Publié le 08-12-2006 dans le thème Virus - Antivirus

Pays : International - Auteur : Damien Bancal

Pub : Découvrez les Labs ZATAZ

Alors que la professionnalisation des programmes malveillants se poursuit, le vol d’identité, le spam et l’apparition de fichiers vidéo infectés devraient marquer l’année 2007. La société McAfee a listé les grandes menaces qui ont marqué l’année 2006 et pour lesquelles l’équipe AVERT envisage un accroissement du risque en 2007. Avec plus de 217 000 vers, virus et chevaux de Troie connus et des milliers d’autres qui restent à identifier, petits délinquants et organisations mafieuses diffusent toujours plus de logiciels malveillants.

Les 10 principaux points à surveiller :
1 - « En quelques années, les ordinateurs sont devenus un élément essentiel de notre vie et une source importante d’échanges commerciaux. Les professionnels du crime l’ont vite constaté, et par la création et l’utilisation de programmes malveillants, ils y trouvent à leur tour des opportunités pour de nouveaux revenus financiers », déclare François Paget, chercheur de McAfee Avert Labs. « Avec une sophistication croissante des attaques, l’utilisateur a de plus en plus de mal à identifier les menaces. Il doit être de plus en plus attentif à la cohérence de ses divers outils de protection. »

Aujourd’hui, les chercheurs de McAfee voient dans la sophistication des logiciels malveillants actuels des preuves de la présence d’une organisation de type criminel, avec des équipes distinctes qui se chargent de la création, des tests, de l’automatisation des mises à jour et de leur dissémination périodique. Des méthodes sophistiquées apparaissent ou resurgissent. Le polymorphisme, les infections parasites (virus par ajout), les rootkits et les systèmes automatisés de cryptage et de compactage périodique permettent de mieux gérer la durée de vie des différentes versions d’un même programme. Le chiffrement, la compression et la furtivité offrent aussi une meilleure dissimulation des buts précis et des liaisons qu’établisse chacun de ces programmes vers leurs concepteurs.

En juillet 2006, McAfee annonçait qu’à côté des détections génériques et heuristiques, ses fichiers de signature venaient juste de dépasser la barre symbolique des 200 000 menaces connues. Depuis le 1er janvier 2006, l’équipe McAfee Avert a ajouté environ 50 000 nouvelles détections dans sa base. Elles devraient atteindre le chiffre de 225 000 pour la fin de l’année. Si le rythme actuel se poursuit, la 300 000ème menace sera identifiée fin 2007, ce qui laisse prévoir une augmentation du nombre des programmes malveillants recensés d’une année sur l’autre.

Prévisions pour 2007
Poursuite du phishing et apparition de faux sites honorables En 2007, les attaques visant à s’approprier les noms et les mots de passe qu’utilisent les internautes sur des sites sécurisés vont se poursuivre et s’amplifier. Les sites d’achat en ligne comme eBay seront des cibles privilégiées. L’apparition de faux sites honorables est aussi prévisible. L’augmentation du phishing après le passage du cyclone Katrina laisse supposer que de nombreuses attaques chercheront à profiter de la générosité du public. Par le biais d’un courrier non sollicité, il risque d’être entraîné vers des sites qui, derrière une apparente sophistication, une bonne interactivité et de nombreuses informations présentées de manière professionnelles tenteront de le séduire. Outre le monde caritatif, les faux sites financiers simplement accessibles après la sollicitation d’un moteur de recherche risquent de faire bon nombre de victimes. Les attaques visant les fournisseurs d’accès en ligne devraient diminuer. Celles contre le secteur financier restent stables.

Le spam se développe et il utilise de plus en plus d’images

En novembre 2006, le spam par images représente environ 40 % du total, contre moins de 10 % il y a un an. Ce type de spam a progressé notablement ces derniers mois et diverses catégories de spam ont abandonné le mode texte pour basculer sur l’image. On retrouve dans cette catégorie les messages destinés à modifier le cours de certaines actions (pumpand-dump), à vendre des médicaments ou des diplômes. Un spam par image est généralement trois fois plus important qu’un spam par texte. Ceux ci participent donc à l’encombrement des bandes passantes.

2 - Le succès de la vidéo sur le Web va attirer les pirates
Contrairement aux pièces jointes à un e-mail, la plupart des gens ont tendance à ouvrir sans hésiter un fichier vidéo. Le succès croissant des blogs vidéo au travers des plates-formes communautaires comme MySpace, YouTube ou VideoCodeZone commence à attirer les auteurs de logiciels malveillants alléchés par la perspective de viser un nouveau public.

