Rapport de sécurité pour le premier trimestre 2008. Selon F-Secure, le cap de 1 million de virus sera franchi d’ici la fin 2008.

Le nombre de nouvelles menaces n’a jamais été aussi haut, et nos laboratoires reçoivent environ 25 000 nouvelles menaces chaque jour, sept jours sur sept. Si cette tendance se confirme, le nombre total de virus et de Trojans dépassera le million d’ici fin 2008.

Alors qu’il y a plus de virus créés qu’auparavant, les utilisateurs rapportent qu’ils en voient de moins en moins. Une des raisons de cette illusion est que les auteurs de programmes malveillants ont une fois de plus changé de tactique pour infecter les ordinateurs.

Il y a un an ou deux, la plupart des programmes malveillants étaient répandus via les pièces jointes des emails, ce qui donnait des épidémies comme Bagle, Mydoom et Warezov. A présent, l’envoi de pièces jointes de format .EXE ne fonctionne plus aussi bien pour les criminels, car presque toutes les entreprises et organisations filtrent de telles pièces jointes de leurs échanges d’emails.

Le nouveau moyen préféré des criminels pour répandre les virus est le « drive-by download » (pages qui tentent d’exploiter les visiteurs en installant et en exécutant automatiquement des programmes malveillants.) Ces attaques commencent souvent avec un spam par email, mais dans lequel la pièce jointe a été remplacée par un lien web, qui attire l’utilisateur vers le site web malveillant. Ainsi, au lieu d’être infecté par SMTP, vous êtes infecté via HTTP.

Drive-by-download
L’infection via drive-by-download peut arriver juste en visitant un site web, à moins d’avoir un système opérationnel, un navigateur et un plug-in totalement patchés. Malheureusement, la plupart des gens ont des vulnérabilités dans leur système. L’infection peut avoir lieu en vous faisant duper lorsque vous cliquez manuellement sur un téléchargement et que vous lancez un programme depuis la page web qui héberge l’infection.

Les criminels utilisent différentes manières pour amener du trafic vers ces sites web. L’approche la plus commune est de lancer une campagne de Spam par email contenant des messages amenant les gens à cliquer sur un lien. Les messages comme « il y a  une vidéo de vous sur Youtube » ou « vous avez une reçu une e-carte », « ou Merci pour votre commande » sont des appâts populaires.

Une autre méthode utilisée par les criminels est de créer de nombreuses pages web avec des milliers de mots-clé différents qui sont indexés par Google, et ensuite d’attendre que les gens visitent ces sites. Donc, lorsque vous faites une recherche pour quelque chose d’inoffensif comme « tricoter des gants », et que vous cliquez sur un résultat de recherche parmi tant d’autres, vous pouvez infecter votre ordinateur. Typiquement, une infection via une exploitation automatique arrive sans que vous réalisiez ou que vous voyiez quoi que ce soit d’étrange sur votre écran.

La troisième méthode de distribution des virus par les criminels implique le hacking via des sites web à très fort trafic. A la différence des canulars par déformation de la page d’accueil de sites web très fréquentés, utilisées il y a quelques années, les cyber-criminels d’aujourd’hui ne changent pas du tout la page d’accueil. Ils insèrent simplement une ligne de javascript sur cette page qui utilise en profite pour infecter votre machine si vous vous y rendez. Tout fonctionne et semble être normal.

Ceci est arrivé aux sites web de certains magazines qui peuvent avoir un million d’utilisateurs chaque jour. Les gens font confiance à ces sites qui font partie de leur routine quotidienne, et ils ne peuvent pas suspecter que quelque chose puisse leur arriver lorsqu’ils les visitent.

Les publicités infiltrées sont un autre vecteur de drive-by-download. Nous voyons de plus en plus de publicités jouées sur les sites web à fort trafic. En infiltrant ces publicités, les criminels n’ont pas à pirater un site, mais leur exploitation du code sera montré à des millions d’utilisateurs, souvent sans même que les webmasters de ces sites le sachent. De telles choses ont eu lieu sur des sites comme TV4.se, Expedia, NHL et MLB.

Il est important d’être conscient du passage des infections du SMTP au HTTP, ce qui peut être exploité par les criminels de nombreuses façons. Les entreprises mesurent souvent leurs risques d’être infectées en regardant le volume de pièce jointes d’emails bloquées dans leur passerelle email. Ces nombres sont indéniablement en baisse, mais le risque actuel d’être infecté ne l’est probablement pas.

