G DATA Software AG: Antivirus, Virenschutz, Virenscanner, Internet Security

G Data: Histoire des malwares

Home

Histoire des malwares

Histoire des malwares : 2006 - 2009

La démonstration d’exploits et l’infection visible des ordinateurs ne sont plus d’actualité. Les scripts Kiddies en mal de notoriétés sont remplacés par des cybercriminels dont le but est l’infection d’ordinateurs à des fins pécuniaires. Les Hackers d’autrefois se transforment en cybercriminels.




2006

Morris Worm, le premier ver Internet

Le ver blackworm se répand à travers les e-mails et les réseaux non protégés. Une fois dans l’ordinateur, blackworm est programmé pour infecter les données le 3 février 2006 (pour honorer The Day the Music Died). Il efface les fichiers de plusieurs programmes antivirus ou modifie leurs entrées dans la base de registre afin qu’ils ne puissent plus s’exécuter. Il affiche ensuite de fausses pages lors d’une recherche dans Google et sert de relai à des campagnes de spams. Au début de l’année 2006, 300 000 ordinateurs seraient infectés par ce ver. Microsoft classe ce danger comme « High ».



2007

Storm Worm, le botnet de masse

Le 19 janvier, alors qu’une tempête Kyrill s’abat sur l’Europe des spams concernant cette tempête sont diffusés en masse. Le trojan Storm Worm est dissimulé en pièce jointe. Une fois exécuté il infecte l’ordinateur et  l’intègre dans un réseau de bots. Fausses factures IKEA, Quelle et eBay seront aussi aux fils de l’année des emails porteurs de ce cheval de Troie. En septembre 2007, le botnet compte plusieurs millions d’ordinateurs. 


2008		Début janvier, Backdoor.Win32.Sinowal fait son apparition. Ce programme nuisible réécrit le MBR (Master Boot Record) pour s’insérer dans le cache du noyau de Windows XP. Cette nouvelle approche crée un nouveau type de rootkit. Au premier semestre 2008, 97 variantes de cette espèce sont en circulation. 

Le 9 juillet, un nouveau ver, appelé GetCodec se diffuse via les fichiers multimédias au format WMA/WMV. Pour infecter un ordinateur, GetCodec invite l’utilisateur à télécharger un codec depuis Internet. Le codec est un trojan qui télécharge d'autres logiciels malveillants, dont un ver qui infecte d'autres fichiers WMA/WMV. 

Un trojan a été détecté dans la station spatiale ISS. Il est y manifestement arrivé via une clé USB ou un ordinateur portable infecté, les ordinateurs de la station ISS n étant pas connectés à Internet.

En novembre 2008, les élections présidentielles américaines sont utilisées pour diffuser des logiciels malveillants. Les noms Obama et McCain apparaissent dans les lignes d'objet d'une multitude de spams renvoyant vers des sites de produits pharmaceutiques ou de logiciels malveillants. Certains noms de fichiers contenaient également le nom d'Obama : « Beat_Obama_NNN.exe » (NNN correspond à une suite de chiffres aléatoire) installe des portes dérobées de la famille PcClient. 

Novembre 2008, le vers Conficker est détecté pour la première fois. Plusieurs millions d’ordinateurs sont rapidement contaminés. Une rapidité de diffusion qui n’a jamais été observée depuis l’attaque SQL SLammer en 2003.

Le ver Koobface sévit sur les réseaux sociaux, et principalement sur Facebook. Le ver se propage en envoyant des emails aux amis du compte infecté. Une fois l’ordinateur infecté, Koobface envoie l’utilisateur sur des pages infectées dans le but de lui dérober ses données bancaires. Le ver interdit aussi l’accès aux sites des éditeurs de sécurité.


Le 5 décembre, le trojan ChromeInject infecte Firefox à travers un plug-in connu sous le nom de compagnon Grease-Monkey. Le programme répertorie les données saisies sur plus de 100 sites bancaires puis les envoie à un serveur situé en Russie.

