Publié le 14-09-2006 à 00:00:00 dans le thème Virus - Antivirus

Pays : International - Auteur : Damien Bancal

Pub : CD + DVD vierges - TV + Hifi. Cartouches d'encre - Console de jeux

En comparaison du mois dernier, août 2006 est un mois "plutôt calme": les virus de ce mois étaient déjà connus ! Les vers appartenant aux familles Beagle, Netsky et MyDoom prennent la tête du peloton : Win32.HLLM.Beagle, Win32.HLLM.Netsky et Win32.HLLM.MyDoom !

En août, le service de veille antivirale de Doctor Web a détecté plusieurs pointes de phishing. Cette activité présentait des pics durant la nuit, se réduisant ensuite le matin et les week-ends. Une telle tendance peut s’expliquer par le fait que les auteurs comptent sur la crédulité de leurs victimes et par ailleurs, pendant les jours ouvrables, les victimes accordent plus de crédit à une demande émanant d'un organisme bancaire ou d'un développeur de logiciel.

La diffusion de messages de phishing proposant de télécharger une application depuis le site Web de Skype technologies, le développeur du célèbre système de téléphonie sur IP – est un exemple frappant. En suivant les instructions contenues dans le message, les utilisateurs téléchargent un cheval de Troie sur leurs PC, qui dérobe alors les mots de passe contenus dans leurs clients de messagerie, de messagerie instantanée, etc.

Il est à noter qu'au mois d'août les prétendus «0 day exploits » ont été couramment utilisés. Un « exploit » est un outil qui utilise des vulnérabilités connues du système d'exploitation ou d'une application pour y infiltrer un code, un virus malveillant ou pour effectuer des actions non autorisées. Le préfixe « 0 day » signifie que l'exploit a été créé le même jour que le rapport sur cette vulnérabilité. Les vulnérabilités laissant exécuter des programmes malveillants sur un PC, à distance, sont les plus attirantes pour les auteurs de virus. A noter, le ver appelé Win32.HLLW.Nert, selon la classification de Dr.Web, qui exploite une vulnérabilité rapportée le 8 août - MS06-40 (Windows XP SP1 est vulnérable).

La sortie d'un cheval de Troie utilisant l'ICMP-tunneling - Trojan.PWS.Eingabe – mérite également d'être citée. La méthode de communication des données, appliquée dans le programme, n'est en rien innovante : les rootkits pour Unix emploient la même méthode.

De nouvelles variantes du ver réseau Win32.HLLW.Gavir sont apparues. Ces vers infectent les fichiers exécutables et en prennent possession afin de télécharger de nouvelles variantes de troyens, pour voler des mots de passe. Les variantes ont été appelées Trojan.PWS.Lineage et Trojan.PWS.Wow (pour plus d'information, cliquer sur ce lien).

Par rapport au mois précédent, le nombre de variantes de programmes malveillants employant des technologies de Rootkit a significativement augmenté. Les technologies de Rootkit sont très « appréciées » des auteurs de virus, permettant de cacher des programmes malveillants sur le PC infecté. Les programmes les plus souvent utilisés étaient de la famille de Win32.HLLW.MyBot, cheval de Troie. En particulier, Trojan.PWS.Egold et les nombreuses variantes de BackDoor.Pigeon sont conçues pour voler les mots de passe des comptes du système de paiement en ligne E-gold.

Autre élément, la distribution du ver de courrier appelé Win32.HLLM.Oder. Ce ver est distribué sous la forme d'une archive protégée par mot de passe, jointe au message. Cette archive contient un fichier d'extension EXE ou WMF, le mot de passe étant indiqué dans le corps du message. Le ver exploite une vulnérabilité dans les modules de traitements des fichiers graphiques, rendant possible l'exécution, à distance, d'un code malveillant sur le système ciblé. Cet exploit est connu de l'anti-virus de Dr.Web comme Exploit.MS05-053. La technologie du « social engineering » est à la base de cette méthode de distribution virale (archive protégée par mot de passe, et mot de passe contenu dans le corps du message) – depuis 2004 ; la famille des vers tels que Win32.HLLM.Beagle est disséminée de cette façon.

