Dernière analyse du laboratoire de Kaspersky Lab sur de l'activité virale en mars 2011

07 avr. 2011
Actualités Virus

Vyacheslav Zakorzhevsky

C’est un fait : les individus malintentionnés n'ont aucun scrupule et n'hésitent pas à exploiter la moindre tragédie dans leur intérêt. Le séisme et le tsunami au Japon et le décès d'Elizabeth Taylor n'auront pas été une exception.

De nombreux japonais ont perdu des êtres proches et le monde entier suit avec une certaine inquiétude le développement de la situation à la centrale nucléaire Fukushima 1 endommagée lors du séisme. Les auteurs de virus diffusent des liens malveillants vers ces sujets d'actualité, créent des pages Web malveillantes dont le contenu est lié d'une manière ou d'une autre à la tragédie qui se déroule au Japon et diffusent des messages « nigériens » qui invitent les destinataires à venir en aide aux victimes en transférant de l'argent sur le compte du destinataire.

Un de ces messages non sollicité contenait des liens vers ce qui était présenté comme les dernières infos en provenance du Japon. L'utilisateur qui cliquait sur ces liens devenait la victime d'une attaque par téléchargement à la dérobée organisée à l'aide de pack de codes d'exploitation. En cas de réussite de l'attaque, le programme Trojan-Downloader.Win32.CodecPack était téléchargé sur l'ordinateur de l'utilisateur. Chaque représentant de cette famille est associé à trois centres de commande qu'il contacte et d'où il reçoit une liste de fichiers malveillants à télécharger et à installer sur l'ordinateur de la victime. Et une des pages Web malveillantes que nous avons repérée proposait aux internautes des vidéos des événements du Japon. Mais au lieu de regarder une vidéo, l'utilisateur téléchargeait une porte dérobée.

C'est sur Twitter que l'on trouve les individus malintentionnés les plus rapides : les liens malveillants relatifs au décès d'Elizabeth Taylor sont apparus dès le lendemain de l'annonce de la mort de l'actrice.

Mars en chiffres

Voici le bilan de l'activité des logiciels de Kaspersky Lab sur les ordinateurs des utilisateurs :

  • 241 151 171 attaques de réseau ont été déjouées ;
  • 85 853 567 tentatives d'infection via des sites Web ont été bloquées ;
  • 219 843 736 programmes malveillants ont été détectés et neutralisés (tentatives d'infection locale) ;
  • 96 702 092 verdicts heuristiques ont été recensés.

Codes d'exploitation JAVA

Le nombre de codes d'exploitation Java est assez élevé : ils représentaient près de 14 % du nombre de codes d'exploitation découverts. Trois codes d'exploitation Java figurent dans le Top 20 des programmes malveillants sur Internet. Et deux d'entre eux, à savoir Exploit.Java.CVE-2010-0840.d (15e position) et Exploit.Java.CVE-2010-0840.c (19e) sont de nouveaux codes qui exploitent la vulnérabilité CVE-2010-0840 dans Java. Pour rappel, l'utilisation active de cette faille avait été mise en évidence le mois dernier

Selon les données statistiques du KSN (le réseau interne à Kaspersky lab), les créateurs du programme malveillant changent fréquemment les codes d'exploitation utilisés dans le cadre d'attaque par téléchargement à la dérobée afin d'éviter la détection. On peut le voir sur le graphique qui montre la dynamique de la détection des codes d'exploitation de la famille Exploit.Java.CVE-2010-0840.

top20_march2011_pic01s_all
Dynamique de la détection de la famille Exploit.Java.CVE-2010-0840

Les pics dans le graphique représentent les périodes de détection de codes malveillants utilisés dans le cadre d'attaques par téléchargement à la dérobée et les creux correspondent à l'apparition de nouvelles modifications du code d'exploitation.

Code d'exploitation d'une vulnérabilité dans Adobe Flash Player

Il est étonnant de voir la rapidité avec laquelle les auteurs de virus réagissent à l'annonce de la découverte de nouvelles vulnérabilités. Prenons par exemple le code d'exploitation d'une vulnérabilité dans Adobe Flash Player dont la découverte fut annoncée par Adobe le 14 mars. La vulnérabilité se trouve dans le fichier authplay.dll et appartient à la catégorie critique : son exploitation permet aux individus malintentionnés de prendre les commandes de l'ordinateur de la victime.

