Actu News AntiVirus, AntiSpam, Cyber Criminalités


lundi 17 septembre 2012

Comment on attrape un virus informatique ?

? aujourd??hui. En effet, la réponse à cette question est très mouvante et évolue avec le temps. Il y a quelques années encore, beaucoup de virus informatiques se diffusaient sur Internet sous forme de vers, se propageant d??une machine à une autre, mais vraisemblablement parce que de plus en plus d??ordinateurs ne sont plus connectés directement à Internet, ce n??est plus le mode de diffusion privilégié. En effet, derrière des box ADSL, même si vos ordinateurs, tablettes et autres télévisions connectées ne sont pas totalement protégés, ils ne sont pas directement et totalement accessibles depuis l??extérieur comme on pouvait l??être quand on se connectait avec un modem directement connecté à l??ordinateur.

Je vous propose de parcourir quelques modes de propagation qui, vous allez le voir, parfois s??entrecroisent. En effet, de la même façon qu??il est parfois difficile de classifier les logiciels malveillants, il est parfois tout aussi difficile de tracer une frontière entre ces différents modes de contamination.

  • L??installation par l??utilisateur
  • Les supports amovibles
  • ? et les partages réseaux
  • Les vers
  • Les plateformes d??exploits
  • Les plateformes d??exploits
  • Comment se protéger ?

.../...

Source :

samedi 23 avril 2011

Survol des principaux événements du mois

Beaucoup d'agitation autour de Rustock

Au milieu du mois de mars, nous avons appris la désactivation de l'important réseau de zombies de courrier indésirable Rustock suite aux efforts conjoints de Microsoft et des autorités judiciaires des ?tats-Unis.

Cela faisait près de cinq ans que Rustock existait (depuis 2006) et, selon diverses estimations, il était responsable de 30 à 40 % de l'ensemble du courrier indésirable. La mise hors service du réseau de zombies fut annoncée le 17 mars. L'opération en elle-même s'était déroulée un jour plus tôt, le 16.
.../...

?vénements mondiaux et courrier indésirable
La tragédie japonaise n'a pas laissé les diffuseurs de courrier indésirables indifférents

Le séisme dévastateur, le tsunami et la catastrophe dans la centrale nucléaire qui s'en est suivi ont capté l'attention du monde entier. Les citoyens de nombreux pays ont essayé de venir en aide aux Japonais à l'aide des moyens qui étaient à leur portée, qu'il s'agisse de denrées non périssables, de médicaments, d'articles de première nécessité ou de dons à diverses organisations humanitaires. Une multitude de sites présentant des informations sur la manière de transférer des fonds aux victimes ont fait leur apparition.

Bien entendu, les diffuseurs de courrier indésirable ont tout de suite tenté d'adopter la thématique des initiatives humanitaires. Des messages d'escroquerie invitant le destinataire à verser de l'argent sur le prétendu compte de la Croix Rouge ou d'autres organisations humanitaires ont tout de suite fait leur apparition
.../...

Libye. Point chaud et sujet d'actualité
La situation en Libye est également sur toutes les lèvres. Et les diffuseurs de courrier indésirable ont commencé à utiliser le thème du conflit armé dans des messages d'escroquerie. On retrouve de plus en plus souvent des escroqueries « nigériennes » dans le cadre desquels de prétendus membres du gouvernement Libyen tentent de transférer leurs millions hors des banques du pays en révolte ainsi que des messages qui, comme pour le Japon, proposent de faire un don aux victimes.

Les diffuseurs de courrier indésirable qui propagent des programmes malveillants n'ont pas manqué eux aussi d'exploiter l'intérêt des internautes pour les événements dramatiques qui se déroulent en Libye. ? l'aide de méthodes éprouvées, ils ont diffusé des messages contenant des liens malveillants vers de prétendues « dépêches » en provenance de Libye.

Mais les messages les plus intéressants, de notre point de vue, sont les messages non sollicités à motivation politique concernant la situation en Libye qui ont fait leur apparition au mois de mars.

Ces messages citent en général des publications issues de divers blogs ou des articles de journaux. Il s'agit de messages rédigés en anglais qui ne visent pas les Libyens. Ce genre de courrier indésirable tente d'attirer l'attention des étrangers, aux ?tats-Unis ou en Europe, sur le conflit libyen et peut être diffusé aussi bien par des partisans du régime que par des opposants à celui-ci. .../...

mercredi 2 mars 2011

Courrier indésirable en janvier 2011

Janvier en chiffres

Par rapport au mois de décembre, la part du courrier indésirable dans le trafic de messagerie a diminué de 0,5% pour atteindre en moyenne 77,6%. La part des messages d'hameçonnage représentait 0,03% de l'ensemble des messages électroniques, soit une baisse de 0,11% par rapport au mois de décembre.