Le ver W32/Realor, découvert début novembre 2006 par McAfee Avert Labs, est un exemple récent de ce genre d’attaque. Il modifie les fichiers RealMedia en insérant une adresse URL automatiquement appelée à l’ouverture du fichier. Dans cet exemple, la page en question exploitait une vulnérabilité d’Internet Explorer entraînant l’exécution silencieuse d’un programme malveillant. On voit ainsi que la simple visualisation d’un clip vidéo peut se solder par l’implantation d’un robot ou d’un logiciel espion. Au début de l’année 2006, plusieurs logiciels publicitaires ont profité d’une vulnérabilité « 0-day » du logiciel WinAmp 5.12 (CVE-2006-0476 - Exploit-WinAmpPLS) pour s’implanter avec un minimum d’interaction pour l’utilisateur. Davantage d’attaques sur les mobiles, le PC sert d’intermédiaire

La convergence des plates-formes favorise le développement des menaces mobiles. Le smartphone a joué un rôle primordial dans l’évolution des menaces depuis les ordinateurs de bureau et les premiers portables vers les équipements mobiles. La multiplication des possibilités de connexion (BlueTooth, SMS, messagerie instantanée, e-mails, Wi-Fi, USB, audio, vidéo et Web) n’a fait qu’augmenter les risques d’infection entre les divers appareils.

En 2006, nous avons constaté des avancées dans tous ces domaines. MSIL/Xrove.A, programme écrit pour le framework .NET, a permis, via le logiciel de synchronisation ActiveSync, l’infection d’un smartphone depuis un PC. Pour le moment, les vecteurs de propagation croisés restent simplistes. Ils passent souvent par une carte mémoire lue, tour à tour, par les deux équipements. McAfee s’attend cependant à de nouvelles avancées en 2007. Tout comme ailleurs, elles ne se multiplieront qu’à partir du moment ou leurs concepteurs y verront un moyen pour gagner facilement de fortes sommes d’argent.

Il en est ainsi du SMiShing (phishing par SMS). En août 2006, McAfee Avert Labs a reçu le premier échantillon d’une attaque de ce type dans laquelle un virus de script était utilisé comme émetteur. Se propageant dans le monde Windows, sous le nom de VBS/Eliles.A@MM, ce mass-mailer avait comme objectif l’envoi, depuis les PC infectés, de SMS incitant à la visite d’un site malveillant. Fin septembre 2006, le ver comptait déjà quatre variantes.

Parmi les nombreux programmes plus conventionnels, il existe beaucoup de chevaux de Troie qui ne sont que de simples variantes de programmes eux-mêmes peu complexes et sans objectif précis. Au cours du premier trimestre 2006, avec J2ME/Redbrowser, l’appât du gain devint, là aussi, un motif. Se présentant comme un programme capable de visualiser des pages WAP sans connexion GPRS, il cherchait à envoyer des SMS vers des numéros surtaxés. Apparue fin 2006, J2ME/Wesber, une autre application Java 2 Micro Edition, agit de même.

Cette fin d’année a également vu une floraison de logiciels espions visant le monde mobile. La plupart sont conçus pour surveiller les numéros appelés et les expéditeurs des SMS. Certains s’intéressent aux contenus et les envoient en copie vers d’autres téléphones. Citons le cas de SymbOS/Flexispy.B, qui peut activer à distance le micro sur l’appareil infecté, pour espionner ce que dit l’utilisateur. D’autres peuvent activer la fonction d’appareil photo. En

3 - 2007, développement de spywares commerciaux destinés aux systèmes mobiles. L’adware reste méconnu du public, il peut parfois s’apparenter à de la malveillance. Dans le domaine du marketing publicitaire, l’année 2006 n’a été fertile ni en annonces, ni en évènements marquants. Après une forte augmentation en 2005 et jusqu’au début 2006, leur nombre stagne depuis plus de 6 mois. Le danger vient de ce que le public français ne sait toujours pas ce qu’est un adware. Il dit souvent qu’il n’en a pas rencontré alors qu’il en a sur son PC et qu’il vit, plus ou moins bien, avec. La frontière entre le légal et le répréhensible est difficile à cerner et les législations varient d’un pays à l’autre. On voit de plus en plus d’adwares (sur des sites étrangers) qui sont diffusés au travers de vulnérabilités. Il y a aussi beaucoup d’affiliés crapuleux qui utilisent des réseaux de robots (botnets) ou des chevaux de Troie pour les diffuser.

