Dernière analyse du laboratoire de Kaspersky Lab sur de l'activité virale en mars 2011

Dernière analyse du laboratoire de Kaspersky Lab sur de l'activité virale en mars 2011



Vyacheslav Zakorzhevsky
C’est un fait : les individus malintentionnés n'ont aucun scrupule et n'hésitent pas à exploiter la moindre tragédie dans leur intérêt. Le séisme et le tsunami au Japon et le décès d'Elizabeth Taylor n'auront pas été une exception.

De nombreux japonais ont perdu des êtres proches et le monde entier suit avec une certaine inquiétude le développement de la situation à la centrale nucléaire Fukushima 1 endommagée lors du séisme. Les auteurs de virus diffusent des liens malveillants vers ces sujets d'actualité, créent des pages Web malveillantes dont le contenu est lié d'une manière ou d'une autre à la tragédie qui se déroule au Japon et diffusent des messages « nigériens » qui invitent les destinataires à venir en aide aux victimes en transférant de l'argent sur le compte du destinataire.

Un de ces messages non sollicité contenait des liens vers ce qui était présenté comme les dernières infos en provenance du Japon. L'utilisateur qui cliquait sur ces liens devenait la victime d'une attaque par téléchargement à la dérobée organisée à l'aide de pack de codes d'exploitation. En cas de réussite de l'attaque, le programme Trojan-Downloader.Win32.CodecPack était téléchargé sur l'ordinateur de l'utilisateur. Chaque représentant de cette famille est associé à trois centres de commande qu'il contacte et d'où il reçoit une liste de fichiers malveillants à télécharger et à installer sur l'ordinateur de la victime. Et une des pages Web malveillantes que nous avons repérée proposait aux internautes des vidéos des événements du Japon. Mais au lieu de regarder une vidéo, l'utilisateur téléchargeait une porte dérobée.

C'est sur Twitter que l'on trouve les individus malintentionnés les plus rapides : les liens malveillants relatifs au décès d'Elizabeth Taylor sont apparus dès le lendemain de l'annonce de la mort de l'actrice.

Mars en chiffres

Voici le bilan de l'activité des logiciels de Kaspersky Lab sur les ordinateurs des utilisateurs :

241 151 171 attaques de réseau ont été déjouées ;
85 853 567 tentatives d'infection via des sites Web ont été bloquées ;
219 843 736 programmes malveillants ont été détectés et neutralisés (tentatives d'infection locale) ;
96 702 092 verdicts heuristiques ont été recensés.
Codes d'exploitation JAVA

Le nombre de codes d'exploitation Java est assez élevé : ils représentaient près de 14 % du nombre de codes d'exploitation découverts. Trois codes d'exploitation Java figurent dans le Top 20 des programmes malveillants sur Internet. Et deux d'entre eux, à savoir Exploit.Java.CVE-2010-0840.d (15e position) et Exploit.Java.CVE-2010-0840.c (19e) sont de nouveaux codes qui exploitent la vulnérabilité CVE-2010-0840 dans Java. Pour rappel, l'utilisation active de cette faille avait été mise en évidence le mois dernier

Selon les données statistiques du KSN (le réseau interne à Kaspersky lab), les créateurs du programme malveillant changent fréquemment les codes d'exploitation utilisés dans le cadre d'attaque par téléchargement à la dérobée afin d'éviter la détection. On peut le voir sur le graphique qui montre la dynamique de la détection des codes d'exploitation de la famille Exploit.Java.CVE-2010-0840.


Dynamique de la détection de la famille Exploit.Java.CVE-2010-0840

Les pics dans le graphique représentent les périodes de détection de codes malveillants utilisés dans le cadre d'attaques par téléchargement à la dérobée et les creux correspondent à l'apparition de nouvelles modifications du code d'exploitation.

Code d'exploitation d'une vulnérabilité dans Adobe Flash Player

Il est étonnant de voir la rapidité avec laquelle les auteurs de virus réagissent à l'annonce de la découverte de nouvelles vulnérabilités. Prenons par exemple le code d'exploitation d'une vulnérabilité dans Adobe Flash Player dont la découverte fut annoncée par Adobe le 14 mars. La vulnérabilité se trouve dans le fichier authplay.dll et appartient à la catégorie critique : son exploitation permet aux individus malintentionnés de prendre les commandes de l'ordinateur de la victime.