En décembre, 2,75% des messages électroniques contenaient des fichiers malveillants, soit 1 points de plus que le mois passé.

Survol des principaux événements du mois

Vacances de Noël et du Nouvel An

Au début du mois de janvier, le facteur principal déterminant le contenu des messages non sollicités a été les fêtes de fin d'année. Cela peut paraître étrange, mais le courrier indésirable a également pris des vacances. Le graphique ci-dessous démontre que du 1er au 10 janvier, la part de messages non sollicités dans le trafic de messagerie était sensiblement inférieure à la normale

Part du courrier indésirable dans le trafic de messagerie en janvier 2011

Il ne faut pas oublier que lorsque nous parlons de la part de courrier indésirable, il ne s'agit pas de valeurs absolues, mais de valeurs relatives. Elles dépendent non seulement du volume du trafic de messagerie, mais également du volume de courrier normal. Si l'on part de la réduction du volume de courrier indésirable au cours des premiers jours du mois de janvier en chiffres absolus, alors le nombre de messages non sollicités a été divisé par cinq ou par six.

Nous pouvons affirmer sans crainte que cette baisse est due à la réduction de l'activité des réseaux de zombies. Comme vous le savez, la majorité des messages non sollicités est diffusée à l'aide de réseaux de zombies. Durant les fêtes de fin d'année, de nombreux ordinateurs infectés sont restés éteints et par conséquent n'ont pas pu diffuser du courrier indésirable. Le fait que les « vacances » des réseaux de zombies aient coïncidé avec les fêtes du nouvel an et non pas avec le Noël occidental, confirme l'hypothèse selon laquelle l'organisation de la diffusion de courrier indésirable à l'échelon mondial est entre les mains de structures russes ou, plus exactement, post-soviétiques. Cela confirme la rumeur selon laquelle de nombreux citoyens de l'ex-URSS se trouvent derrière les réseaux de zombies et les partenariats est très répandue. L'accalmie dans la diffusion de courrier indésirable au début du mois de janvier s'inscrit dans ce scénario : les gestionnaires des réseaux de zombies et les maîtres des partenariats ont probablement pris des vacances.

? partir du milieu du mois de janvier, le volume de courrier indésirable a retrouvé son niveau d'avant les vacances.

.../...

vendredi 25 février 2011

Kits d'exploitation: un autre regard

Les kits d'exploitation sont des paquets contenant des programmes malveillants qui servent principalement à exécuter des attaques automatisées « à la dérobée » afin de propager un programme malveillant. Ces kits sont vendus au marché noir pour des sommes allant de quelques centaines à plusieurs milliers de dollars. De nos jours, la mise en location de kits d'exploitation hébergés est chose courante et nous nous trouvons face à un marché très compétitif avec de nombreux et différents acteurs et auteurs.

Apparu il y a plusieurs années, MPack fut un des premiers exemples de cet « outil » d'un genre nouveau et beaucoup d??autres tels que ICE-Pack et Fire-Pack ont suivi. Aujourd??hui parmi les kits d'exploitation les plus célèbres, citons Eleonore, le kit d'exploitation YES et Crimepack. Les blogs et les sites regorgent d'articles de recherche et d'informations sur les kits d'exploitation.

Lors de nos recherches, nous nous sommes penchés sur différents aspects de ces kits et avons décidé d'en présenter un ici.

.../...

jeudi 24 février 2011

Kaspersky Security Bulletin 2010. Spam en 2010

Kaspersky Lab analyse près de 1,5 millions de messages non sollicités par jour. Le matériel analysé provient de pièges spéciaux mis en place et de prélèvements dans les flux de messages non sollicités reçus par nos clients et partenaires. Tout message non sollicité est classé automatiquement. Une partie de ce trafic est également analysée manuellement. Le répertoire unique du courrier indésirable permet d??étudier la répartition thématique et quantitative des messages non sollicités.

Lutte contre le courrier indésirable et la diffusion de programmes malveillants en 2010

L'année 2010 aura été révolutionnaire dans la lutte contre le courrier indésirable. On retiendra surtout les victoires remportées par les autorités judiciaires de plusieurs pays dans la lutte contre la cybercriminalité, notamment au niveau de la diffusion du courrier indésirable.

