Le 06 février 2014
Situation virale
Les malwares les plus répandus en 2013 selon les statistiques de l'utilitaire de traitement Dr.Web CureIt! restent les Trojans de la famille Trojan.Hosts, dont le plus répandu est le Trojan.Hosts.6815, qui modifie le fichier hosts sur l'ordinateur infecté (fichier responsable de la transformation des noms DNS en adresses IP). Ainsi, si l'utilisateur accède au site Web qu’il souhaite consulter, son navigateur affichera une page appartenant aux malfaiteurs au lieu de celle spécifiée dans ce fichier. Vient ensuite le Trojan publicitaire Trojan.LoadMoney.1, un downloader, distribué depuis les serveurs du « programme partenaire » LoadMoney. Ce programme télécharge et installe différents logiciels indésirables sur l'ordinateur de la victime. La troisième place est occupée par le BackDoor.IRC.NgrBot.42, qui est bien connu des spécialistes de la sécurité depuis 2011. Ces Trojans communiquent avec un serveur de gestion distant via le protocole IRC (Internet Relay Chat) et peuvent exécuter les commandes des malfaiteurs. Le BackDoor.IRC.NgrBot.42 est capable de supprimer sur l'ordinateur infecté les traces de son téléchargement en cas de violation de son intégrité, de bloquer l'accès aux sites de sociétés antivirus, d’intercepter les logins et mots de passe utilisés pour la connexion à différents sites web. BackDoor.IRC.NgrBot.42 infecte tous les support amovibles connectés à l'ordinateur, puis il cache les dossiers sur le dispositif infecté et crée à leurs places des raccourcis avec les noms correspondants, qui renvoient vers son fichier exécutable. Ainsi, lorsque l’utilisateur essaie d'ouvrir un dossier sur l'appareil infecté, il exécute le logiciel malveillant.
Le tableau ci-dessous affiche la vingtaine de malwares les plus répandus en 2013 selon les statistiques de l'utilitaire de traitement Dr.Web CureIt! :
| № | Nom | % |
|---|---|---|
| 1 | Trojan.Hosts.6815 | 1.74 |
| 2 | Trojan.LoadMoney.1 | 1.38 |
| 3 | BackDoor.IRC.NgrBot.42 | 1.14 |
| 4 | Trojan.Mods.2 | 0.94 |
| 5 | Trojan.MayachokMEM.4 | 0.72 |
| 6 | Trojan.Hosts.6838 | 0.71 |
| 7 | Win32.HLLP.Neshta | 0.70 |
| 8 | Trojan.SMSSend.2363 | 0.69 |
| 9 | Trojan.Packed.24524 | 0.64 |
| 10 | Trojan.Redirect.140 | 0.64 |
| 11 | Trojan.Mods.1 | 0.57 |
| 12 | Trojan.Packed.24079 | 0.56 |
| 13 | Trojan.DownLoader9.19157 | 0.52 |
| 14 | Trojan.MayachokMEM.7 | 0.52 |
| 15 | Trojan.InstallMonster.38 | 0.50 |
| 16 | Win32.HLLW.Gavir.ini | 0.47 |
| 17 | Win32.Sector.22 | 0.46 |
| 18 | Trojan.StartPage.48148 | 0.44 |
| 19 | Trojan.Zekos | 0.43 |
| 20 | BackDoor.Maxplus.24 | 0.40 |
Botnets
Durant toute l'année, les spécialistes de Doctor Web ont suivi l'activité de plusieurs botnets organisés à l’aide de Trojans et virus de fichiers. L'un d'eux a presque disparu dans la seconde moitié de l'année. Tandis que les autres continuent à croître.
Ainsi, les spécialistes de Doctor Web suivent depuis septembre 2011 deux botnets Win32.Rmnet.12. Ce virus possède une capacité d'autoréplication, sans l'intervention de l'utilisateur. Il peut également infecter les fichiers exécutables, exécuter les commandes provenant d'un serveur distant (détruire le système d'exploitation) ainsi que voler les mots de passe pour les clients FTP. En outre, le Win32.Rmnet.12 peut injecter un code parasite dans les pages web, rediriger les utilisateurs vers des sites piratés ou transmettre des formulaires remplis par les victimes sur des serveurs distants.
lire la suite
source : http://news.drweb.fr/show/?i=933&c=4
Commentaires
Enregistrer un commentaire