alertes actuelles
En plus des tableaux d'alertes mis à jour automatiquement (ci-dessus), j'ai décidé de publier sur cette page quelques uns des rapports hedomadaires sur les infections virales que me fait parvenir régulièrement Panda Software.Ils sont très bien écrits, faciles à comprendre et méritent que vous pensiez à les consulter de temps en temps... les virus les plus fréquemment détectés par Panda ActiveScan en août (4 septembre 2003) 
En août, Blaster a été enregistré comme le virus affectant le plus grand nombre d’ordinateurs, selon les données collectées par Panda ActiveScan. Ce ver, qui est apparu pour la première fois le 12 août, a détrôné Bugbear.B de la première place des dix virus les plus fréquemment détectés par la solution antivirus gratuite en ligne de Panda Software. Blaster a même infecté plus d’ordinateurs que Sobig.F, un ver apparu pour la première fois en août et qui était jusqu’à présent le code malveillant le plus largement répandu.
Selon les données collectées par Panda ActiveScan, Blaster a provoqué le mois dernier plus de huit pour cent des incidents rapportés, suivi par Bugbear.B (5,34%), Klez.I (3,15%), Sobig.F (3,07%) et Parite.B (2,62%). Trj/PSW.Bugbear.B, Fortnight.E, Enerkaz, Bugbear.B.Dam et Trj/JS.NoClose occupent les cinq dernières places de ce classement pour le mois d’août.
Les changements les plus notables dans le rapport de ce mois-ci incluent : - Une domination indiscutable de Blaster, dépassant même Sobig.F
Même si Sobig.F a été le code malveillant le plus largement répandu qu’on ait jamais connu (en grande partie à cause de sa capacité à s’envoyer toutes les dix secondes comme ‘spam’ par l’intermédiaire des ordinateurs qu’il affecte), Blaster a été le code malveillant qui a infecté le plus grand nombre d’ordinateurs.
Parmi les caractéristiques qui expliquent la domination de Blaster, Luis Corrons, responsable du laboratoire antivirus de Panda Software, évoque sa capacité à “infecter des ordinateurs sans nécessiter d’intervention de l’utilisateur telle que l’ouverture d’un e-mail ou d’un fichier joint à un message”. Blaster se déplace sur Internet à la recherche d’ordinateurs à attaquer. Lorsqu’il en a trouvé, ce ver tente d’y pénétrer par le port de communication 135, dans le but de provoquer un débordement de tampon. - Une propagation grâce à des vulnérabilités
Blaster a été le premier ver à se propager en exploitant la vulnérabilité RPC DCOM de Windows. Ce type de comportement a déjà été utilisé avec succès par d’autres codes malveillants de la liste, comme Bugbear.B et Klez.I. Ces deux vers exploitent aussi des problèmes de sécurité dans des programmes d’utilisation courante, de manière à attaquer autant d’ordinateurs que possible. Comme nous l’avons déjà vu, la présence de ces virus dans le classement montre que de nombreux utilisateurs n’ont pas appliqué les mises à jour fournies par les éditeurs pour résoudre ces vulnérabilités. - Une activité croissante de Klez.I, qui passe de la sixième à la troisième place dans le classement du mois dernier. Le palmarès des virus de l’an 2002
(5 janvier 2003)
Bien que 2002 n’ait pas été une année particulièrement mauvaise en termes de virus informatiques, les derniers douze mois ont néanmoins vu apparaître de nombreux virus et codes malveillants de tous poils. Sans parvenir à l’échelle des nuisances des années passées tels que Nimda, des vers du genre de Klez.I ont quand même atteint des proportions épidémiques et ont vraiment causé des ennuis à de nombreux utilisateurs.
L’année passée ne s’est pas non plus distinguée par la variété technologique des virus, car la majorité des codes malveillants actifs ont été les vers de messagerie, conçus principalement pour s’envoyer à tous les contacts des carnets d’adresse. Les plus dangereux d’entre ceux-là exploitaient des vulnérabilités dans des logiciels populaires afin de s’exécuter automatiquement sur les systèmes des utilisateurs, tels que Bride, Lentin ou Klez.I.
