Exploitation de vulnérabilités : la principale arme des virus cette année
A l’instar du féroce Klez.I, ce sont les virus exploitant les vulnérabilités d’applications qui ont causé le plus de problèmes cette année. Parallèlement, l’usage généralisé de l’ « ingénierie sociale » pour inciter les utilisateurs à exécuter les fichiers infectés ou à ouvrir des messages portant des virus demeure un facteur primordial.
La principale raison de la virulence de Klez.I, qui s’est hissé au hit-parade des virus les plus fréquemments détectés par Panda ActiveScan (l’antivirus gratuit en ligne de Panda Software), est sa capacité à exploiter une vulnérabilité connue dans les versions 5.01 et 5.5 d’Internet Explorer. En exploitant cette faille, le code du virus peut s’exécuter automatiquement, simplement lorsque le message qui le porte est visionné dans le volet de prévisualisation des messages. Les créateurs de virus n’ont pas tardé à reproduire cette action de succès, comme on le voit avec les récents Frethem.J et Frethem.K qui exploitent la même vulnérabilité.
En plus de l’exploitation des failles de sécurité existantes, les codes malveillants apparus cette année ont aussi pris avantage de failles nouvellement découvertes. Un exemple en est Unix/Scalper.A, qui exploite une faille dans les serveurs Apache (permettant à un code arbitraire de s’exécuter). Par conséquent, on peut raisonnablement s’attendre à l’émergence prochaine d’un virus exploitant un problème détecté dans Winamp (qui pourrait permettre à un fichier MP3 d’exécuter un code viral).
Nouvelles techniques d’infection
Jour après jour, les types de virus et les techniques évoluent et multiplient les menaces aux utilisateurs, comme ce fut le cas avec bon nombre de codes malveillants apparus cette année. Un échantillon de ces nouveaux virus, illustrant le développement continuel des techniques d’infection, inclut :
SWF/LMF-926, le premier virus à infecter des fichiers Shockwave Flash (fichiers avec une extension “.SWF”).
W32/Donut, le premier code malveillant à infecter des fichiers de la plateforme .NET de Microsoft.
Dadinu, le premier ver de messagerie à infecter des fichiers avec une extension “.cpl”.
Kazoa, conçu pour se propager par l’intermédiaire de l’application populaire Kazaa de partage de fichiers.
Le hameçon, la ligne et la torpille
Au cours des derniers mois, les écrivains de virus ont fait preuve de ruse, de subtilité et de persuasion pour tromper les utilisateurs et répandre les infections virales, produisant de nombreux codes malveillants, parmi lesquels :
Freedesktop, qui se déguise en adresse web, contenue dans un fichier nommé “www.freedesktopthemes.com”. Il tente de faire croire à l’utilisateur qu’il peut télécharger des thèmes de bureau en cliquant sur ce fichier. Mais cette action déclenche l’envoi de Freedesktop à toutes les entrées qu’il trouve dans les carnets d’adresse de Windows et des logiciels de messagerie.
WorldCup (VBS/Chick.F), qui utilise comme appât les finales de football en Corée et au Japon, essayant de se faire passer pour un fichier avec les résultats du match.
W32/Gibe, qui se répand dans un message e-mail essayant de se faire passer pour un correctif de sécurité de Microsoft.
W32/Petlil.A, qui se répand dans un message utilisant une image pornographique comme appât pour attirer l’attention des utilisateurs.
Kazoa, qui utilise le nom d’un jeu informatique, d’un fichier de film ou de musique pour convaincre les utilisateurs de l’exécuter.
Le comportement des codes malveillants apparus cette année démontre encore la nécessité d’adopter des mesures préventives appropriées, comme l’installation d’un antivirus efficace, et la prudence dans le traitement des messages e-mail reçus. Il reflète aussi la nécessité pour les utilisateurs d’installer les correctifs que les développeurs de logiciels mettent régulièrement à disposition pour réparer les failles détectées dans leurs programmes. C’est ainsi que les applications se trouveront protégées contre les attaques de virus.
A propos de Panda Software
Panda Software (http://www.pandasoftware.com) est un développeur international de premier plan de logiciels antivirus pour tous types de clients : grandes organisations, petites et moyennes entreprises, et utilisateurs domestiques. Sa technologie de pointe, 100% propriétaire, s’est vue décerner les récompenses et certifications des institutions de sécurité informatique les plus largement estimées. Le dévouement de Panda Software au service client et le concept de protection des systèmes informatiques comme un contrat d’Assurance 24h-365j, plutôt que comme un simple produit logiciel, a révolutionné l’industrie de la sécurité informatique. La qualité des produits de Panda Software a été reconnue par les principaux comités de l’industrie, parmi lesquels ICSA Labs et Checkmark.
Pour plus d’informations :
Panda Software
François Schächter
fschachter@pandasoftware.com.fr
Tél. : 01 30 06 15 15
Informations entreprise
