Intrapole
VOUS  TES ICI : Accueil » Intrapole » Actualité »

Aperçu viral octobre 2010

Publié le 17-11-2010 dans le thème Virus - Antivirus
Pays : International - Auteur : La rédaction

Formes de fraude habituelles et insolites : le mois d´octobre 2010 a été très viral.

Le mois d’octobre a démontré encore une fois que les moyens de fraude sur Internet sont inépuisables. L’éditeur de solution de sécurité informatique, Docteur Web, indique que les pirates ont utilisé de nouvelles variantes des schémas connus de redirection des utilisateurs vers des pages malveillantes. Les créateurs de virus ont
également profité de la popularité de certains logiciels malveillants autour desquels on a fait du bruit pour diffuser de soi-disant « vaccins » contre eux. Et le temps est désormais venu où les éditeurs antivirus se trouvent confrontés à des logiciels malveillants conçus pour les systèmes 64-bits.

Le rootkit BackDoor.Tdss posséde une partie bootkit qui permet au Backdoor d’être téléchargé avant que le système d’exploitation ne démarre. Ce schéma permet au logiciel malveillant de contrôler le processus de chargement du système et d’outrepasser la protection système contre un driver malveillant sans signature. Ensuite, il est libre d’effectuer de façon masquée des opérations néfastes dans le sytème.

Le revers de la popularité virale

En même temps que les sociétés antivirus étudient les nouveaux logiciels malveillants et publient des informations pour alerter les utilisateurs, les pirates diffusent leurs virus sous la forme d’utilitaires de désinfection des malwares connus. Au mois d’octobre, les spécialistes ont découvert plusieurs cas. Un des plus connu d’entre eux est la diffusion « de l’utilitaire capable de faire face au Trojan.Stuxnet », devenu célèbre depuis le mois de septembre 2010. Les pirates utilisent le nom d’éditeurs antivirus très connus (usurpent leur nom) pour diffuser ces faux logiciels.

Ce faux utilitaire est défini par Dr.Web comme Trojan.KillAll.94. Nous avons également des informations sur la distribution de ce trojan dans des pays européens.

Les diffuseurs du Trojan.SMSSend utilisent, quant à eux, un nom similaire au logiciel de décompression bien connu WinRAR : WinRARc, à partir duquel ils ont élaboré un schéma de fraude assez efficace basé sur des fausses archives.

Vers la fin du mois d’octobre, une nouvelle modification de Trojan.Hosts est apparue, orientée vers les utilisateurs qui parlent russe. L’utilisateur reçoit une notification l’alertant sur le fait que l’ordinateur est contaminé par une des modifications du trojan Zbot, et que pour effectuer la désinfection du système, il faut envoyer un SMS payant.

La plus grande partie des requêtes a été envoyée au début du mois lorsque le virus Trojan.HttpBlock a été diffusé en abondance. Certains jours, des centaines de requêtes concernant ce trojan ont été traitées. Elles atteignaient jusqu’au 80% de toutes les requêtes reçues.

Ce logiciel malveillant redirige le navigateur Internet sur les pages transmises par le serveur web que le Trojan.HttpBlock installe sur les PC de ses victimes. Pour restaurer le fonctionnement normal du navigateur, les pirates demandent une « rançon ».

Après la publication d’une news sur une large propagation du Trojan.HttpBlock, les distributeurs de numéros courts de SMS ont bloqué les comptes des pirates. Leurs efforts ont contribué à une diminution considérable des appels au support technique concernant la fraude sur Internet.

Lorsque la vague de Trojan.HttpBlock s’est tarie, les trojans les plus fréquents sont redevenus les bloqueurs de Windows (Trojan.Winlock), qui réclament des virements sur les comptes des portables pirates, ainsi que des trojans modifiant le fichier hosts du système pour effectuer une redirection de l’utilisateur vers des sites malveillants, lors de leur visite sur des sites de réseaux sociaux ou d’autres sites populaires (Trojan.Hosts).

C’est vers la fin du mois que le schéma frauduleux basé sur les fausses archives a été le plus visible, utilisant le faux logiciel WinRARc. L’utilisateur reçoit une « archive », qui, en réalité, ne contient aucune information. On lui explique alors que pour décompresser totalement cette archive, il doit envoyer son numéro de portable. S’il le fait, il reçoit alors un SMS, auquel il doit à son tour répondre par SMS, ce qui, à son insu, le fait prendre un abonnement à un « service » payant… Cet ancien schéma est redevenu très populaire. Mais si autrefois, il n’était utilisé que sur des sites malveillants, il accompagne maintenant la diffusion de fausses archives Trojan.SMSSend, et des trojans Trojan.Hosts.

Un autre nouveau schéma d’extorsion légèrement modifié a été détecté. Les utilisateurs de portables reçoivent une proposition d’effectuer un virement sur le compte du portable d’un de leur parent ou ami juste en cliquant sur une touche ou en envoyant un SMS spécial.

Les pirates, philosophes ?

Une des modifications du Trojan.Winlock s’est également répandue en octobre. Sa fenêtre bloquante n’exigeait pas d’introduire un code de déblocage, mais elle contenait un texte instructif sur la nocivité d’être en permanence connecté à un réseau social. En résumé, le texte dit : « Bonjour, je suis un virus. Tu m’as attrapé en surfant sans cesse sur Internet. Je ne vais pas abîmer ton ordinateur, je veux seulement que tu ouvres les yeux et voies la beauté du monde environnant, voilà pourquoi j’ai bloqué les sites de réseaux sociaux »

Parmi les autres événements du mois d’octobre, on peut citer l’apparition de nouvelles modifications du trojan Android.SmsSend, qui envoie à l’insu de l’utilisateur des SMS payants depuis un portable contaminé. En Europe, on a constaté au mois d’octobre une propagation active de faux antivirus, de logiciels malveillants contenant une partie bootkit ansi que de trojans visant les utilisateurs de banques en ligne.

Source : zataz.com