Les centres de commande de réseaux de zombies impliqués dans la diffusion de courrier indésirable tels que Waledac, Pushdo/Cutwail, Lethic et Bredolab ont été mis hors service. Ddes individus soupçonnés d'avoir commis des cybercrimes ont été jugés et le partenariat de diffusion de courrier indésirable SpamIt a été démantelé. Ces événements ont entraîné des modifications au niveau des principales sources géographiques du courrier indésirable, ainsi que dans sa composition thématique. C'est ainsi qu'à la fin de l'année, la quantité de courrier indésirable diffusée depuis les ?tats-Unis a connu une réduction sans précédent tandis que le volume de messages non sollicités envoyés depuis l' Europe de l'Est a augmenté. Pour la première fois depuis que nous observons le phénomène, nous constatons une réduction prolongée des messages non sollicités dans le trafic de messagerie. Cependant il y a un revers à la médaille car le courrier indésirable est devenu beaucoup plus dangereux.

Nous avons déjà évoqué la criminalisation du courrier indésirable, son délaissement par les petites et moyennes entreprises pour devenir de plus en plus souvent un outil pour les escrocs et les vendeurs de produits faux ou illégaux. En 2010, le courrier indésirable aura aussi été à l'origine d'un grand nombre d'attaques malveillantes : en un an, le nombre de pièces jointes malveillantes détectées dans le courrier a été multiplié par 2,6.

.../...

Le courrier indésirable en mouvement

Les événements évoqués ci-dessus (démantèlement de centres de commande de réseaux de zombies, fermeture du partenariat Spamit et poursuites judiciaires à l'encontre de diffuseurs de courrier indésirable) ont eu un impact sur la structure et le caractère du courrier indésirable observé dans les flux de messagerie. Le volume de message non sollicité a reculé et il y a eu des changements dans la liste des pays d'où les plus gros volumes de courrier indésirable sont diffusés.

Part du courrier indésirable dans le trafic de messagerie



Part du courrier indésirable dans le trafic de messagerie

Ce graphique illustre la concentration de la part de messages non sollicités dans le courrier en 2010. Un recul est particulièrement perceptible en automne, période qui correspond à la fermeture des centres de commande des importants réseaux de zombies Pushdo/Cutwail et Bredolab, au démantèlement du partenariat SpamIt et aux procès à l'encontre de plusieurs diffuseurs de courrier indésirable.

Cela fait plusieurs années que le volume de courrier indésirable n'était jamais resté à un niveau aussi bas. Cette situation est semblable à celle rencontrée en 2008 suite à la fermeture du tristement célèbre hébergeur McColo (il hébergeait les centres de commande de plusieurs réseaux de zombies) qui avait été suivie, pendant un mois, d'une réduction du volume de messages non sollicités dans le courrier (73,7 %). Il est impossible de dire combien de temps cette accalmie va durer. Toutefois, la pratique nous montre qu'il ne faut pas s'attendre à ce qu'un niveau aussi faible de courrier indésirable se maintienne dans le courrier l'année prochaine. Les auteurs de virus peuvent organiser de nouveaux réseaux de zombies et ils choisiront pour cela des pays dans lesquels les lois contre la cybercriminalité sont quasi inexistantes. Cette hypothèse est indirectement confirmée par le fait qu??en novembre une part importante de messages non sollicités a été envoyée en Russie, en Inde et au Viet Nam (respectivement 8,6 %, 6,8 % et 6,5 % ), tandis que la part de messages non sollicités reçus par les utilisateurs aux ?tats-Unis et en Europe de l'Ouest a considérablement diminué.

En 2010, le volume le plus important de courrier indésirable en 2010 a été enregistré le 21 février (90,8 %), et le volume le plus faible a été enregistré le 28 octobre (70,1 %). En 2010, la part des messages non sollicités a représenté en moyenne près de 82,2% du volume du courrier.

.../...

mercredi 23 février 2011

Kaspersky Security Bulletin 2010. Développement des menaces en 2010

Ce rapport s'inscrit dans la série des rapports analytiques annuels proposés par Kaspersky Lab. Il aborde les principaux problèmes qui touchent les particuliers et les entreprises en matière d'informatique et qui sont liés à l'exécution de programmes malveillants, potentiellement indésirables ou d'escroquerie, ainsi qu'au courrier indésirable, à l'hameçonnage et à diverses activités de pirates informatiques.

