04/09/2007
Le service de veille antivirale de Doctor Web a analysé l´activité virale du mois d´août 2007. L´envoi massif des spams contenant des « vers de tempête » est incontestablement l´événement majeur du mois d´août.
Pendant la première moitié d´août, les spammeurs ont
utilisé la technique bien connue de l´ingénierie sociale consistant à masquer les spam en
avertissant l´utilisateur de la réception d´une carte de voeux. Les corps de ces messages
contiennent des liens que l´utilisateur est invité à visiter. Durant le mois, l´objet et le contenu
de ces messages ont changé : On proposait à l´utilisateur de visualiser un clip sur YouTube et
de vérifier ensuite un compte « enregistré » sur un serveur de divertissement. Lors du
téléchargement depuis les liens mentionnés avec le navigateur Internet Explorer, le script de
téléchargement implanté dans la page web commençait à s´exécuter. Ce script est reconnu
par l´antivirus Dr.Web comme VBS.Psyme.434. Lors de l´exécution du script, le programme
malveillant est téléchargé et lancé, Dr.Web l´identifie comme Trojan.Packed.142. Suite à
cette intervention, la machine contaminée est utilisée comme un robot dans le réseau P2P créé
par Trojan.Packed.142 pour envoyer des spams. De plus, les fonctionnalités de
Trojan.Packed.142 comprennent la possibilité d´attaques DDoS.
Dans la deuxième décade d´août, le service de veille antivirale de Doctor Web a constaté que
ces modules exécutables à télécharger avaient été contaminés par le virus polymorphe
nommé, selon le classement de Doctor Web, Win32.Virut.5. Ce virus contamine tous les
fichiers exécutables et il est muni de fonctions permettant de gérer les machines infectées via
le canal IRC. Les modules exécutables Trojan.Packed.142 contaminés par Win32.Virut.5
ont été propagés pendant plusieurs jours. Il est à noter qu´à la différence de la plupart des
logiciels antivirus, Dr.Web est capable non seulement de détecter les fichiers contaminés par
Win32.Virut.5. mais aussi d´éradiquer ce virus. Compte tenu de la propagation intense des
spams contenant ces « vers de tempête », il est important de les détecter et de les éradiquer
rapidement. Cela évoque la situation de l´année dernière marquée par la propagation assez
durable de Win32.Polipos par des réseaux de piring puisque aucun autre antivirus que
Dr.Web ne pouvait détecter ni éradiquer des fichiers contaminés par ce virus.
Quelque temps après, la diffusion des Trojan.Packed.142 infectés par Win32.Virut.5 s´est
arrêtée. On a vu se répéter la situation du mois de mai, qui enregistrait des envois massifs de
vers de mail Win32.HLLM.Limar infecté par Win32.Virut.
Outre cela, on a pu également constater la propagation de l´autre virus de fichier, nommé
Win32.Scproj.7573. Ce virus contamine tous les fichiers exécutables sur les disques durs ainsi
que sur les disques amovibles. En général, le virus ne modifie pas la taille du fichier-victime
puisqu´il s´enregistre dans le domaine d´octets zéro. La contamination se fait sans aucun effet
visuel, on peut s´apercevoir seulement de signes tels que des erreurs d´Explorer, des
notifications de programmes sur l´intégrité violée de leurs fichiers etc. Le virus intercepte
l´accès Internet des applications infectées ce qui lui permet de déjouer les politiques de
sécurité des firewalls des applications respectives. Le corps de virus contient des liens depuis
lesquels il peut recevoir des instructions. Quelque temps après le lancement d´Explorer
contaminé par le virus, ce dernier vérifie les ressources réseau pour trouver des dossiers
réseau disponibles pour l´enregistrement d´information et contaminer tous les fichiers
exécutables qu´ils contiennent.
On a vu également la propagation de nouvelles modifications du vers d´envoi massif
Win32.HLLM.Beagle mais l´épidémie ne s´est pas répandue.
Les résultats de l´analyse de l´activité du spam en août 2007
Le mois d´août a été marqué par plusieurs envois massifs de spam. Le premier est l´envoi des
« vers de tempête » déjà mentionné ci-dessus. Le deuxième envoi a été présenté par des
messages contenant en pièces jointes des fichiers au format PDF. La troisième vague
comprenait des messages dont le sujet était Here is the news you have been waiting for. Les
messages de ce type ont été envoyés depuis les ordinateurs contaminés par les "vers de
tempête" Trojan.Packed.142. La tendance à souligner est que les messages spam ont pris un
caractère de « virus » : des en-têtes attirants, des propositions de lire un document ou une
information importante (ce qui est très typique pour les vers de la famille
Win32.HLLM.Netsky), le rapport du serveur sur non livraison de message (typique pour le
vers Win32.HLLM.MyDoom, Win32.HLLM.Limar), des pièces jointes au format
d´archive ZIP etc.
D´autres spams étaient moins présents que ceux déjà mentionnés. On peut constater que le
spam cyrillique a montré un taux accru des publicités proposant aux entrepreneurs d´organiser
des envois massifs. Comme d´habitude, le spam dit commercial reste fort présent sous la
forme des invitations aux séminaires de comptabilité et de droit fiscal. La présence du spam
« culturel » a diminué.
Au mois d´août 2007 la base virale Dr.Web a été complétée par 14474 entrées.
Voici les résultats du scan en ligne pour le mois d´août :
Nom du virus Nombre
VBS.Psyme.239 469
Trojan.Packed.142 415
BackDoor.Bulknet 322
VBS.PackFor 284
Trojan.SCKeyLog.20 124
Win32.Virut 107
Trojan.Virtumod 81
Trojan.Peflog.30 56
Trojan.Peflog.31 56
Trojan.DownLoader.29530 33
Nous vous proposons également le tableau sommaire des virus les plus fréquemment détectés
sur des serveurs de messagerie en août 2007 :
Nom du virus % du nombre total de virus
Win32.HLLM.Graz 19.16%
Trojan.DownLoader.30541 16.31%
Win32.HLLM.Netsky.35328 15.05%
Win32.HLLM.MyDoom.based 8.03%
Win32.HLLM.Beagle 7.21%
Win32.HLLM.Netsky 4.30%
Win32.HLLM.Netsky.based 3.67%
Win32.HLLM.Perf 2.88%
Win32.HLLP.Sector 2.70%
Exploit.MS05-053 2.49%
Win32.HLLM.Limar.based 2.40%
BackDoor.Bulknet.52 1.92%
Trojan.DownLoader.29243 1.75%
Win32.HLLM.Limar 1.41%
Win32.HLLM.MyDoom.33808 1.35%
Win32.HLLM.Oder 1.01%
Win32.HLLM.MyDoom.49 0,70%
Win32.HLLM.Netsky.24064 0.56%
Win32.HLLM.Beagle.pswzip 0.47%
Win32.HLLM.Generic.391 0.44
D´autre malware 6.18%