En dépit des contraintes sociales, légales et techniques, l’intérêt commercial de la publicité est tel que McAfee s’attend à une poursuite des activités dans ce domaine. La pression des utilisateurs pourrait cependant apporter un peu plus de déontologie dans ce secteur.

Proche de l’adware de par ses origines commerciales, McAfee a constaté une augmentation de l’usage malintentionné de logiciels commerciaux de surveillance (spywares). Souvent proposés dans des buts légitimes (tel que le contrôle parental), ils sont détournés de leur usage et servent d’enregistreurs de frappe et de logiciels furtif de contrôle à distance.

Le vol d’identité et les fuites de données continueront d’être un problème majeur Selon la Federal Trade Commission des États-Unis, environ 10 millions d’Américains sont victimes chaque année du vol d’identité. La cause en est souvent le vol d’ordinateurs, la perte de sauvegardes ou le piratage des systèmes. Le nombre de victimes devrait rester relativement stable alors que le sujet commence à inquiéter le public. En 2005 et en 2006, les vols ou les disparitions de fichiers concernaient des informations personnelles regroupées sur un même support et impactant des milliers de personnes au travers des sociétés qui étaient la cible de ces attaques. Depuis plusieurs mois les intrusions se déplacent vers les postes client. Elles ciblent l’individu et gagnent en sophistication.

McAfee Avert Labs a constaté une croissance exceptionnellement forte des chevaux de Troie. Il s’agit principalement d’enregistreurs de frappe (keyloggers), de voleurs de mots de passe (password-stealers), de robots et de portes dérobées (backdoors).

Persistance des robots
Les robots sont des programmes malveillants permettant une prise de contrôle à distance de machines vulnérables afin de former un réseau d’attaque caché (ou botnet). Ils effectuent, en groupe, des tâches automatisées. L’utilisation des canaux IRC (Internet Relay Chat) comme moyen de pilotage est en recul. Plus discret, il se fait de plus en plus au travers du flux HTTP sur le port 80.

Après avoir été utilisés comme outil d’attaques, émetteurs de spams et plate-forme d’installation d’adwares, les robots servent aujourd’hui à la collecte de données personnelles. C’est une des raisons qui a amené au développement d’une nouvelle famille d’escrocs qui agissent parfois sans bien imaginer les risques judiciaires qu’ils encourent. Ce sont des “mules” (ou passeurs). Engagés comme travailleurs à domicile, ils sont

4 - indispensables pour ceux qui pilotent les robots. Leur recrutement se fait via des sites Web d’apparence professionnelle, des petites annonces et même de la messagerie instantanée. Ces intermédiaires sont essentiels pour comprendre comment un administrateur de botnets réussi à gagner de l’argent en récupérant de l’information sur des machines situées aux antipodes de son lieu de d’activité. Les mules sont rémunérées pour effectuer toutes les activités que leur employeur ne peut faire depuis son pays d’origine. Elles récupèrent pour lui les marchandises qu’il a acheté et dont il va localement sous-traiter la revente. Elles servent d’intermédiaire pour la réception des virements bancaires émanant de comptes piratés. Dernier avantage, et non des moindres, ce sont les mules qui prennent les risques alors que le commanditaire reste intouchable dans son pays.

Le retour des « vrais virus »
Agissant par ajout, par recouvrement ou selon la méthode dite « à cavité », les virus infectant d’autres programmes représentent moins de 10 % de l’ensemble des malwares. Quelques nouvelles souches intéressantes ont été repérées en 2006. Tout comme leurs ancêtres, ils ne peuvent pas fonctionner de manière indépendante. L’exécution du programme hôte est indispensable à leur activation. Par analogie avec leurs cousins biologiques, ils se multiplient plus ou moins abondamment au sein des environnements qu’ils ciblent. W32/Bacalid, W32/Polip et W32/Detnat en sont trois exemples identifiés en 2006. Furtifs et polymorphes, ils tentent de télécharger d’autres éléments malveillants depuis des sites Web compromis.

Début novembre est également apparu W32/Kibik. S’appuyant sur une installation silencieuse via une attaque du type « 0-day », ce virus reste étrange quant à ses objectifs. Furtif et discret, il n’infecte qu’un ou deux éléments de l’ordinateur et effectue une recherche innocente sur Google Blog Search. Aujourd’hui, cette requête n’abouti à aucun résultat. Elle préfigure peut-être une nouvelle méthode de contrôle à distance.