On a aussi vu circuler nombre de chevaux de Troie, dont la plupart étaient conçus pour subtiliser des informations confidentielles des ordinateurs ou pour permettre à des pirates informatiques d’en prendre le contrôle.
Le virus le plus tenace : Klez.I est de loin le gagnant sur ce chapitre. Il a tenu la première place dans le classement de Panda Software des virus les plus répandus, chacun des mois entre avril et octobre 2002. Cela provenait en partie de l’utilisation de « l’ingénierie sociale », un ensemble de techniques visant à tromper les utilisateurs pour les inciter à exécuter des fichiers attachés, et de son utilisation d’une vulnérabilité dans Microsoft Internet Explorer pour s’exécuter automatiquement lorsqu’il est visionné dans le volet de prévisualisation.
Le virus le plus destructeur : Avec le nombre d’auteurs de virus décidés à semer le maximum de dégâts, ce n’est pas une tâche facile que de choisir un virus dans cette catégorie. Cependant, la variante L d’Opaserv, un ver nuisible qui se répand par Internet, peut prétendre à cette place, avec sa capacité de supprimer le CMOS et le contenu du disque dur.
Le virus le plus dépourvu de scrupule : Le prétendant dans cette catégorie est le ver de messagerie Prestige qui tente d’inciter les utilisateurs à accepter le fichier infecté en exploitant le désastre environnemental récemment survenu sur la côte nord de l’Espagne.
Le virus le plus avancé technologiquement : Cette année était moins fertile que d’autres en ruses déployées par les écrivains de virus. Sans être un exemple d’ingéniosité technologique, Bugbear se distingue plus que les autres dans cette catégorie. Ce ver exploite la même vulnérabilité que Klez.I pour s’exécuter et bloque aussi certaines applications y compris des antivirus et des firewalls personnels. Il ouvre aussi le port 36794 dans les ordinateurs infectés, pour ouvrir une backdoor qui pourrait être utilisée par des pirates informatiques afin d’attaquer des ordinateurs à distance.
Le virus le plus grossier : Le thème du sexe n’a pas joué un grand rôle parmi les virus qui ont émergé en 2002 - pour changer. Donc le grossier Fotodesn, avec sa photographie d’un organe masculin “plutôt improbable”, mène la liste dans cette catégorie.
Le virus le plus vieux : Là, pas de doute ! Nimda, d’abord apparu en septembre 2001, a continué à figurer dans la liste des virus fréquemment détectés mois après mois. La ténacité de ce ver provient surtout de son exploitation de deux vulnérabilités: l’une dans Internet Explorer et l’autre affectant Microsoft IIS. Les dix plus dangereux virus de l’année 2002
(2 janvier 2003)
Panda Software, l’éditeur d’antivirus, a publié une liste des dix virus les plus fréquents en 2002, basée sur les do nnées compilées par Panda ActiveScan, l’antivirus gratuit en ligne.
Le code malveillant le plus virulent de cette année était Klez.I, responsable de presque 18 pour cent de toutes les infections. Ce virus implacable possède deux fers de lance. Il utilise d’une part l’ « ingénierie sociale » pour tromper les utilisateurs sous une multitude de déguisements, et il exploite d’autre part une vulnérabilité connue dans Microsoft Internet Explorer pour s’exécuter automatiquement lorsqu’il est visionné dans le volet de prévisualisation.
En deuxième position, bien que responsable de moins de cinq pour cent de toutes les infections, nous trouvons Bugbear. Ce ver exploite la même vulnérabilité que Klez.I et il peut bloquer les processus de certaines applications, y compris ceux de quelques antivirus et firewalls personnels. Il ouvre aussi le port 36794 sur l’ordinateur attaqué afin de créer une backdoor qui pourrait être utilisée par un hacker pour obtenir un accès à distance à l’ordinateur ou au réseau.
Juste derrière Bugbear vient Elkern.C. La fréquence de ce virus tout au long de l’année 2002 provient en grande partie du fait qu’il est installé dans les ordinateurs par le ver Klez.I.