Le 11 décembre, la Federal Trade Commission (FTC) américaine a gagné son procès contre deux fabricants de logiciels basés sur la peur (les scarewares). La vente de leurs prétendus programmes de protection leur est interdite. Ces programmes sont souvent proposés sur les sites Web, ils déterminent que l'ordinateur est infecté après une fausse analyse. Des produits tels que WinFixer, WinAntivirus, DriveCleaner, ErrorSafe et XP Antivirus ne protègent cependant pas des logiciels malveillants. Les biens des deux sociétés accusées, Innovative Marketing, Inc. et ByteHosting Internet Services, LLC, ont également été gelés.



2009

L’année Conficker

Le 6 janvier Twitter avertit : “Multiple accounts hacked. Situation stable”. Les comptes de Britney Spears et Barack Obama sont entre autres concernés. En Juin, Hacker Croll, un français de  23 ans, témoigne sur le site de Zataz avoir été l’auteur de cette attaque de social engineering. Il sera condamné en juin 2010 à 5 mois de prison avec sursis.

Le 7 janvier, de faux profils de stars sont créés sur le réseau social LinkedIn. Ils contiennent des liens qui renvoient à un faux scanner de virus ou à une version infectée par trojan de Windows Media Player 11. Victoria Beckham, Beyoncé Knowles et Salma Hayek font entre autres partie des faux profils créés.

En janvier toujours, près de 2,5 millions d’ordinateurs seraient infectés  par Conficker. L’épidémie est telle que le 12 février, Microsoft offre une prime de 250.000 dollars pour l’arrestation et la condamnation des auteurs du ver Conficker. L’éditeur déclare par la même occasion avoir travaillé en étroite collaboration avec l’ICANN et les exploitants de serveurs DNS centraux afin de limiter l’infection croissante.

Au mois de mars, la police allemande paralyse la plate-forme commerciale illégale codesoft.cc sur laquelle des trojans et des informations illégales sur le vol de données et la falsification de cartes de crédit sont proposés à la vente.
Les routeurs DSL de type Netcomm NB5 peuvent être manipulés sans mot de passe en raison d’un firmware trop vieux via l’interface Web et accès SSH à Internet. Ils constituent un réseau Botnet du nom de Psybot, dont la taille est évaluée à de 80.000 à 100.000 routeurs infectés. 

Le large intérêt des médias pour Conficker facilite les attaques de SEO Poisoning effectuées par les hackers. Les internautes qui recherchent des informations sur le ver se voient proposer dans la liste des moteurs de recherche des liens vers des sites Web infectés par des Scareware. Une fois la page affichée, un faux logiciel antivirus se lance et suggère une désinfection de l’ordinateur à la victime, moyennant finance…

Une nouvelle variante de Conficker bloque de manière ciblée l’accès à des sites Web de fabricants d’antivirus afin de compliquer l’accès aux outils de désinfection. En avril il télécharge à partir d’un serveur ukrainien le scareware «SpywareProtect2009», qui émet sur les systèmes des victimes de faux avertissements de virus. Pour éliminer les parasites détectés (et de facto non existants), l’utilisateur infecté doit payer 49,95 dollars.

Un botnet d’environ 1,9 million d’ordinateurs est découvert. Il est détenu par seulement 6 personnes qui exploitent le serveur de commande et de contrôle à partir de l’Ukraine.

En septembre, des systèmes infectés par le trojan FakeAlert.BFW dirigent l'ensemble du trafic URL sur un faux avertissement de sécurité. Cet avertissement imite celui du navigateur Firefox et encourage l'utilisateur à installer le scareware « Antivirus personnel ».

Le ver Conficker atteint les 7 millions d’ordinateurs infectés. Sa combinaison de mécanisme de propagation, de camouflage et de protection fait de lui le programme malveillant le plus performant depuis l’apparition du ver.

En octobre le ver Conficker atteint les 7 millions de victimes. Sa combinaison de mécanisme de propagation, de camouflage et de protection fait de lui le programme malveillant le plus performant depuis l’apparition du ver.

Les auteurs de Koobface arrivent pour la première fois à programmer une variante qui se comporte comme un être humain dans le réseau social Facebook : le programme malveillant enregistre des comptes, se crée un profil apparemment normal, envoie des invitations et poste même des messages sur les murs d'autres utilisateurs.

En novembre, aux États-Unis, le "Dieu du spam" comme il se surnomme lui-même, Alan Ralsky, âgé de 64 ans, est condamné à 51 mois d'emprisonnement, cinq ans de mise à l'épreuve et 250 000 dollars d'amende.