Globalement, les virus intelligents apparaissent beaucoup moins souvent, et moins que par le passé. Parallèlement, le nombre de variantes est en constante augmentation ; les auteurs de ces programmes prêtent en effet beaucoup plus d'attention aux méthodes permettant de les rendre invisibles aux anti-virus. La méthode la plus usitée est l'emploi d'utilitaires modifiés pour l'archivage d'exécutables.

# Liens connexes

Acheter DR WEB via notre logitheque

Trojan.Silentbanker

Plus discret et plus intelligent, Trojan.Silentbanker ou le cheval de Troie qui ferait pâlir d´envie Ulysse et Jesse James.

Musique gratuite pour téléphone portable

Le constructeur finlandais Nokia va mettre en place, jeudi prochain, son offre de musique illimitée sur mobile.

Consortium Actimize

Pour lutter mondialement contre les fraudes à la carte de paiement, Actimize se dote d´une nouvelle technologie d´analyse et acquiert les droits d´exploitation de données issues d´un consortium représentant des milliards de transactions.

Les faux anti-spyware innondent le web !

Une nouvelle menace qui risque de s´amplifier dans les mois à venir : les faux anti-spyware. Ces attaques passaient jusqu´alors inaperçues. Aujourd´hui, elles prennent une tout autre dimension.

Protection antivirus et sauvegarde

Les solutions antivirus ESET NOD32 et ESET Smart Security s´associent à Carbonite afin d´offrir à tout nouvel utilisateur ESET, la sauvegarde en ligne de leurs données pendant 1 an.

Dictao présente son portail de signature électronique

Dictao, éditeur de référence de produits logiciels pour les applications de dématérialisation des flux reposant sur la signature électronique, sera présent aux Assises de la Sécurité 2008, à Monaco.

Prévention contre les fuites de données

La prévention contre les fuites de données de Websense est désormais disponible pour les postes de travail, avec une intégration à la passerelle de sécurité Internet.

Une nouvelle utilisation simultanée de plusieurs techniques de spams

Les spammeurs tentent de piéger les utilisateurs en les poussant à confirmer la validité de leur adresse e-mail.

Trojan.Silentbanker

Plus discret et plus intelligent, Trojan.Silentbanker ou le cheval de Troie qui ferait pâlir d´envie Ulysse et Jesse James.

Les faux anti-spyware innondent le web !

Une nouvelle menace qui risque de s´amplifier dans les mois à venir : les faux anti-spyware. Ces attaques passaient jusqu´alors inaperçues. Aujourd´hui, elles prennent une tout autre dimension.

Protection antivirus et sauvegarde

Les solutions antivirus ESET NOD32 et ESET Smart Security s´associent à Carbonite afin d´offrir à tout nouvel utilisateur ESET, la sauvegarde en ligne de leurs données pendant 1 an.

Online Backup de F-Secure

Le nouveau service de sauvegarde en ligne illimitée de F-Secure est disponible pour les FAI.

EeePC infecté en usine par un virus informatique

Le grand frêre du petit portable d'ASUS, le EeeBox, infecté par un virus lors de sa fabrication.

BitDefender rejoint l´association ELA dans son combat contre la leucodystrophie

BitDefender, annonce son engagement auprès de l´association ELA dans son combat contre la leucodystrophie.

Piége électronique sur le site de DJ Verano

Une des stars de la scène elecro, DJ Verano, se fait pirater son site Internet. Un virus serait passé par là.

Neosploit is not dead

Découverte : Neosploit n´a pas disparu. Démonstration d´une stratégie astucieuse avec la mise en place de Neosploit 3.1

Réagissez à ce contenu