Ce rapport a été rédigé par les spécialistes de la Global Research & Analysis Team (GReAt, équipe internationale de recherche et d'étude) en collaboration avec les départements Content&Cloud Technology Research et Anti-Malware Research de Kaspersky Lab.

2010: l'année des vulnérabilités

Au vu des événements impliquant des programmes malveillants, nous pouvons dire que l'année 2010 aura été une copie pratiquement conforme de l'année antérieure. Aucun changement n'a été observé dans les tendances et les directions générales des attaques, mais on note toutefois le passage à un autre niveau en terme de qualité des technologies employées.

Le volume de nouveaux programmes malveillants détectés par mois se maintient au niveau de 2009 et on enregistre une baisse d'activité pour certains types de programmes malveillants. Nous avions déjà évoqué cette stabilisation du flux des programmes malveillants dans notre dernier rapport annuel. Les causes restent les mêmes : la baisse d'activité de toute une série de chevaux de Troie (chevaux de Troie de jeux), la lutte active des forces de l'ordre, des opérateurs de télécommunication et des éditeurs de logiciels antivirus contre les services criminels et les groupes de cybercriminels. De plus, la réduction du nombre de faux antivirus que nous escomptions a également eu un effet sur la stabilisation du nombre de programmes malveillants.

.../...

mardi 26 octobre 2010

Internet et ses dangers

Objectif

Au cours des dernières années, la menaces des infections via Internet a augmenté. Ceci s'explique, d'une part, par l'augmentation du nombre d'internautes et de sites et d'autre part, par l'appât du gain chez les individus malintentionnés. ? l'heure actuelle, les attaques menées via Internet occupent la tête du classement, tant au niveau de la quantité que de la gravité des attaques. Il suffit de survoler les classements sur les programmes malveillants que nous publions chaque mois pour se rendre compte de la situation suivanteš: le nombre d'attaques sur Internet est énorme et ces attaques ne cessent de se perfectionner. Toutes les menaces les plus complexes de ces derniers temps (ZeuS, Sinowal et TDSS) se propagent précisément via Internet. Il en va de même pour les faux antivirus et les applications de blocage qui sont proposées à intervalle régulier aux utilisateurs. Internet a également été le vecteur choisi pour réaliser une attaque ciblée qui a fait beaucoup parler d'elle, à savoir l' «Opération Aurora». Et tout ceci n'est que la partie visible de l'iceberg.

L'individu malintentionné qui réalise une attaque via Internet cherche avant tout à charger et à installer un fichier exécutable malveillant sur l'ordinateur de la victime. Bien sûr, il existe des attaques telles que ou CSRF qui ne prévoient pas le téléchargement et l'installation de fichiers exécutables sur les ordinateurs des victimes. Mais l'individu malintentionné qui parvient à prendre les commandes du système infecté a accès à un large éventail de possibilitésš: si l'attaque réussit, il peut accéder aux données de l'utilisateur et aux ressources du système. D'une manière ou d'une autre, l'individu malintentionné peut gagner de l'argent sur le dos des utilisateurs.

Attaque

En général, une attaque se déroule en deux partiesš: passage de l'utilisateur sur la ressource infectée et téléchargement sur son ordinateur du fichier exécutable malveillant.

.../...

samedi 23 octobre 2010

Internet pour les adultes et les enfants

Internet est-il ou non bénéfique au développement ?

Pour la majorité des utilisateurs d'ordinateurs personnels, l'Internet est un phénomène qui va de soi et qui est même ordinaire. Nous sommes nombreux à l'utiliser en permanence au travail et à la maison et nous ne pouvons plus nous imaginer comment faire autrement. Il n'y a rien d'anormal à cela car l'Internet tel que nous le connaissons aujourd'hui est une source presque inépuisable d'informations. Le volume de données qu'il propose est estimé à 500 milliards de giga-octets. Internet est devenu un instrument incontournable dans la recherche d'informations ainsi que dans de nombreux autres aspects de la vie de l'homme moderne. Internet permet de payer des factures en ligne, de rechercher une école pour son enfant, d'organiser les vacances etc. Mais l'Internet, à l'instar de la vie réelle, possède une face obscure. Tout comme dans la vie réelle, il existe sur Internet des communautés criminelles, du trafic d'armes et de stupéfiants, des groupes extrémistes et une multitude d'associations de malfaiteurs. De plus, l'Internet, qui a été créé par des adultes, est orienté avant tout vers la population adulte. De nombreux sites de rencontre au contenu pornographique ou érotique possèdent un statut plus ou moins légal selon les pays. Et bien entendu, la majorité d'entre eux ne devrait pas être visitée par des enfants.

