+++ Les joueurs toujours plus dans la ligne de mire des cybergroupes

Le nombre de fichiers P2P pour jeux PC augmente à une vitesse effrayante

G DATA Security Labs analyse depuis le 3ème trimestre 2007 les codes nuisibles présents dans les correctifs, les Wallhacks, les solutionneurs et autres fichiers de jeu des vingt premiers jeux pour ordinateur PC.

Les joueurs sont toujours plus dans la ligne de mire des cyberdélinquants. Les bourses d'échange P2P, où les criminels introduisent clandestinement des fichiers préparés, sont un des moyens les plus efficaces. Les joueurs recherchent volontiers des fichiers de solutions ou autres extensions pour jeux PC. Les chiffres des analyses montrent que, même si une légère baisse est enregistrée, le nombre de fichiers infectés se trouve, avec 63,7 % pour le deuxième trimestre 2008, à un niveau extrêmement élevé. Parallèlement aux bourses d'échange P2P, les jeux en ligne eux-mêmes constituent une porte d’entrée pour les codes nuisibles. Nombreux sont les joueurs qui désactivent leur pare-feu le temps de la session de jeu ou qui n’équipent leur ordinateur d’aucun ensemble de sécurité Internet.



 + Groupe de joueurs en ligne ciblés

 Les joueurs sur ordinateur PC disposent de tout ce qui fait s'emballer le coeur des cybercriminels : des ordinateurs PC de pointe, de longues heures en ligne, des connexions ADSL à haute vitesse et souvent, des solutions de sécurité désactivées ou des ensembles de sécurité qui ne sont pas à jour.



+ Développement des codes nuisibles dans les bourses d'échange P2P au cours du deuxième trimestre 2008 :



Somme de contrôle : 1 000 fichiers de jeu pour les vingt premiers jeux pour ordinateur PC dans les classements de ventes



Infections : 637 échantillons sur 1 000 infectés par des logiciels malveillants

Pourcentage :  63,7 % des solutionneurs, correctifs, Wallhacks et autres fichiers de jeu sont préparés avec des logiciels malveillants.



+++ Cinq principaux logiciels malveillants dans les fichiers de jeu des bourses d'échange P2P pour les vingt premiers jeux :



1. 32,6 % outil de téléchargement de chevaux de Troie Win32.Bagle.qv

2. 15,1 % ver P2P Win32.P2PAdware.a

3. 9,3 % ver P2P Win32.Padonak.b

4. 8,3 % injecteur de chevaux de Troie Win32.Peerad.a

5. 3,1 % ver P2P Win32.Kapucen.b



+++ Évolution au cours des douze derniers mois :

3ème trimestre 2007 : 30 %

4ème trimestre 2007 : 53 %

1er trimestre 2008 : 65 %

2ème trimestre 2008 : 63,7 %





+++ Explications relatives aux virus trouvés dans les bourses d'échange P2P :

1. Outil de téléchargement de chevaux de Troie Win32.Bagle.qv

- Forme P2P du ver Bagle. Il charge d'autres logiciels malveillants par le biais notamment d'un collecteur d'adresses électroniques et d'une porte dérobée (réseaux de robots).



2. Ver P2P Win32.P2PAdware.a

- Affiche des messages erronés, simule le cas échéant une attaque de virus sur l'ordinateur et propose d'analyser l'ordinateur avec un faux logiciel anti-logiciels espions. L'utilisateur est ensuite redirigé vers une page qui propose d'acheter la version complète et soutire les données de carte de crédit de l'utilisateur.



3. Ver P2P Win32.Padonak.b

- S'installe sur la machine attaquée en tant que service qui démarre à chaque lancement du système. Recherche ensuite des répertoires de programmes de partage de fichiers sur l'ordinateur et se copie sous un nouveau nom, en tant qu'archive ZIP ou RAR, dans ces répertoires pour se diffuser encore davantage.



