Bitdefender : Le nombre de Spams contenant des PJ malveillantes augmente

Date 8/6/2012 11:30:00 | Sujet : Sécurité

Selon une étude de Bitdefender, les messages de Spam sont moins nombreux, mais plus dangereux, alors que dans le même temps les messages contenant des pièces jointes malveillantes sont plus nombreux. Cela signifie que le Spam, bien que moins présent, devient plus dangereux.


Les chercheurs de Bitdefender indiquent que le nombre de pièces jointes malveillantes en janvier a augmenté de 4% par rapport à la même période l’an dernier, et ce alors que le nombre global de messages de spam envoyés a diminué de plus de 16% entre le dernier trimestre 2011 et le premier trimestre 2012. Sur les 264,6 milliards de messages de spam envoyés tous les jours dans le monde, 1,14% d’entre eux comprenaient des pièces jointes et 300 millions étaient malveillants.

Après une hausse en janvier, l’augmentation du nombre de pièces jointes malveillantes s’est stabilisée dans un contexte apparent de suspension des campagnes de spam, et ce alors que le spam a continué à diminuer globalement. Les pièces jointes peuvent être des formulaires de phishing qui trompent les utilisateurs en leur faisant divulguer les informations confidentielles concernant leur(s) carte(s) bancaire(s), permettant ainsi aux scammeurs de les utiliser à leur gré. Elles peuvent aussi contenir des malwares tels que des chevaux de Troie, des vers et des virus.

Ce type de pièce jointe étant devenu une source de préoccupation croissante sur Internet, Bitdefender a cherché à savoir quels malwares exactement se retrouvaient dans les boîtes de réception des utilisateurs. Vous trouverez ci-dessous les cinq malwares les plus intéressants et les plus souvent joints à des e-mails de spam.

Le ver de « mass mailing » MyDoom, découvert pour la première fois en 2008, continue à faire partie des malwares les plus tenaces qui s’introduisent dans les boîtes de réception des utilisateurs. Une fois que les e-mails d’ingénierie sociale habilement conçus ont convaincu les utilisateurs d’ouvrir la pièce jointe, le ver s’auto-expédie à toutes les adresses e-mail trouvées sur le système en utilisant divers expéditeurs, sujets et corps de texte.

MyDoom dépose également un composant backdoor sur le système-hôte afin de permettre à l’attaquant à distance d’accéder à l’ensemble de l’ordinateur de l’utilisateur. Il actualise également une liste d’adresses IP infectées sur un serveur distant. De cette façon, tous les systèmes corrompus apparaissent dans une base de données commune des ordinateurs infectés accessibles au ver. MyDoom est connu pour être utilisé dans des attaques par déni de service contre des sites Web d’antivirus et d’éditeurs de logiciels.

La deuxième pièce jointe malveillante la plus fréquente est un téléchargeur Javascript générique se présentant sous la forme d’un code Javascript obscurci à l’intérieur de la pièce jointe HTML. Lorsque l’utilisateur ouvre le fichier HTML, le code Javascript obscurci s’exécute et injecte un iFrame dans la page HTML dans laquelle il se trouve. Cet iFrame charge du contenu malveillant depuis des serveurs tiers, corrompant ainsi le système.

La troisième position est occupée par Netsky, un autre mass mailer. En plus de s’expédier à toutes les adresses e-mail trouvées sur le système corrompu, il se diffuse via FTP, peer-to-peer ou fichiers partagés. Les sujets ingénieux utilisés vont des accusations et des messages d’erreur aux déclarations d’amour et transactions financières et incluent des noms de personnes célèbres afin d’attirer les victimes. Si l’utilisateur ouvre la pièce jointe, le ver affiche un message (conçu pour ressembler à un message de la solution antivirus locale) indiquant qu’aucun virus n’a été trouvé sur le système.

Notons que Netsky ne s’expédie jamais à des adresses e-mail contenant des mots liés à la sécurité et à l’industrie antivirus (@antivirus, @FBI, @freeav, bitdefender etc.).

Le ver Mytob arrive en quatrième position. Il s’agit d’un ver connu pour empêcher que les utilisateurs ne se connectent à des sites commercialisant des solutions de sécurité, tout en ouvrant une backdoor afin de permettre l’accès à distance à des personnes mal intentionnées. De cette façon, le système est vulnérable à toutes sortes d’exploitation malveillante.

Ce classement s’achève avec le ver Bagle, un « mass mailer » recueillant des adresses et s’expédiant à toutes les adresses e-mail qu’il trouve sur le système corrompu. Il télécharge également d’autres adresses à partir d’une liste intégrée d’emplacements en ligne. Afin d’éviter d’être détecté, il termine les processus liés pour la plupart aux solutions antivirus installées en local. Il télécharge et exécute ensuite des fichiers provenant de nombreux sites web suspects.





Cet article provient de info utiles
https://www.info-utiles.fr

L'adresse de cet article est :
https://www.info-utiles.fr/modules/news/article.php?storyid=7302