Parallèlement à cette situation, chaque année on compte de plus en plus d'enfants et d'adolescents parmi les utilisateurs. Les enfants et les adolescents d'aujourd'hui figurent parmi les internautes les plus actifs. Cette génération est née avec les technologies de l'information et elle ne peut se souvenir de l'avant Internet. Malheureusement, les jeunes internautes sont rarement capables d'adopter une attitude critique face aux flux d'informations non vérifiées, de mauvaises qualité, dépassées voire tout simplement dangereuses qui peuvent nuire non seulement à l'ordinateur, mais à eux-mêmes également.

Selon nous, le danger le plus grave est que l'enfant (ou l'adolescent) peut avoir accès à des informations quelconque avant d'être suffisamment mûr pour les assimiler. Une exposition précoce à un contenu potentiellement nuisible sur Internet peut avoir un effet négatif sur le psychisme en formation

.../...

vendredi 22 octobre 2010

Prévisions météorologiques des virus : nuageux

Introduction

Ces derniers temps, lors de vos visites sur Internet ou à l'occasion de vos passages dans divers forums, vous avez certainement lu des articles et des commentaires liés à l'utilisation des technologies dématérialisées dans la lutte contre les virus.

Les avis divergent énormémentš: depuis les accusations des éditeurs dans des communiqués de presse sur l'inutilité des «šnuagesš» antivirus jusqu'aux affirmations que le cloud représente la solution à tous les maux. Ces discussions impliquent des utilisateurs et des experts sur les questions de sécurité qui, eux aussi, ont des avis divergents.

Cet article va essayer de dresser l'état des lieux en la matière. Il traitera uniquement de l'interaction en temps réel entre les logiciels antivirus pour particuliers installés sur des ordinateurs de particuliers et l'infrastructure dématérialisée de l'éditeur du logiciel antivirus. Les solutions logicielles en tant que service ou services hébergés ne seront pas abordées ici.

Pour simplifier, nous désignerons par le terme «šnuageš» antivirus l'infrastructure que l'éditeur du logiciel antivirus utilise pour traiter les informations obtenues des ordinateurs des utilisateurs des applications pour particuliers et qui signale les nouvelles menaces non détectées. Pour répondre aux objections quant au bien fondé de l'utilisation du terme «šnuageš», nous nous inspirons de la pratique en vigueur pour l'utilisation de ce terme dans ce contexte. Nous proposons de laisser le débat terminologique en dehors de cet article.

L'article cherche à définir ce que sont dans la réalité les «šnuagesš» antivirus et à définir leurs avantages et leurs faiblesses. Il s'adresse avant tout au lecteur qui souhaite comprendre ce qu??est la protection antivirus dématérialisée, connaître ses principes fondamentaux de fonctionnement et la place qu'elle occupe dans la protection antivirus de l'utilisateur.

Avant la dématérialisation ou les origines de l??avènement des «nuages»

Au cours des vingt dernières années, la protection antivirus des utilisateurs a reposé principalement sur l'analyse à l'aide de signatures et l'analyse heuristique. Ces deux types d'analyse suffisaient amplement pour faire face au contenu malveillant carš: De nouveaux programmes malveillants apparaissaient assez rarement et les quelques laboratoires antivirus des éditeurs de logiciels antivirus arrivaient sans peine à proposer des solutionsš; La vitesse de réaction des mises à jour traditionnelles installées par le logiciel antivirus sur les ordinateurs des utilisateurs était tout à fait suffisante pour bloquer les menaces.

.../...

samedi 16 octobre 2010

Les explorateurs du cybercriminel

La protection en place était solide. Mais l'explorateur savait où trouver la faille dans la défense. Il avait été préparé à cela : pénétrer discrètement par la faille et s'introduire dans le système. L'explorateur remplit sa mission et introduit un espion, un voleur ou un agent secret qui va obliger le système à travailler pour son maître. Pourvu que la faille reste ouverte...

Il ne s'agit pas d'un épisode d'un jeu informatique, mais bien du scénario d'action des codes d'exploitation, ces programmes qui exploitent les vulnérabilités d'une application pour s'introduire discrètement dans l'ordinateur de la victime.

Vulnérabilités et codes d'exploitation

Une vulnérabilité est un défaut dans le code d'une application qui, dans certaines conditions, peut être exploité par un individu malintentionné pour atteindre son but. Le code d'exploitation est le programme qui exploite la vulnérabilité de l'application sur un ordinateur distant ou local pour réaliser la tâche malveillante.