Plus de rootkits, mais de meilleures parades Le nombre de rootkits ciblant les environnements 32 bits est en constante augmentation. L’anti-virus s’est adapté et nous proposons maintenant des fonctions efficaces de protection et de réparation. Pour les systèmes 64 bits, particulièrement Vista, les tendances sont difficiles à cerner. Elles sont tributaires de leur adoption par un large public. D’une manière générale, McAfee Avert Labs s’attend dans ce domaine à :

• une diminution des rootkits en mode kernel. Il ne s’agit que du court terme ; les auteurs de logiciels malveillants inventeront plus ou moins vite de nouvelles méthodes pour contourner PatchGuard;
• un développement des rootkits en mode utilisateur et plus généralement des logiciels malveillants intégrant directement cette fonctionnalité dans leur code. Les méthodes heuristiques et comportementales avancées étant elles-mêmes contrariées par PatchGuard, quelques surprises désagréables risquent d’apparaître en ce domaine. Cette situation persistera au moins jusqu’au déploiement de Vista SP1, lorsque les nouvelles API introduites par Microsoft rectifieront la situation et que les éditeurs auront eu la possibilité de revoir leurs logiciels de sécurité en fonction de celles-ci.

5 - Les vulnérabilités resteront un souci
Plus on cherche de vulnérabilités, plus on en trouve. Le nombre de vulnérabilités annoncées a fait un bon énorme entre 2004 et 2005. La tendance, identique pour 2006, devrait se poursuivre au-delà.

En 11 mois, Microsoft a répertorié 140 vulnérabilités. McAfee Avert Labs annonce que ce nombre va augmenter, d’une part avec l’usage croissant des « fuzzers », logiciels ayant pour but d’automatiser la recherche de failles, et d’autre part, à cause de programmes de primes et des concours qui récompensent ou simplement honorent les découvreurs de vulnérabilités. Rien que cette année, Microsoft a patché plus de vulnérabilités critiques qu’en 2004 et 2005 réunies, soit 62.

Une tendance aux attaques du type « 0-day »
Nombre d’entres elles se produisent juste après la publication mensuelle des patches par Microsoft. Ces mises à jour n’étant publiées qu’une fois par mois, il est avantageux, pour un cyber-criminel, d’exploiter une faille non couverte peu après cette date pour bénéficier d’une durée d’exploitation optimale. McAfee Avert Labs recommande aux entreprises et aux particuliers de garder leurs fichiers DAT à jour, d’installer les derniers patches et de mettre en oeuvre une stratégie en plusieurs couches pour détecter et bloquer les attaques.

L´ANSSI recrute de manière originale

06-02-2012 à 19:16 - 0 commentaire(s)

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

05-02-2012 à 10:43 - 0 commentaire(s)

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

Sauvegarde des conversations téléphoniques pour France télévision

04-02-2012 à 11:42 - 0 commentaire(s)

INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.

Faille sur le site Wikileaks

04-02-2012 à 11:27 - 0 commentaire(s)

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

Piège sur Facebook

04-02-2012 à 10:59 - 0 commentaire(s)

INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.

Arnaque aux logements

04-02-2012 à 10:53 - 0 commentaire(s)

INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.

Une conférence téléphonique du FBI piratée par des Anonymous

04-02-2012 à 10:21 - 1 commentaire(s)

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

La Ville de Chambéry corrige une fuite de données

04-02-2012 à 10:05 - 1 commentaire(s)

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Des jeux en ligne pour enfants attendrissants mais infectés de virus

Les jeux online pour enfants ne sont pas sans danger. Plus de 60 sites infectés au cours des 30 derniers jours.

Le Cheval de Troie Carberp Cible les Abonnés de la Freebox

Un code malveillant s´invite chez les clients Free afin de leur ponctionner leurs données bancaires.

Un virus exploite Facebook pour faire des petits

Un virus informatique passe par quelque 45.000 comptes Facebook pour se reproduire.

Un site d'Amnesty International hacked

Le site britannique de l'ONG Amnesty International, AOL et DailyMail exploites dans la diffusion d'un logiciel espion.

Zero day pour Yahoo Messenger

Un nouvel exploit de type 0day sévit sur Yahoo! Messenger en modifiant les statuts des utilisateur… et diffuse bien sûr des malwares !

Un nouveau virus Facebook s´attaque à vos données bancaires

Un virus informatique, diffusé par Facebook, installe le bot Zeus. Un code malveillant qui s´intéresse à vos données bancaires.

Infiltrations en cours, prudence

Plusieurs centaines de sites web exploités dans une infiltration informatique via un kit pirate datant du 18 novembre dernier.

Un outil gratuit pour tuer le bot TDSS

Le bot TDSS (Pihar, Sst...) vient de voir débarquer son pire ennemi via un logiciel gratuit dédié à le détruire.

Réagissez à ce contenu