Dès le 15 mars, Kaspersky Lab détectait un code d'exploitation de cette vulnérabilité. Il se présente sous la forme d'un fichier Excel contenant un fichier SWF malveillant qui est détecté comme Trojan-Dropper.SWF.CVE-2011-0609.a.

Le 25 mars, nous avons détecté une autre version du code d'exploitation, à savoir une page HTML contenant un JavaScript avec un code shell et l'invocation d'un fichier Flash malveillant. Le code shell recevait les commandes après l'invocation du fichier SWF en exploitant une faille dans la sécurité. Les fichiers HTML et SWF malveillants sont détectés respectivement en tant que Exploit.JS.CVE-2011-0609 et Exploit.SWF.CVE-2011-0609.


Extrait de Exploit.JS.CVE-2011-0609.d

Cette histoire se termine bien : la vulnérabilité a été éliminée. La société Adobe a annoncé la suppression de la vulnérabilité le 22 mars. Bien entendu, la fin heureuse concerne uniquement les ordinateurs sur lesquels les utilisateurs ont réalisé la mise à jour à temps.

Pages HTML malveillantes : protection contre la détection

Le laboratoire de Kaspersky Lab signale souvent la détection de pages HTML que les individus malintentionnés utilisent pour diffuser des programmes malveillants ou pour organiser des escroqueries. Les auteurs de ces pages inventent sans cesse de nouvelles méthodes pour que les logiciels antivirus ne les découvrent pas.