Les particuliers et les entreprises devrait donc scanner leur trafic web à la recherche de virus, tout comme ils filtrent leur trafic FTP. En parallèle du passage du SMTP au HTTP pour la diffusion de virus, on voit également de plus en plus d’emails malveillants qui renvoient vers des liens FTP infectés.

Le rootkit avancé émerge
Un rootkit MBR, connu sous le nom de Mebroot, est probablement le virus le plus rusé qui ait été observé récemment, et il a été jusqu’ici diffusé par drive-by-download.

Mebroot remplace le système infecté Master Boot Record (MBR), qui est le premier secteur physique du disque dur et contient le premier code chargé et exécuté par le disque durant le processus de démarrage. Il modifie le système au minimum et il est très difficile à détecter à l’intérieur du système infecté.

Les virus MBR étaient une forme commune de virus à l’époque des systèmes DOS il y a environ 15 ans. Récemment des articles académiques ont été publiés dans des conférences, pour savoir si ce type de virus furtif  pourrait arriver à l’époque Windows. Nous avons été très surpris de le voir réellement arriver en 2008.

Cela signifie que les criminels ont à la fois les fonds et le haut niveau d’expertise pour développer des attaques si complexes. Ils ont réussi à développer des codes qui s’activent lors du démarrage du disque dur, restent actifs lors du démarrage de Windows, puis s’introduisent par fragment dans le système d’exploitation, tout en passant inaperçus.

Nous pensons que cette technique sera utilisée pour un grand nombre de virus. Ces premiers rootkits MBR sont des trojans bancaires ciblant de nombreuses banques en ligne, où les criminels voient clairement une opportunité de faire un retour sur leurs investissements.

Les premiers Trojans de rançon sur mobiles
Les virus d’aujourd’hui ont pour but de faire gagner de l’argent, et les premier trojans de rançon pour smartphones ont été trouvés en Chine. Nous avons déjà vu des trojans similaires sur les PC auparavant, qui infectaient votre ordinateur, prenaient vos données en otage ou interrompaient de quelque façon que ce soit les capacités de votre ordinateur, et ensuite offraient de tout restaurer si vous payiez la rançon demandée. Typiquement, le trojan de rançon chiffre d’abord votre disque dur et vous envoie ensuite un mot de passe après que vous ayez envoyé l’argent aux criminels via un système de transfert d’argent en ligne.

Dans le cas de Kiazha, le premier trojan de rançon pour smartphone, vous êtes infectés en téléchargeant un programme ressemblant à un shareware sur votre téléphone, qui envoie ensuite de nombreux anciens virus sur votre téléphone. Ensuite il envoie un message expliquant que vous pouvez réparer votre téléphone en transférant l’équivalent de sept dollars aux pirates via un système de paiement en ligne. Les smartphones sont aujourd’hui si importants pour de nombreuses personnes qu’ils sont préparés à payer une rançon pour retrouver leur carnet d’adresse, leur calendrier et leurs emails mobiles, il est donc possible que nous voyions beaucoup de ces virus dans le futur.

Plus de menaces sur les mobiles
Les vers Beselo sont répandus via MMS et Bluetooth en utilisant une nouvelle forme de piratage psychologique pour duper les utilisateurs  et leur faire installer une application de fichier entrante SIS. Ce qui rend Beselo intéressant est qu’au lieu d’une extension SIS standard, la famille Beselo utilise des extensions standard de fichiers multimédia. Cela amène le destinataire à croire qu’il ou elle reçoit un visuel ou un fichier musical au lieu d’une application Symbian. Le destinataire est bien plus à même de répondre « oui » à tout question affichée par le téléphone après avoir cliqué sur un tel fichier entrant.

Ces noms de fichier utilisés par Beselo sont beauty.jpg, sex.mp3 et love.rm. Donc si vous avez un téléphone Symbian S60  et que vous recevez un fichier media, répondez « non »  à toute demande d’installation qui apparaît lorsque vous essayez d’ouvrir le fichier. Il n’y a aucune raison pour qu’un fichier image demande une installation sur une plateforme Symbian, c’est pourquoi tout fichier image ou son qui fait quelque chose d’autre que de jouer immédiatement n’est définitivement pas ce qu’il prétend être.

Les vers Besolo sont compilés pour les téléphone Symbian S60 seconde édition. Si vous essayez d’ouvrir ces fichiers sur un téléphone 3ème génération cela causera probablement un message d’erreur plutôt qu’une demande d’installation.

HatiHati.A est un autre fauteur de trouble, une application sous forme de vers qui se propage via des cartes MMC. Une fois que le vers s’est copié dans un nouveau dispositif, il commence à envoyer des messages SMS à un numéro prédéfini qui peut être très coûteux.