Dès le 15 mars, Kaspersky Lab détectait un code d'exploitation de cette vulnérabilité. Il se présente sous la forme d'un fichier Excel contenant un fichier SWF malveillant qui est détecté comme Trojan-Dropper.SWF.CVE-2011-0609.a.

Le 25 mars, nous avons détecté une autre version du code d'exploitation, à savoir une page HTML contenant un JavaScript avec un code shell et l'invocation d'un fichier Flash malveillant. Le code shell recevait les commandes après l'invocation du fichier SWF en exploitant une faille dans la sécurité. Les fichiers HTML et SWF malveillants sont détectés respectivement en tant que Exploit.JS.CVE-2011-0609 et Exploit.SWF.CVE-2011-0609.

top20_march2011_pic02
Extrait de Exploit.JS.CVE-2011-0609.d

Cette histoire se termine bien : la vulnérabilité a été éliminée. La société Adobe a annoncé la suppression de la vulnérabilité le 22 mars. Bien entendu, la fin heureuse concerne uniquement les ordinateurs sur lesquels les utilisateurs ont réalisé la mise à jour à temps.

Pages HTML malveillantes : protection contre la détection

Le laboratoire de Kaspersky Lab signale souvent la détection de pages HTML que les individus malintentionnés utilisent pour diffuser des programmes malveillants ou pour organiser des escroqueries. Les auteurs de ces pages inventent sans cesse de nouvelles méthodes pour que les logiciels antivirus ne les découvrent pas.

Utilisation de la balise <textarea>

Dans le rapport consacré au mois de février, nous avions indiqué que les individus malintentionnés utilisaient les feuilles de style en cascade (CSS) pour protéger les scripts malveillants contre la détection. Désormais, ils ont remplacé la technique CSS par l'utilisation de la balise <textarea>.

La balise <textarea> permet d'afficher les champs de saisie.

top20_march2011_pic03
Champ de saisie mis en place à l'aide de la balise <textarea>

Les individus malintentionnés utilisent cette balise en tant que conteneur pour conserver les données qui seront utilisées plus tard par le script principal.

Au mois de mars, Trojan-Downloader.JS.Agent.fun, détection d'une des pages Web où nous avons découvert un script malveillant et la balise <textarea> contenant des données pour le script, a également fait son entrée au Top 20 (9e position). Le script exécute, à l'aide des données renfermées dans la balise <textarea>, d'autres codes d'exploitation.

Page cryptée

Dans les rapports des mois de décembre et de janvier, nous avons évoqué les faux antivirus en ligne. De nos jours, les pages Web qui imitent l'analyse de l'ordinateur et qui vous invitent à acheter le « logiciel antivirus » sont cryptées et se présentent sous la forme d'un script JavaScript, ce qui complique la procédure de détection par les logiciels antivirus.

top20_march2011_pic04s
Extrait de page cryptée avec un faux logiciel antivirus Internet

Nous détectons ces scripts polymorphes sous le nom Trojan.JS.Fraud.bl (18e place au classement des programmes malveillants sur Internet) et Trojan.JS.Agent.btv (8e place).

Rustock

Une des informations les plus marquantes du mois de mars fut la fermeture du réseau de zombies Rustock. Pour rappel, le réseau de zombies créé par Rustock comptait plusieurs centaines de milliers d'ordinateurs infectés et servait à diffuser le courrier indésirable. L'opération de fermeture du réseau de zombies fut organisée par la société Microsoft et les autorités américaines. Le 17 mars, Microsoft annonçait, que tous les serveurs chargés de l'administration du réseau de zombies avaient été mis hors service. Sur tous les serveurs de centre de commande du réseau de zombies fermés par Microsoft, on retrouvait une redirection vers microsoftinternetsafety.net.

Selon les informations de Kaspersky Lab, les derniers exemplaires de Rustock furent téléchargés depuis les serveurs de commande du réseau de zombies sur les ordinateurs des victimes le 16 mars et l'instruction de diffusion de messages non sollicités fut envoyée pour la dernière fois le 17 mars. Après cette date, les bots n'ont plus reçu aucune instruction. De plus, après le 16 mars, aucun nouveau téléchargeur chargé d'installer Rustock sur les ordinateurs des victimes n'a été détecté.

