Vous êtes sur le site public du Cert-IST
Bilan trimestriel de l'évolution des "malwares" par Kaspersky Lab

Date :16 Juin 2005

Publication: Article

Les laboratoires "Kaspersky"(http://www.viruslist.com) ont publié le 18 avril 2005 leur bilan trimestriel concernant l’évolution des "malwares" (période allant de janvier à mars 2005).

Ce bilan confirme certaines tendances signalées par le Cert-IST dans ses précédents bulletins (voir en particulier l’article "Panorama 2004 de la Cybercriminalité" du bulletin sécurité de janvier 2005), et élargit le débat à certaines technologies comme par exemple la messagerie instantanée, le "Peer-to-Peer" et les téléphones portables.

Ce premier trimestre a ainsi confirmé l’infléchissement des vers de type "mass-mailer" au profit des vers se propageant via les réseaux (sans utiliser les systèmes de messagerie) ou via les messageries instantanées. En effet, les dernières grosses infections par "mass-mailer" ("Mydoom", "Netsky", "Bagle" et "Zafi") remontent au premier semestre 2004 et la fin de l’année 2004 et ce début 2005 n’ont pas été marqués par des phénomènes de l’ampleur des vers cités. Selon Kaspersky, cette tendance aurait deux causes principales : tout d’abord, le développement de techniques proactives de la part des éditeurs d’anti-virus, ensuite une vigilance accrue et une meilleure sensibilisation des utilisateurs.

En revanche, les vers attaquant les messageries instantanées sont en évolution constante. Ces derniers, comme "Aimes" (avis CERT-IST/AV-2005.066) ou "Kelvir" (cf. le message posté dans la liste de diffusion "Virus-Coord" le 7 mars 2005), visent généralement l’application "MSN Messenger" et sont très souvent écrits en Visual Basic. Kaspersky rapproche ainsi l’évolution des vers de messagerie instantanée de celle des vers "Peer-To-Peer" (visant initialement le réseau "Kazaa" et écrits aussi en Visual Basic). Le Cert-IST considère les messageries instantanées comme non sûres et non recommandées en entreprise (ce qui constitue une des approches citées par Kaspersky pour contrer ces attaques), et traite ce type de ver dans les bulletins sécurité mensuels. Un article du présent bulletin est consacré spécifiquement à la technonologie des messageries instantanées et à leurs dangers.

Les vers affectant les téléphones mobiles sont également en forte croissance (voir à ce sujet l’article "Les vers arrivent sur les téléphones mobiles" du bulletin sécurité de juin 2004). Ce qui est frappant avec ces vers, c’est la vitesse à laquelle ont été créés les trois types de codes malveillants (vers, virus et chevaux de Troie), à partir du moment où le premier ver pour téléphones mobiles est apparu (ver "Cabir" en juin 2004).

Selon Kaspersky, le calme relatif de ce début d’année serait dû au fait qu’il n’y a pas eu de grosses vulnérabilités impactant les systèmes Windows, comme les vulnérabilités DCOM et LSASS (avis CERT-IST/AV-2004.119). Ces failles, parues en mai 2004, avaient en effet été exploitées par un très grand nombre de vers, le plus virulent étant "Sasser" (avis CERT-IST/AV-2004.132). Il y a bien eu d’autres vulnérabilités affectant Windows, mais aucune faille récente n’a eu une telle ampleur. Ce sont d’ailleurs toujours les vulnérabilités DCOM et LSASS qui sont utilisées par les robots ("bots") pour compromettre des machines qui seront utilisées ensuite pour relayer du spam et/ou lancer des attaques de type déni de service distribué (DDoS). Les "bots" les plus connus, qui se fédérent en "botnets" ("roBOT NETworks") communiquant généralement au travers de canaux IRC sont les familles : "Agobot", "Rbot" et "SdBot".

Sur le front du "phishing", les chiffres de ce début d’année sont en hausse, ce qui confirme les tendances annoncées dans les différents articles des bulletins sécurité Cert-IST consacrés à ce sujet (voir notamment les articles des mois de mars, février et janvier 2005). Un point particulier, mentionné dans ce bilan Kaspersky, est l’augmentation du nombre de messages de "spam" envoyés via l’application Windows Messenger (connu dorénavant sous le terme de "spim" : "spam" via "InstantMessaging").

Kaspersky confirme par ailleurs le rapprochement de plus en plus marqué entre "adware", "spyware" et code malicieux (voir l’article "Panorama 2004 de la Cybercriminalité"). De plus en plus de programmes se voulant des "adwares" se comportent en effet comme des chevaux de Troie : masquage de leur présence, impossibilité de les désinstaller, écrasement des programmes concurrents, envoi de données vers l’extérieur, etc…

Un dernier aspect plus anecdotique mentionné par Kaspersky est la prolifération de programmes malicieux visant les jeux en ligne. Ce phénomène a essentiellement des motivations financières et est pour le moment concentré géographiquement en Chine, Corée du Sud et maintenant Russie.

En résumé, les évolutions analysées en début d’année semblent donc se confirmer, avec un renforcement des motivations financières de la part des pirates et un éventail plus large de techniques employées pour atteindre les systèmes et/ou les utilisateurs. Si l’on en croit Kaspersky, ce premier trimestre pourrait être "le calme avant la tempête"… 

Pour plus d’information :