Le tenace ver Nimda, coupable dans juste trois pour cent des cas, tient le quatrième rang dans cette liste des Top Ten. Ce virus a d’abord été détecté en septembre 2001, date à laquelle il a atteint des proportions épidémiques. Sa persistance provient de son exploitation de la même vulnérabilité d’Internet Explorer que Klez.I et d’une faille affectant Microsoft IIS, lui permettant d’infecter directement et indirectement, par l’intermédiaire des téléchargements Internet.
C’est Sircam que l’on trouve en cinquième position, apparu dans presque tous les classements mensuels des codes malveillants virulents depuis août 2001, sans doute à cause de son utilisation astucieuse des techniques d’ingénierie sociale.
Les cinq virus restants du classement de cette année sont Grade.A, Help, Magistr.B, Klez.F et le cheval de Troie PSW/Bugbear. Malgré leur taux d’infection apparemment bas – ils n’ont chacun causé que moins de trois pour cent de toutes les infections -, l’apparition continuelle de tels virus souligne une fois encore la nécessité pour les utilisateurs de prendre au sérieux la protection de leurs ressources informatiques. familles de virus: origines et différences
(22 novembre 2002)
Compte tenu de leurs caractéristiques et de leurs racines, certains codes malveillants sont regroupés en familles par l’industrie des antivirus. Klez.F, Klez.I ou Opaserv, Opaserv.D et Opaserv.H en sont des exemples parmi bien d’autres. « Les plus grandes familles telles que I Love You ou le veteran Marker peuvent avoir jusqu’à 60 variantes », explique Luis Corrons, directeur du Laboratoire de Virus de Panda Software.
Parfois, une nouvelle variante du code malveillant provient d’un autre virus qui a été modifié. Il arrive aussi que les auteurs de virus utilisent comme matrice d’une nouvelle création les caractéristiques de base d’une famille de virus. Ce qui explique que les codes malveillants viennent en série, en se comportant fondamentalement de la même manière avec des différences minimes, telles que l’objet du message qui les porte ou leur capacité à réaliser certaines actions. En voici quelques illustrations : - Les variantes "I" et "F" de Klez : elles se répandent toutes deux par e-mail et exploitent la même vulnérabilité détectée dans le navigateur Internet Explorer (corrigée par Microsoft), qui rend possible l’exécution automatique du fichier joint sur simple visualisation du message. Les versions ne diffèrent que sur les points suivants :
* Klez.I est envoyé dans un message e-mail contenant un texte et deux fichiers joints. L’objectif de ce code malveillant est d’arrêter certains processus et de supprimer des fichiers dans les ordinateurs infectés.
* Klez.F est envoyé dans un message e-mail sans texte et avec un seul fichier joint. Il modifie certains des contrôles système (empêchant le système de démarrer correctement) et écrasant des fichiers exécutables, ce qui les rend inutilisables. - W32/Opaserv et W32/Opaserv.D peuvent se répandre à travers des réseaux et tentent d’accéder à une page web pour mettre à jour certaines de leurs composantes. Afin de procéder à l’infection, les deux vers créent dans le répertoire de Windows un fichier SCRSVR.EXE contenant leur code infectieux. En plus, W32/Opaserv.D génère le fichier TMP.INI dans le répertoire racine du disque dur et entre une instruction dans WIN.INI pour activer le ver.