La tâche principale du code d'exploitation reside dans l'infection de l'ordinateur à l'aide d'un programme malveillant déterminé. ?tant donné que le code d'exploitation est rarement un fichier de grande taille, il contient dans la majorité des cas une fonctionnalité de téléchargement. En règle générale, toutes les actions malveillantes se déroulent à l'insu de l'utilisateur. Il peut arriver toutefois que le navigateur gèle, mais l'utilisateur inexpérimenté n'y verra rien d'alarmant.

Presque toutes les applications contiennent des vulnérabilités et les applications les plus répandues ne font pas exception à la règle. Quelle que soit l'attention que le développeur dévoue à son programme, il est pratiquement impossible d'éviter des erreurs dans le code. La vulnérabilité peut figurer dans l'application qui traite le format du fichier, ou dans la machine virtuelle qui exécute le travail du script. C'est pour cela que les individus malintentionnés intègrent les codes d'exploitation dans divers formats de fichier ou divers formats de protocole : JPEG, TIFF, BMP, GIF, ANI, LNK, etc. Il se peut que le fichier dans son ensemble soit un code d'exploitation, par exemple un script en JavaScript qui exploite une vulnérabilité dans Internet Explorer.

.../...

samedi 5 septembre 2009

Août 2009 : Kaspersky Lab constate à nouveau la capacité à innover des cybercriminels

Internet est riche en pages qui proposent des solutions antivirales fictives. Un des scripts utilisé à cette fin figure en 12ème position de ce Top 20. Kaspersky Anti-Virus le détecte sous Trojan-Downloader.JS.FraudLoad.d. Lorsque l'utilisateur accède au site qui héberge ce script, il est averti que son ordinateur est infecté par de nombreux programmes malveillants et il est invité à les supprimer. Si l'utilisateur accepte, FraudTool, le logiciel antivirus fictif, est téléchargé sur l'ordinateur.

La fonction du cheval de Troie Redirector.1 consiste à rediriger les requêtes de recherche de l'utilisateur vers certains serveurs afin d'augmenter le nombre de visite. Le téléchargeur Iframe.bmu est un conteneur typique reprenant plusieurs codes d'exploitation, notamment pour les logiciels Adobe.

Les tendances de juillet se maintiennent : les cybercriminels utilisent toujours les vulnérabilités dans les applications les plus répandues. Les faux antivirus et les cliqueurs iframe sont toujours largement diffusés.

Enfin, pour les chercheurs de Kaspersky Lab, en août 2009, le Top 5 des pays producteurs de menaces cybercriminelles par tentatives d??infections via Internet est le suivant : ?/?

mercredi 26 août 2009

Kaspersky Lab publie un rapport sur le courrier indésirable dans l??Internet russophone au premier semestre 2009

Le rapport « Courrier indésirable au premier semestre 2009 » présente les caractéristiques principales du courrier indésirable dans l??Internet russophone, dont le nombre de spams et leurs sources, le nombre de pièces jointes et liens compromis, la répartition des messages indésirables en fonction de leurs sujets, et la proportion du courrier indésirable en images.

En dépit de la crise économique mondiale et l??attractivité croissante des activités cybercriminelles, la quantité de messages non sollicités n??a pas évolué de manière significative. Il est important de signaler le recul des messages de hameçonnage. La Russie et les Etats-Unis dominent toujours le classement des pays sources de courrier indésirable, mais on remarque un déplacement de ces sources de l??Europe occidentale vers l??Europe de l??Est.

La part des spams de publicité pour les diffuseurs de courrier indésirable a considérablement augmenté. La crise économique mondiale n??a pas non plus affecté les offres d??autres types de structures cybercriminelles. Cependant, la crise a eu un effet non négligeable sur le courrier indésirable faisant la publicité de produits et de services issus de l'activité économique réelle. « Le rythme de diffusion de ce type de spams est un indicateur de l??état des petites et moyennes entreprises en période de crise ».

.../?

La part des messages non sollicités a représenté en moyenne près de 85,5% du volume total du courrier électronique au premier semestre 2009.

Le pourcentage le plus faible (72,8 %) a été enregistré le 26 avril 2009, tandis que le pourcentage le plus élevé (93 %) a été relevé le 22 février 2009.

0,3 % des messages non sollicités contenaient des pièces jointes malveillantes.