Cela signifie-t-il qu'un des réseaux de zombies de courrier indésirable les plus célèbres a bel et bien disparu ? Ou les propriétaires du réseau de zombies attendent-ils simplement que la tempête passe avant de retrouver leur puissance d'antan ? L'avenir nous apportera la réponse à ces questions.

Programmes malveillants pour Android

Les programmes malveillants pour Android ne sont plus un phénomène exotique. Au mois de mars, les cyber-délinquants ont réussi à diffuser de tels programmes sous la forme d'applications légitimes distribuées via Android Market.

Au début du mois de mars, nous avons découvert des versions infectées d'applications légitimes sur Android Market. Elles contenaient les codes d'exploitation root « rage against the cage » et « exploid » qui permettent au programme malveillant d'obtenir le niveau d'accès root sur les smartphones Android, ce qui leur donne un accès total au système d'exploitation du périphérique.

L'archive APK malveillante contenait, outre les codes d'exploitation root, deux composants malveillants. L'un d'entre eux, après avoir obtenu les privilèges root, envoyait via la méthode POST un fichier XML spécial vers le serveur distant de l'individu malintentionné contenant l'IMEI et l'IMSI, ainsi que d'autres informations relatives au périphérique et attendait une instruction en retour. L'autre programme malveillant possédait la fonction d'un cheval de Troie téléchargeur, mais nous n'avons pas encore réussi à obtenir les fichiers téléchargés.

TOP 20 des programmes malveillants sur Internet

Classement actuel Écart Verdict
1   top20_up4 AdWare.Win32.FunWeb.gq  
2   top20_newNew Hoax.Win32.ArchSMS.pxm  
3   top20_up3 AdWare.Win32.HotBar.dh  
4   top20_up8 Trojan.HTML.Iframe.dl  
5   top20_newNew Hoax.HTML.OdKlas.a  
6   top20_newNew Trojan.JS.Popupper.aw  
7   top20_up1 Exploit.JS.Pdfka.ddt  
8   top20_down-8 Trojan.JS.Agent.btv  
9   top20_down-9 Trojan-Downloader.JS.Agent.fun  
10 top20_down-10 Trojan-Downloader.Java.OpenStream.bi
11   top20_down-7 Exploit.HTML.CVE-2010-1885.ad  
12   top20_newNew Trojan.JS.Agent.uo  
13   top20_newNew Trojan-Downloader.JS.Iframe.cdh  
14   top20_newNew Packed.Win32.Katusha.o  
15   top20_newNew Exploit.Java.CVE-2010-0840.d  
16   top20_up1 Trojan.JS.Agent.bhr  
17   top20_newNew Trojan-Clicker.JS.Agent.om  
18   top20_newNew Trojan.JS.Fraud.bl  
19   top20_newNew Exploit.Java.CVE-2010-0840.c  
20   top20_newNew Trojan-Clicker.HTML.Iframe.aky  

Top 20 des programmes malveillants découverts sur les ordinateurs des utilisateurs

Classement actuel Écart Verdict
1   top20_noch0 Net-Worm.Win32.Kido.ir  
2   top20_noch0 Virus.Win32.Sality.aa  
3   top20_up1 Net-Worm.Win32.Kido.ih  
4   top20_newNew Hoax.Win32.ArchSMS.pxm  
5   top20_noch0 Virus.Win32.Sality.bh  
6   top20_down-3 HackTool.Win32.Kiser.zv  
7   top20_down-1 Hoax.Win32.Screensaver.b  
8   top20_down-1 AdWare.Win32.HotBar.dh  
9   top20_up8 Trojan.Win32.Starter.yy  
10   top20_up1 Packed.Win32.Katusha.o  
11   top20_up1 Worm.Win32.FlyStudio.cu  
12   top20_down-2 HackTool.Win32.Kiser.il  
13   top20_down-4 Trojan.JS.Agent.bhr  
14   top20_up2 Trojan-Downloader.Win32.Geral.cnh  
15   top20_newNew Porn-Tool.Win32.StripDance.d  
16   top20_newNew Exploit.JS.Agent.bbk  
17   top20_newNew Trojan.Win32.AutoRun.azq  
18   top20_down-5 Trojan-Downloader.Win32.VB.eql  
19   top20_down-5 Worm.Win32.Mabezat.b  
20   top20_down-5 Packed.Win32.Klone.bq  

  PARTAGER