Lundi 5 octobre 2009 – Les chercheurs de Kaspersky Lab établissent chaque mois leurs Tops 20 des programmes malveillants à partir de données générées par Kaspersky Security Network et Antivirus Internet. En septembre 2009, les indices des 2 classements sont en léger recul, en raison de la migration des utilisateurs vers les nouvelles versions de Kaspersky Anti-Virus et de Kaspersky Internet Security.

Le premier Top 20 établit le classement des codes malicieux, programmes malveillants et logiciels publicitaires présentant un danger potentiel, détectés et neutralisés dès le premier contact, au déclenchement du composant d'analyse à la demande de Kaspersky Security Network.

L'utilisation des statistiques permet d'analyser les menaces les plus récentes, les plus dangereuses et les plus répandues bloquées au démarrage ou lors du téléchargement depuis Internet sur l'ordinateur de l'utilisateur.

Rang Evolution Programme malicieux Nombre de PC infectés
1   top20_noch0 Net-Worm.Win32.Kido.ih   41033  
2   top20_noch0 Virus.Win32.Sality.aa   18027  
3   top20_noch0 not-a-virus:AdWare.Win32.Boran.z   12470  
4   top20_newNouveauté Net-Worm.Win32.Kido.ir   11384  
5   top20_down-1 Trojan-Downloader.Win32.VB.eql   6433  
6   top20_down-1 Trojan.Win32.Autoit.ci   6168  
7   top20_up3 Virus.Win32.Induc.a   5947  
8   top20_down-2 Virus.Win32.Virut.ce   5433  
9   top20_newNouveauté P2P-Worm.Win32.Palevo.jdb   5169  
10   top20_down-2 Net-Worm.Win32.Kido.jq   4288  
11   top20_newNouveauté Worm.Win32.FlyStudio.cu   4104  
12   top20_down-5 Worm.Win32.AutoRun.dui   4071  
13   top20_down-4 Virus.Win32.Sality.z   4056  
14   top20_up6 P2P-Worm.Win32.Palevo.jaj   3564  
15   top20_down-4 Worm.Win32.Mabezat.b   2911  
16   top20_newNouveauté Exploit.JS.Pdfka.ti   2823  
17   top20_newNouveauté Trojan-Downloader.WMA.Wimad.y   2544  
18   top20_noch0 Trojan-Dropper.Win32.Flystud.yo   2513  
19   top20_newNouveauté P2P-Worm.Win32.Palevo.jcn   2480  
20   top20_newNouveauté Trojan.Win32.Refroso.bpk   2387  

Kido est toujours actif. Outre Kido.ih, en pôle position des précédents Tops 20, apparaît Kido.ir qui désigne l’ensemble des fichiers autorun-inf que le ver crée pour se diffuser via des supports amovibles.

Le ver Palevo se diffuse rapidement et en 3 versions : Palevo.jdb, Palevo.jcn et Palevo.jaj.

Ces 2 programmes malveillants se diffusent via des supports mobiles, tout comme le ver chinois FlyStudio.cu, qui possède toujours les mêmes fonctions populaires de porte dérobée.

Parmi les nouveautés, les chercheurs de Kaspersky Lab remarquent une nouvelle version du téléchargeur multimédia Wimad : Trojan-Downloader.WMA.Wimad.y. Au lancement, il déclenche une requête de chargement du fichier malveillant. Dans ce cas-ci, not-a-virus:AdWare.Win32.PlayMP3z.a.

Le second Top 20 établi par les chercheurs de Kaspersky Lab repose sur les données obtenues via Antivirus Internet. Il permet d’identifier les programmes malveillants qui infectent les pages Web et les codes malicieux qui sont téléchargés depuis des pages malveillantes ou infectées.

Rang Evolution Programme malicieux Nombre de tentatives de téléchargement
1   top20_noch0 not-a-virus:AdWare.Win32.Boran.z   17624  
2   top20_up1 Trojan.JS.Redirector.l   16831  
3   top20_down-1 Trojan-Downloader.HTML.IFrame.sz   6586  
4   top20_newNouveauté Exploit.JS.Pdfka.ti   3834  
5   top20_upNouveauté Trojan-Clicker.HTML.Agent.aq   3424  
6   top20_up4 Trojan-Downloader.JS.Major.c   2970  
7   top20_down-3 Trojan-Downloader.JS.Gumblar.a   2583  
8   top20_newNouveauté Exploit.JS.ActiveX.as   2434  
9   top20_down-1 Trojan-Downloader.JS.LuckySploit.q   2224  
10   top20_down-3 Trojan-GameThief.Win32.Magania.biht   1627  
11   top20_newNouveauté Exploit.JS.Agent.ams   1502  
12   top20_up4 Trojan-Downloader.JS.IstBar.bh   1476  
13   top20_newNouveauté Trojan-Downloader.JS.Psyme.gh   1419  
14   top20_newNouveauté Exploit.JS.Pdfka.vn   1396  
15   top20_retRetour Exploit.JS.DirektShow.a   1388  
16   top20_down-10 Exploit.JS.DirektShow.k   1286  
17   top20_retRetour not-a-virus:AdWare.Win32.Shopper.l   1268  
18   top20_retRetour not-a-virus:AdWare.Win32.Shopper.v   1247  
19   top20_newNouveauté Trojan-Clicker.JS.Agent.jb   1205  
20   top20_newNouveauté Exploit.JS.Sheat.f   1193  

Les chercheurs de Kaspersky Lab observent la performance de 2 représentants de la famille Exploit.JS.Pdfka, fichiers JavaScript contenus dans des documents PDF qui exploitent diverses vulnérabilités des logiciels Adobe (y compris Adobe Reader).

Pdfka.ti exploite une vulnérabilité identifiée pour la 1ère fois il y a 2 ans dans la fonction Collab.collectEmailInfo (cve.mitre.org). Pdfka.vn exploite une vulnérabilité un peu plus récente dans la fonction getIcon du même objet Collab (cve.mitre.org).

Ces vulnérabilités dans les logiciels Adobe, nombreuses ces dernières années, sont massivement exploitées par les cybercriminels, quelle que soit la version du logiciel, afin de d’accroître la probabilité du téléchargement du programme malveillant principal sur les ordinateurs des victimes. En effet, il est toujours probable que certains utilisateurs n’aient pas actualisé leurs applications. Par conséquent, les équipes de Kaspersky Lab recommande à nouveau d’actualiser en temps opportuns les logiciels les plus utilisés, dont les produits Adobe.

Les chercheurs de Kaspersky Lab observent aussi le retour de DirektShow.a et l’apparition de Sheat.f et l’apparition des cliqueurs iframes.

En conclusion, la tendance des mois précédents se maintient : le nombre de paquets Web d’applications malveillantes qui exploitent toutes les vulnérabilités possibles des logiciels standards continue à augmenter. Ceci donne aux cybercriminels de nombreuses opportunités pour développer leurs activités. Cette diffusion est favorisée par des cliqueurs iframe élémentaires situés sur des sites légitimes infectés. Les cybercriminels peuvent accéder à ces sites grâce aux infections d’applications malveillantes volant les données confidentielles. La boucle est ainsi bouclée.

Enfin, pour les chercheurs de Kaspersky Lab, en septembre 2009, le Top 5 des pays producteurs de menaces cybercriminelles par tentatives d’infections via Internet est le suivant :

top20_sept09_fr

  PARTAGER