Utilisation de la balise <br><br>Dans le rapport consacré au mois de février, nous avions indiqué que les individus malintentionnés utilisaient les feuilles de style en cascade (CSS) pour protéger les scripts malveillants contre la détection. Désormais, ils ont remplacé la technique CSS par l'utilisation de la balise <textarea>.<br><br>La balise <textarea> permet d'afficher les champs de saisie.<br><br> <br>Champ de saisie mis en place à l'aide de la balise <textarea><br><br>Les individus malintentionnés utilisent cette balise en tant que conteneur pour conserver les données qui seront utilisées plus tard par le script principal.<br><br>Au mois de mars, Trojan-Downloader.JS.Agent.fun, détection d'une des pages Web où nous avons découvert un script malveillant et la balise <textarea> contenant des données pour le script, a également fait son entrée au Top 20 (9e position). Le script exécute, à l'aide des données renfermées dans la balise <textarea>, d'autres codes d'exploitation.<br><br>Page cryptée<br><br>Dans les rapports des mois de décembre et de janvier, nous avons évoqué les faux antivirus en ligne. De nos jours, les pages Web qui imitent l'analyse de l'ordinateur et qui vous invitent à acheter le « logiciel antivirus » sont cryptées et se présentent sous la forme d'un script JavaScript, ce qui complique la procédure de détection par les logiciels antivirus.<br><br> <br>Extrait de page cryptée avec un faux logiciel antivirus Internet<br><br>Nous détectons ces scripts polymorphes sous le nom Trojan.JS.Fraud.bl (18e place au classement des programmes malveillants sur Internet) et Trojan.JS.Agent.btv (8e place).<br><br>Rustock<br><br>Une des informations les plus marquantes du mois de mars fut la fermeture du réseau de zombies Rustock. Pour rappel, le réseau de zombies créé par Rustock comptait plusieurs centaines de milliers d'ordinateurs infectés et servait à diffuser le courrier indésirable. L'opération de fermeture du réseau de zombies fut organisée par la société Microsoft et les autorités américaines. Le 17 mars, Microsoft annonçait, que tous les serveurs chargés de l'administration du réseau de zombies avaient été mis hors service. Sur tous les serveurs de centre de commande du réseau de zombies fermés par Microsoft, on retrouvait une redirection vers microsoftinternetsafety.net.<br><br>Selon les informations de Kaspersky Lab, les derniers exemplaires de Rustock furent téléchargés depuis les serveurs de commande du réseau de zombies sur les ordinateurs des victimes le 16 mars et l'instruction de diffusion de messages non sollicités fut envoyée pour la dernière fois le 17 mars. Après cette date, les bots n'ont plus reçu aucune instruction. De plus, après le 16 mars, aucun nouveau téléchargeur chargé d'installer Rustock sur les ordinateurs des victimes n'a été détecté.<br><br>Cela signifie-t-il qu'un des réseaux de zombies de courrier indésirable les plus célèbres a bel et bien disparu ? Ou les propriétaires du réseau de zombies attendent-ils simplement que la tempête passe avant de retrouver leur puissance d'antan ? L'avenir nous apportera la réponse à ces questions.<br><br>Programmes malveillants pour Android<br><br>Les programmes malveillants pour Android ne sont plus un phénomène exotique. Au mois de mars, les cyber-délinquants ont réussi à diffuser de tels programmes sous la forme d'applications légitimes distribuées via Android Market.<br><br>Au début du mois de mars, nous avons découvert des versions infectées d'applications légitimes sur Android Market. Elles contenaient les codes d'exploitation root « rage against the cage » et « exploid » qui permettent au programme malveillant d'obtenir le niveau d'accès root sur les smartphones Android, ce qui leur donne un accès total au système d'exploitation du périphérique.<br><br>L'archive APK malveillante contenait, outre les codes d'exploitation root, deux composants malveillants. L'un d'entre eux, après avoir obtenu les privilèges root, envoyait via la méthode POST un fichier XML spécial vers le serveur distant de l'individu malintentionné contenant l'IMEI et l'IMSI, ainsi que d'autres informations relatives au périphérique et attendait une instruction en retour. L'autre programme malveillant possédait la fonction d'un cheval de Troie téléchargeur, mais nous n'avons pas encore réussi à obtenir les fichiers téléchargés.<br><br>TOP 20 des programmes malveillants sur Internet<br><br>Classement actuel Écart Verdict<br>1 4 AdWare.Win32.FunWeb.gq <br>2 New Hoax.Win32.ArchSMS.pxm <br>3 3 AdWare.Win32.HotBar.dh <br>4 8 Trojan.HTML.Iframe.dl <br>5 New Hoax.HTML.OdKlas.a <br>6 New Trojan.JS.Popupper.aw <br>7 1 Exploit.JS.Pdfka.ddt <br>8 -8 Trojan.JS.Agent.btv <br>9 -9 Trojan-Downloader.JS.Agent.fun <br>10 -10 Trojan-Downloader.Java.OpenStream.bi<br>11 -7 Exploit.HTML.CVE-2010-1885.ad <br>12 New Trojan.JS.Agent.uo <br>13 New Trojan-Downloader.JS.Iframe.cdh <br>14 New Packed.Win32.Katusha.o <br>15 New Exploit.Java.CVE-2010-0840.d <br>16 1 Trojan.JS.Agent.bhr <br>17 New Trojan-Clicker.JS.Agent.om <br>18 New Trojan.JS.Fraud.bl <br>19 New Exploit.Java.CVE-2010-0840.c <br>20 New Trojan-Clicker.HTML.Iframe.aky <br>Top 20 des programmes malveillants découverts sur les ordinateurs des utilisateurs<br><br>Classement actuel Écart Verdict<br>1 0 Net-Worm.Win32.Kido.ir <br>2 0 Virus.Win32.Sality.aa <br>3 1 Net-Worm.Win32.Kido.ih <br>4 New Hoax.Win32.ArchSMS.pxm <br>5 0 Virus.Win32.Sality.bh <br>6 -3 HackTool.Win32.Kiser.zv <br>7 -1 Hoax.Win32.Screensaver.b <br>8 -1 AdWare.Win32.HotBar.dh <br>9 8 Trojan.Win32.Starter.yy <br>10 1 Packed.Win32.Katusha.o <br>11 1 Worm.Win32.FlyStudio.cu <br>12 -2 HackTool.Win32.Kiser.il <br>13 -4 Trojan.JS.Agent.bhr <br>14 2 Trojan-Downloader.Win32.Geral.cnh <br>15 New Porn-Tool.Win32.StripDance.d <br>16 New Exploit.JS.Agent.bbk <br>17 New Trojan.Win32.AutoRun.azq <br>18 -5 Trojan-Downloader.Win32.VB.eql <br>19 -5 Worm.Win32.Mabezat.b <br>20 -5 Packed.Win32.Klone.bq <br>Source:<br>Kaspersky Lab