Opaserv.H est différent en ce que le fichier qui le contient se présente en des tailles variables et compressé avec l’utilitaire PCShrink qui crypte le code infectieux. La variante « J » d’Opaserv peut créer divers fichiers sur l’ordinateur infecté. Parmi eux, « INSTIT.BAT » qui copie le ver contenant le code infectieux. « GUSTAV.SAT » et « INSTITU.VAT » sont générés pour échanger de l’information avec la page web à laquelle ils se connectent. - I love you existe en plusieurs variantes, dont les différences résident principalement dans les caractéristiques des messages envoyés. Les noms des fichiers joints, les pages web auxquelles ils se connectent, les extensions de fichiers qu’ils affectent, sont tous variables. L’apparition de variantes successives dans un laps de temps de quelques heures a grandement contribué à leur potentiel de propagation. Corrons a aussi expliqué comment « Certaines variantes parviennent encore à se répandre, bien que des solutions antivirus capables de les détecter et de les neutraliser soient disponibles depuis déjà quelque temps ». Un exemple notoire en est la variante « I » de Klez, apparue en avril et restée l’un des codes malveillants les plus destructeurs pour les utilisateurs tout au long des sept derniers mois, selon les do nnées recueillies par Panda ActiveScan. « Aucun doute », dit Corrons, « Klez.I continue à se répandre parce que les utilisateurs ne prennent pas les mesures de sécurité adéquates pour se protéger ». Ces mesures comprennent :
- Utiliser un bon antivirus et le mettre régulièrement à jour
- Traiter avec circonspection tous les messages e-mail reçus
- Rejeter les fichiers non sollicités lorsque l’on participe aux groupes de discussion ou de nouvelles
- Mettre à jour les logiciels installés avec les correctifs recommandés par les éditeurs. Exploitation de vulnérabilités : la principale arme des virus
(18 juillet 2002)
Outre l’exploitation des failles de sécurité, les virus emploient des techniques de plus en plus ingénieuses et l’ « ingénierie sociale » pour se propager sur les ordinateurs dans le monde
A l’instar du féroce Klez.I, ce sont les virus exploitant les vulnérabilités d’applications qui ont causé le plus de problèmes cette année. Parallèlement, l’usage généralisé de l’ « ingénierie sociale » pour inciter les utilisateurs à exécuter les fichiers infectés ou à ouvrir des messages portant des virus demeure un facteur primordial.
La principale raison de la virulence de Klez.I, qui s’est hissé au hit-parade des virus les plus fréquemments détectés par Panda ActiveScan (l’antivirus gratuit en ligne de Panda Software), est sa capacité à exploiter une vulnérabilité connue dans les versions 5.01 et 5.5 d’Internet Explorer. En exploitant cette faille, le code du virus peut s’exécuter automatiquement, simplement lorsque le message qui le porte est visionné dans le volet de prévisualisation des messages. Les créateurs de virus n’ont pas tardé à reproduire cette action de succès, comme on le voit avec les récents Frethem.J et Frethem.K qui exploitent la même vulnérabilité.
En plus de l’exploitation des failles de sécurité existantes, les codes malveillants apparus cette année ont aussi pris avantage de failles nouvellement découvertes. Un exemple en est Unix/Scalper.A, qui exploite une faille dans les serveurs Apache (permettant à un code arbitraire de s’exécuter). Par conséquent, on peut raisonnablement s’attendre à l’émergence prochaine d’un virus exploitant un problème détecté dans Winamp (qui pourrait permettre à un fichier MP3 d’exécuter un code viral). Nouvelles techniques d’infection
Jour après jour, les types de virus et les techniques évoluent et multiplient les menaces aux utilisateurs, comme ce fut le cas avec bon nombre de codes malveillants apparus cette année. Un échantillon de ces nouveaux virus, illustrant le développement continuel des techniques d’infection, inclut : SWF/LMF-926, le premier virus à infecter des fichiers Shockwave Flash (fichiers avec une extension “.SWF”). W32/Donut, le premier code malveillant à infecter des fichiers de la plateforme .NET de Microsoft. Dadinu, le premier ver de messagerie à infecter des fichiers avec une extension “.cpl”. Kazoa, conçu pour se propager par l’intermédiaire de l’application populaire Kazaa de partage de fichiers. Le hameçon, la ligne et la torpille
