Classement des programmes malveillants en mars 2010

06 avr. 2010
Actualités Virus

Les chercheurs de Kaspersky Lab observent qu’un nombre croissant de programmes malveillants exploite la confiance des internautes, notamment les faux antivirus et les programmes bloqueurs.

Programmes malveillants détectés sur les ordinateurs des utilisateurs en mars 2010 :

Ce premier tableau liste les codes malicieux et les programmes potentiellement indésirables détectés et neutralisés sur les ordinateurs des utilisateurs au premier contact.


Rang Evolution Programme malicieux Nombre d’ordinateurs infectés
1   top20_noch0 Net-Worm.Win32.Kido.ir   274729  
2   top20_up1 Virus.Win32.Sality.aa   179218  
3   top20_up1 Net-Worm.Win32.Kido.ih   163467  
4   top20_down-2 Net-Worm.Win32.Kido.iq   121130  
5   top20_noch0 Worm.Win32.FlyStudio.cu   85345  
6   top20_up3 Trojan-Downloader.Win32.VB.eql   56998  
7   top20_newNew Exploit.JS.Aurora.a   49090  
8   top20_up9 Worm.Win32.AutoIt.tc   48418  
9   top20_up1 Virus.Win32.Virut.ce   47842  
10   top20_up4 Packed.Win32.Krap.l   47375  
11   top20_down-3 Trojan-Downloader.WMA.GetCodec.s   43295  
12   top20_noch0 Virus.Win32.Induc.a   40257  
13   top20_newNew not-a-virus:AdWare.Win32.RK.aw   39608  
14   top20_down-3 not-a-virus:AdWare.Win32.Boran.z   39404  
15   top20_up1 Worm.Win32.Mabezat.b   38905  
16   top20_newNew Trojan.JS.Agent.bau   34842  
17   top20_up3 Packed.Win32.Black.a   32439  
18   top20_up1 Trojan-Dropper.Win32.Flystud.yo   32268  
19   top20_retReturn Worm.Win32.AutoRun.dui   32077  
20   top20_newNew not-a-virus:AdWare.Win32.FunWeb.q   30942  

Parmi les modifications notables, les chercheurs de Kaspersky Lab observent l'apparition de trois versions du cheval de Troie Autorun. Comme déjà répertoriés il y a deux mois, il s'agit de fichiers autorun.inf qui contribuent à la diffusion via des lecteurs amovibles de P2P-Worm.Win32.Palevo et Trojan-GameThief.Win32.Magania.

De même, les chercheurs de Kaspersky Lab notent la présence d’une nouvelle variante du comportement Packed. Dans ce cas, Packed.Win32.Krap.as (en 13ème position) dissimule des pseudos antivirus. L'utilisation de compacteurs spéciaux de fichiers exécutables est une tendance très marquée ces derniers temps chez les cyber criminels.

Programmes malveillants sur Internet en mars 2010 :

Le deuxième tableau décrit la situation sur Internet. Il reprend les codes malicieux découverts dans les pages Web ainsi que les programmes malveillants qui ont tenté de se télécharger depuis les pages Web sur les ordinateurs des utilisateurs.


Rang Evolution Programme malicieux Nombre de tentatives uniques de téléchargement
1   top20_retReturn Trojan-Downloader.JS.Gumblar.x   453985  
2   top20_down-1 Trojan.JS.Redirector.l   346637  
3   top20_newNew Trojan-Downloader.JS.Pegel.b   198348  
4   top20_up3 not-a-virus:AdWare.Win32.Boran.z   80185  
5   top20_down-2 Trojan-Downloader.JS.Zapchast.m   80121  
6   top20_newNew Trojan-Clicker.JS.Iframe.ea   77067  
7   top20_newNew Trojan.JS.Popupper.ap   77015  
8   top20_up3 Trojan.JS.Popupper.t   64506  
9   top20_newNew Exploit.JS.Aurora.a   54102  
10   top20_newNew Trojan.JS.Agent.aui   53415  
11   top20_newNew Trojan-Downloader.JS.Pegel.l   51019  
12   top20_newNew Trojan-Downloader.Java.Agent.an   47765  
13   top20_newNew Trojan-Clicker.JS.Agent.ma   45525  
14   top20_newNew Trojan-Downloader.Java.Agent.ab   42830  
15   top20_newNew Trojan-Downloader.JS.Pegel.f   41526  
16   top20_retReturn Packed.Win32.Krap.ai   38567  
17   top20_newNew Trojan-Downloader.Win32.Lipler.axkd   38466  
18   top20_newNew Exploit.JS.Agent.awd   35024  
19   top20_newNew Trojan-Downloader.JS.Pegel.k   34665  
20   top20_newNew Packed.Win32.Krap.an   33538  

Les chercheurs de Kaspersky Lab observent l’apparition d’une nouvelle vulnérabilité d’Internet Explorer, dont le code d'exploitation a été très diffusé après un décryptage trop détaillé. Aujourd'hui, seuls les cyber criminels paresseux n'utilisent pas ce code d'exploitation dans leurs attaques. Deux versions sont identifiées dans ce Top 20 : Exploit.JS.CVE-2010-0806.i (2) et Exploit.JS.CVE-2010-0806.b (10).

A noter également une nouvelle vague de l'épidémie Gumblar. Outre l'ancienne version du téléchargeur détectée en tant que Gumblar.x en tête du classement, une mise à jour détectée sous le nom HEUR:Trojan-Downloader.Script.Generic est également présente.

Le code d'exploitation Aurora, déjà évoqué par les chercheurs de Kaspersky Lab en février 2010, est toujours utilisé activement par les cyber criminels, avec une progression de la 9ème à la 5ème position de leur Top 20.

L'étrange téléchargeur Twetti.a est de retour après deux mois d'absence. Comme dans le cas de Gumblar, les cyber délinquants ont marqué une petite pause avant de provoquer l'infection d'un grand nombre de sites à l'aide de ce programme malveillant.

Exploit.JS.Pdfka.bub fait son entrée directement à la 15ème place du classement de Kaspersky Lab. Ce fichier PDF malicieux est un composant d'une attaque par téléchargement à la dérobée dont le point de départ est Twetti.a.

Les chercheurs de Kaspersky Lab identifient aussi quatre nouveaux représentants des pages web modèles utilisées pour la diffusion de faux antivirus et de programmes bloqueurs : Trojan.HTML.Fraud.aj, Trojan.JS.FakeUpdate.ab, Trojan.HTML.Fraud.aq et Trojan.JS.FakeUpdate.aa.

Classement des premiers pays producteurs de tentatives d’infections via le Web en mars 2010 :

aseev_top20_march2010pic_fr_s

Parmi les attaques contre les utilisateurs, les plus fréquentes sont celles organisées via Internet à l'aide de vulnérabilités qui apparaissent régulièrement dans les applications les plus standards. Heureusement, ces vulnérabilités sont souvent supprimées rapidement par l'éditeur de l'application. Malheureusement, tous les utilisateurs n'installent pas nécessairement les correctifs en temps opportuns. Un nombre croissant de programmes malveillants exploite ainsi la confiance et l'inexpérience des internautes, notamment les faux antivirus et les programmes bloqueurs, largement diffusés par les cyber criminels en mars 2010.

  PARTAGER