La crise financière, dont le début remonte à l'automne 2008, n'a eu aucun effet sur la part du courrier indésirable dans le trafic de messagerie : aucune modification sensible n'est à signaler entre le premier semestre 2008 et le premier semestre 2009.

.../..

Le Top 10 des pays sources de courrier indésirable a considérablement changé au cours des six derniers mois. Le courrier indésirable en provenance d'Espagne et d'Italie a diminué : ces pays, qui occupaient respectivement la 3e et la 4e place du classement au deuxième semestre 2008, ne figurent pas dans le classement actuel. L'Allemagne et l'Ukraine ont également été éjectées du Top 10. A l??opposé, le nombre de messages non sollicités en provenance d'Inde, de Thaïlande, de Roumanie et de Pologne a augmenté. Ces pays ont fait leur entrée dans le Top 10.



La Russie et les Etats-Unis dominent toujours le classement, mais il n'est pas exclu qu'ils perdent leur place au deuxième semestre 2009 : en effet, le nombre de messages en provenance de ces deux pays est en recul. Ainsi, au deuxième semestre 2008, 22 % des messages provenaient de Russie, contre 11 % au premier semestre 2009. Pour les Etats-Unis, les chiffres sont de 16 % au deuxième semestre 2008 contre 10 % au premier semestre 2009.

.../...

vendredi 26 juin 2009

Sea, Wireless and Sun

Kaspersky Lab, éditeur reconnu de solutions de sécurité informatique contre toutes les formes de menaces cybercriminelles (botnets, escroqueries, phishing, spams, etc.), publie « Sea, Wireless and Sun ». Réalisé par Christian Funk, analyste de malware chez Kaspersky Lab pour l??Europe Centrale, cet article est consacré aux risques auxquels les Internautes s??exposent quand ils utilisent la norme WiFi pour accéder à leurs réseaux locaux ou surfer sur le web. Christian Funk y revient sur les menaces cybercriminelles identifiées et leurs conséquences. Il y propose des mesures de protection et un mode de connexion alternatif : l??UMTS, technologie de télécommunication mobile 3G. La version complète de cet article est disponible sur Viruslist.com/fr. Son résumé est accessible sur www.kaspersky.com/fr.

L??été est là. De toujours plus nombreux Internautes vont utiliser des points d??accès WiFi publics pour se connecter sur leurs lieux de vacances. Si la technologie WiFi présente de nombreux atouts, comme l??indépendance aux offres de télécommunications mobiles, elle peut altérer l??intégrité et la confidentialité des données transférées. Pour Christian Funk, analyste de malware chez Kaspersky Lab pour l??Europe Centrale et auteur de cet article, les réseaux WiFi sont vulnérables, notamment face aux attaques de type mascarade (également connues sous l??appellation attaques MITM). Les cybercriminels piratent désormais les canaux de communication et accèdent ainsi à l??ensemble des données transférées : noms d??utilisateurs, mots de passe, informations sur les cartes bancaires?

Christian Funk suggère 2 modes de connexion alternatifs :

1. L??utilisation d??un réseau virtuel privé (VPN) constitue une méthode efficace pour encrypter et conserver confidentielles les données transférées via un point d??accès WiFi. Celles et ceux qui ne possèdent pas de serveur VPN au bureau ou à la maison peuvent facilement recourir aux nombreux services VPN disponibles aujourd??hui.

2. L??utilisation de l??UMTS, technologie de télécommunication mobile 3G, garantit un niveau de sécurité supérieur puisqu??elle supporte des algorithmes d??authentification optimisés. Sa couverture atteint près de 90% du territoire dans de nombreuses villes européennes et son prix reste compétitif.

Enfin, Christian Funk rappelle aux Internautes l??importance d??installer une solution de protection de leurs systèmes, intégrant notamment un pare-feu et une filtre spécifique des applications hébergées et actives sur leurs ordinateurs en complément d??un moteur antivirus.

jeudi 11 juin 2009

Bootkit 2009

Kaspersky Lab, éditeur reconnu de solutions de sécurité informatique contre toutes les formes de menaces cybercriminelles (botnets, escroqueries, phishing, spams, etc.), publie « Bootkit 2009 », un article consacré à Backdoor.Win32.Sinowal. Rédigé par Sergey Golovanov, Senior Malware Analyst chez Kaspersky Lab, et Vyacheslav Rusakov, Responsable de l??analyse des codes malicieux les plus complexes chez Kaspersky Lab, ce rapport analyse la nouvelle modification du bootkit, considéré comme l'application malveillante la plus sophistiquée à ce jour.