Au cours des derniers mois, les écrivains de virus ont fait preuve de ruse, de subtilité et de persuasion pour tromper les utilisateurs et répandre les infections virales, produisant de nombreux codes malveillants, parmi lesquels : Freedesktop , qui se déguise en adresse web, contenue dans un fichier nommé "www.freedesktopthemes.com". Il tente de faire croire à l’utilisateur qu’il peut télécharger des thèmes de bureau en cliquant sur ce fichier. Mais cette action déclenche l’envoi de Freedesktop à toutes les entrées qu’il trouve dans les carnets d’adresse de Win dows et des logiciels de messagerie. WorldCup (VBS/Chick.F), qui utilise comme appât les finales de football en Corée et au Japon, essayant de se faire passer pour un fichier avec les résultats du match. W32/Gibe, qui se répand dans un message e-mail essayant de se faire passer pour un correctif de sécurité de Microsoft. W32/Petlil.A , qui se répand dans un message utilisant une image pornographique comme appât pour attirer l’attention des utilisateurs. Kazoa, qui utilise le nom d’un jeu informatique, d’un fichier de film ou de musique pour convaincre les utilisateurs de l’exécuter. Le comportement des codes malveillants apparus cette année démontre encore la nécessité d’adopter des mesures préventives appropriées, comme l’installation d’un antivirus efficace, et la prudence dans le traitement des messages e-mail reçus. Il reflète aussi la nécessité pour les utilisateurs d’installer les correctifs que les développeurs de logiciels mettent régulièrement à disposition pour réparer les failles détectées dans leurs programmes. C’est ainsi que les applications se trouveront protégées contre les attaques de virus. Klez annonce une nouvelle génération de virus informatiques
(21 mai 2002)
Voici un mois que la variante ‘I’ de Klez est apparue et a commencé à semer le trouble dans les ordinateurs des utilisateurs de par le monde. Bien que la propagation ait atteint initialement des niveaux proches de l’épidémie, l’aspect le plus inquiétant de ce nouveau virus est le niveau quasiment constant des incidents enregistrés. Il s’agit là d’un nouveau trait dans le comportement des vers informatiques.
La grande différence entre ‘Klez’ et les autres codes malveillants similaires réside dans la méthode utilisée pour entrer dans les ordinateurs des victimes. Jusqu’à maintenant, les plus prolifiques des vers informatiques ont utilisé les techniques dites «d’ingénierie sociale» pour inciter les utilisateurs à exécuter le fichier attaché contenant le code du virus.
Ces techniques stimulent la curiosité des utilisateurs en les faisant penser qu’ils ont reçu quelque fichier mystérieux ou intéressant. ‘I Love You’, par exemple, amenait les utilisateurs à penser qu’ils avaient reçu une lettre d’amour, dans beaucoup de cas d’un ami ou d’un collègue, tandis que ‘Sircam’ était supposé contenir un document à corriger par le récipiendaire.
‘Klez’ appartient par contre à une nouvelle race de virus qui, en plus de l’ingénierie sociale, exploitent des vulnérabilités dans des applications communément utilisées telles que des navigateurs Internet ou des clients de messagerie. Entre autres, Klez tire parti d’une faille permettant au fichier infectéde s’exécuter automatiquement lorsqu’il est visionné dans le volet de prévisualisation du programme de messagerie.
L’ironie consiste en ce que dans la majorité des cas, ces vulnérabilités ont déjà été détectées et résolues par les éditeurs. Si les utilisateurs installaient les correctifs correspondants dès leur sortie,il n’y aurait aucune raison de s’inquiéter.
Cependant, beaucoup d’utilisateurs ne sont pas suffisamment conscients de ces questions, et donc les correctifs ne sont pas installés à temps pour prévenir l’entrée de ces virus. C’est la lenteur générale de la réaction à la sortie de ces mises à jour de sécurité qui est la principale raison de l’activité continue de virus tels que Klez.
Le futur immédiat n’apparaît pas très riant. Il y a quelques jours, Panda Software a diffusé une information sur Hedong, un nouveau ver qui, à l’instar de Klez, exploite une vulnérabilité connue de Microsoft Internet Explorer pour s’exécuter automatiquement.
Etant donné ce changement de tactique de la part des créateurs de virus, Panda Software recommande aux utilisateurs d’adopter une approche plus active dans la protection de leurs ordinateurs. Luis Corrons, Directeur du Laboratoire de Virus de l’entreprise, pense que, «l’évolution des techniques de création de virus contraint les utilisateurs à adopter une approche différente de la sécurité informatique. Aujourd’hui,nous avons non seulement besoin de logiciels antivirus fiables avec des mises à jour quotidiennes et des services de support technique de qualité, mais nous devons aussi nous tenir informés des questions actuelles concernant la sécurité.» retourner à la page "Virus"... |
