Fréquence virale de mai

Ce mois-ci, Fortinet note une baisse de 20% de la prévalence des virus par rapport au mois d’avril.
Parmi les nouveaux codes malveillants détectés :

• environ 33% étaient de chevaux de Troie (backdoors inclus),
• 33% étaient de vers réseaux (vers se propageant au travers du réseau via les failles systèmes, partages réseaux et messageries instantanées);
• 2% étaient des vers de mass mailings.

Parmi ces différentes menaces, les bots représentent une fois de plus la majorité des nouveaux codes détectés, soit environ 41%.

Changements de tendances dans les nouveaux codes détectés depuis avril

Les statistiques de mai montrent une baisse de plus de 3% du nombre de chevaux de Troie détectés (ce qui fait suite à la baisse de 20% observée en mars et avril). Ceci ramène le pourcentage total de chevaux de Troie en mai au niveau constaté avant février.
Le pourcentage de vers de mass mailings est retombé à 2%, ce qui représente le plus bas niveau enregistré depuis le début de l’année.
Les nouvelles variantes de bots connus (telles que Rbot, SdBot, AgoBot…) sont apparues avec une croissance constante depuis 2 mois, et représentent 41% de toutes les nouvelles menaces découvertes en mai – soit une augmentation de 6% depuis avril.
Il est intéressant de remarquer que la présence de l’ensemble de ces menaces est inversement proportionnelle au nombre de chacune d’entre elles : bien que les vers de mass mailings ne représentent que 2% des nouvelles menaces (il existe peu de variantes par rapport aux bots), ils représentent la menace la plus prévalente, et surtout la plus active: plus de 90% des codes malicieux interceptes par les FortiGate à travers le monde. Ceci peut s’expliquer par le fait que les chevaux de Troie et les bots sont généralement transférés via du spam mais ne se diffusent pas par eux-même, contrairement aux vers, qui se répandent rapidement, causant des alertes et de nombreux maux de tête aux administrateurs réseaux.
Une fois de plus, la plus grande partie des codes malicieux éliminés par les firewalls antivirus FortiGate se situent pour 23% aux Etats-Unis, tandis que la Corée et le Mexique se partagent la seconde place loin derrière, avec chacun 8% des menaces bloquées.

Résurgence de MyTob

En plus de la fameuse alerte Sober.P, le mois de mai a aussi été témoin de la réapparition de MyTob : plus de 30 variantes et variantes mineures sont apparues tout au long du mois. Elles comprenaient MyTob.DV, qui est apparu le 26 mai (dernier jour de collecte des données de ce rapport).
Comme ses prédécesseurs, celui-ci a la faculté de se répandre via des mass mailings grâce aux adresses récoltées chez l’hôte infecté, avec son propre moteur SMTP. Ce n’est pas une surprise que de constater qu’il contient aussi des fonctionnalités avancées de bots qui transforment l’hôte infecté en zombie, prêt à se connecter à son maître IRC et à recevoir ses ordres.

Cherchez le maître

Le serveur maître IRC de MyTob est le même depuis des mois.
Selon Guillaume Lovet, team leader de la Threat Response Team de Fortinet : On peut se poser la question de savoir pourquoi les firewalls n’ont pas été configurés pour bloquer ce serveur pirate et stopper ainsi définitivement cette menace. La réponse est simple : parce qu’il bouge constamment. C'est un exemple d'utilisation d'un service parfaitement legitime (le service DNS) a des fins malicieuses: Alors que le nom du serveur reste toujours le même, l’adresse Internet (adresse IP) pointee par ce nom change en permanence. Les zombies (les nouveaux comme les anciens) n’ont qu’à envoyer une requête au service DNS pour trouver l’adresse actuelle du maître.
Il precise par ailleurs : L'intense production de variantes est très certainement une stratégie des auteurs visant a minimiser l’impact des systèmes antivirus sur la propagation du virus.
Lorsqu’un nouveau virus apparaît, les éditeurs d'antivirus doivent créer un nouveau modèle de détection, qui laisse une fenêtre d'opportunite aux malwares pour se diffuser en toute liberté. Le but pour les auteurs de virus, c'est d'elargir cette fenetre.