Identifiée à la fin du mois de mars 2009, la nouvelle version du bootkit se propage via des sites, pornographiques ou encore qui proposent au téléchargement des applications piratées. La grande majorité des serveurs impliqués dans l'infection des utilisateurs peut être reliée d'une manière ou d'une autre à des éléments russophones : ils fonctionnent dans le cadre de « programmes de coopération », dans lesquels les propriétaires de sites travaillent avec les auteurs d'applications malveillantes.

Comme dans ses formes précédentes, le bootkit recourt à une méthode fondée sur l??infection du MBR, qui permet le chargement de son pilote avant le démarrage du système d'exploitation. Cependant, à la différence de ses versions antérieures, Backdoor.Win32.Sinowal utilise désormais une technologie plus sophistiquée, qui lui permet de dissimuler sa présence dans le système. La majorité des fonctions clés qui installent des intercepteurs avec des fonctions systèmes sont modifiées, ce qui complique sensiblement la procédure d'analyse du code malveillant.

L??activité récente du bootkit Backdoor.Win32.Sinowal démontre la nécessité d'améliorer les technologies antivirales actuelles, non seulement afin de combattre avec efficacité les tentatives d??infection des ordinateurs, mais aussi pour détecter les menaces plus complexes, capables d??intervenir à chaque niveau du système d??exploitation.

.../....

samedi 20 décembre 2008

Bootkits ?? le malware 2.0

Un nouveau défi de taille pour les logiciels anti-virus

Kaspersky Lab, éditeur mondial de solutions de sécurité informatique contre toutes les formes de cyber-menaces (cyber-escroqueries, malwares, botnet, spams, phishing, etc.) publie un article sur le danger naissant du Malware 2.0 en 2008 et sur les nouvelles armes déployées par les auteurs de virus pour le déploiement des botnets ?? les bootkits

Le développement de Malware 2.0 entraîne toute une série de problèmes pour le secteur de la lutte contre les virus. Selon nous, l'incapacité des solutions antivirus traditionnelles, basées exclusivement sur l'analyse heuristique ou l'utilisation de signatures, à lutter efficacement contre les attaques de virus, sans parler des problèmes liés au traitement des systèmes infectés, est le problème le plus important.

Le bootkit représente une véritable performance technologique ainsi qu??un défi pour le secteur de l??industrie antivirale. Il se distingue entre autres par de puissants outils de diffusion et de fonctionnement dans les botnets. Le bootkit exploite différentes méthodes pour éviter la découverte du programme malveillant au début de l'infection et tente d'infecter un maximum d'utilisateurs et d'éviter la mise hors service du réseau de zombies.

.../...

L'expression Malware 2.0, souvent utilisée dans nos articles, désigne un modèle moderne de fonctionnement d'ensembles de programmes malveillants qui est apparu vers la fin de l'année 2006. Les vers Bagle, Warezov et Zhelatin sont les précurseurs de cette catégorie et demeurent, à ce jour, les exemples les plus frappants de celle-ci.

Les principales caractéristiques de ce modèle sont les suivantes :

  • Absence d'un centre unique d'administration du réseau d'ordinateurs infectés ;
  • Résistance active face aux tentatives d'analyse du code malveillant ou de saisie du contrôle du réseau de zombies par des tiers ;
  • Diffusion massive du code malveillant sur une courte période ;
  • Application efficace des astuces d'ingénierie sociale ;
  • Utilisation de divers moyens de diffusion des programmes malveillants et abandon progressif des moyens les plus courants (courrier électronique) ;
  • Utilisation de différents modèles (et non pas d'un seul modèle universel) pour la réalisation de diverses fonctions malveillantes.

Le développement de Malware 2.0 entraîne toute une série de problèmes pour le secteur de la lutte contre les virus. Selon nous, l'incapacité des solutions antivirus traditionnelles, basées exclusivement sur l'analyse heuristique ou l'utilisation de signatures, à lutter efficacement contre les attaques de virus, sans parler des problèmes liés au traitement des systèmes infectés, est le problème le plus important.

.../...

  • Sergueï Golovanov
  • Alexander Gostev
  • Alexey Monastyrsky
Les emails sont protegés par la solution (raKoonsKy ) AntiVirus & AntiSpam Kaspersky ( http://antivirus-france.com )

iddn SARL Eur'Net - Vollore Montagne / site déclaré à la CNIL sous le n°76192
Eur'Net RCS Evreux / B 414 642 058 - Mentions Légales
Dernière mise à jour : 29/04/13