Contre-mesures

La charge virale de MyTob dispose de nombreuses contre-mesures pour echapper aux systèmes antivirus.
Cela inclut le blocage d'accès au site de mise à jour, ce qui paralyse les éventuels systèmes antivirus, l'élimination des codes et les processus d'analyse de comportement (tels que des débuggeurs, analyseur de traffic réseaux, etc.)
Malheureusement, ces efforts ne sont pas vains et semblent guidés par une motivation financière : il est même possible que les auteurs de malwares aient été engagés "sur contrat" pour créer ces codes.

Sober.P : forte propagation suivie d'une période de sommeil

Comme cela a déjà été dit dans le dernier rapport viral Fortinet, début mai a été marqué par un nombre important d'apparitions de Sober.P, un mass mailer avec une stratégie de social engineering avancee.
Il a adapté le langage du message en fonction du domaine ciblé, et a synchronisé son attaque avec l'ouverture à la vente des tickets pour la Coupe du Monde FIFA. Sa propagation a été si virulente qu'il est arrivé en 24h en tête du top 10 Fortinet des virus signalés.
Sober.P est passé en “sommeil” le 10 mai, en arrêtant son activité de mass mailing. Une analyse plus précise montre qu'il est entré dans ce que l'on pourrait appeler un “mode de mise à jour”, dans lequel il a essayé de télécharger des mises à jour à partir de différents sites web.

Sober.Q : le premier mass mailer politique

Sober.Q est apparu pendant le week-end du 14 au 15 mai. Il est probablement le mass mailer le plus original depuis longtemps. Au lieu d'essayer d'infecter les systèmes, il envoie un grand nombre d'emails de propagande, dont certains ont des contenus ou renvoient vers des contenus s'apparentant au nazisme.
Ceci révèle une nouvelle utilisation du mass mailing aux effets très efficaces. Non seulement ils peuvent diffuser des bots dans le but de créer un réseau malicieux, mais ils peuvent aussi être des vecteurs de propagande a grande échelle. Il semble qu'aujourd'hui Sober.Q ait cessé toute activité (depuis le 26 mai) et soit repassé en mode sommeil.

Non aux vieux virus obsolètes !

Vous en cauchemardiez, Sober l'a fait. Comme décrit ci-dessus, Sober.P (et plus tard Sober.Q) s’est mis à jour à une date précise. En général, une telle stratégie a un succès limité car il est très facile pour les analystes de virus de trouver l'endroit où le malware va chercher sa mise à jour, pour pouvoir soit lancer une alerte, soit bloquer la cible, voire les deux.
Mais l'auteur de Sober a franchit une étape supplémentaire : pour se prémunir, Sober a pris les mesures suivantes :

• il ne se fie pas à la date du système interne pour son calendrier. A la place, il lance des requêtes à une liste cryptée de serveurs Network Time Protocol (NTP) sur Internet, qui sont des services officiels en ligne.
• il rend difficile la détection du prochain lieu de téléchargement, en créant les adresses URL au moment venu, via un algorithme complexe. Seule la partie du domaine des URL figure dans le code initial...
• ... mais ces domaines sont ceux de sociétés d'hébergement publiques, et ce ne serait pas une option viable de bloquer tous les domaines avec le firewall.

Les conseils pour les utilisateurs finaux restent les mêmes. Guillaume Lovet recommande de toujours s'assurer que vous ayez la protection antivirale la plus récente, et que les mises à jour de votre système d'exploitation soient déployées; ne cliquez pas sur les pièces-jointes.
La nature des menaces rapportées ce mois-ci démontre les avantages des solutions de sécurité intégrées : par exemple, un logiciel antivirus pourra protéger votre réseau contre Sober.P, mais à moins qu'il n'y ait aussi une solution antispam mise en place, il ne vous protégera pas contre le spam de Sober.Q, et ne vous empêchera pas d'être infecté par un nouveau vers réseau utilisant des vulnérabilités déjà connues pour se propager (comme cela est toujours le cas) une fois de plus, à moins que vous n'ayez un système de prévention d'intrusion (IPS).
Pour plus d'informations, visitez le centre FortiGuard de Fortinet.