4. Injecteur de chevaux de Troie Win32.Peerad.a

- Charge à partir du serveur d'un auteur de logiciels malveillants d'autres fichiers et les installe sur le système.

Contacte le serveur d'affichage et génère ainsi des clics qui rapportent de l'argent à l'auteur.



5. Ver P2P Win32.Kapucen.b

- S'installe sur la machine attaquée en tant que service qui démarre à chaque lancement du système. Recherche ensuite des répertoires de programmes de partage de fichiers sur l'ordinateur et se copie sous un nouveau nom, en tant qu'archive ZIP ou RAR, dans ces répertoires pour se diffuser encore davantage.







++++++++++++++++++++++++++++++++



+++ Étude des virus pour juin 2008. Pour plus d'informations au sujet du premier semestre 2008, reportez-vous au compte-rendu semestriel 2008 de G DATA sur les logiciels malveillants.



Nombre de nouveaux virus en juin 2008 : 65529

Nombre total de nouveaux virus au cours du premier semestre 2008 : 318.261



++ Juin 2008

Quelles catégories de virus sont les plus répandues ?



Numéro 1 : les portes dérobées avec 22,4 %



Explication : les Backdoors ouvrent une porte dérobée au niveau de l'ordinateur infecté. L'ordinateur peut ainsi être commandé à distance par le pirate. La plupart du temps, d'autres logiciels peuvent être installés et l'ordinateur peut être intégré à un réseau de robots, avec d'autres ordinateurs PC zombies.



Numéro 2 : les chevaux de Troie avec 19,7 %



Explication : l'expression "cheval de Troie", référence historique, décrit un programme qui fait croire à l'utilisateur qu'il possède une fonction particulière normale. Mais les chevaux de Troie contiennent en plus un segment caché, qui leur permet de pénétrer dans les ordinateurs infectés et leur donne un accès presque total au système, sans que l'utilisateur le remarque.



Numéro 3 : les outils de téléchargement de chevaux de Troie avec 16,7 %



Explication : les outils de chargement et les injecteurs ont pour mission de charger ou de copier un fichier sur l'ordinateur infecté. Pour ce faire, ils essaient souvent d'amoindrir les paramètres de sécurité du système.



Numéro 4 : les programmes PSW de chevaux de Troie avec 13,6 %



Explication : cette sous-catégorie de chevaux de Troie recherche les mots de passe enregistrés sur le système attaqué et les transmet au pirate.



Numéro 5 : les logiciels publicitaires avec 7,1 %



Explication : les logiciels publicitaires enregistrent les activités et les processus d'un ordinateur (habitudes de navigation, par exemple). Lorsque l'occasion s'y prête, des messages publicitaires sont alors affichés. Ou les résultats des recherches sont manipulés.





++ Familles de virus les plus actives en juin 2008 :



Numéro 1 : Hupigon           9,2 %

La forme d'origine, Hupigon.a, s'installe sur le système attaqué en tant que service de manière à ce que le virus soit exécuté à chaque

démarrage du système. Le registre est également manipulé de manière à ce que, lorsque des fichiers exécutables sont activés

ou des fichiers texte sont ouverts, le virus soit exécuté en arrière-plan, sans que l'utilisateur le sache. Sur le système attaqué,

le port UDP 8310, ainsi que différents ports TCP sélectionnés de manière aléatoire, sont ouverts, ce qui permet au pirate d'accéder

à l'ordinateur attaqué.



Numéro 2 : jeux en ligne              8,3 %



La famille des chevaux de Troie du type "jeux en ligne" regroupe toutes les variantes qui volent les données de compte des jeux en ligne

installés sur l'ordinateur et les envoient au pirate. Il s'agit généralement de MMORPG

(jeux de rôles en ligne à grand nombre de joueurs), tels que World of Warcraft. En effet, les données de compte obtenues

ou des équipements, tels que des épées, etc. peuvent se vendre à bon prix au marché noir.



Numéro 3 : Obfuscated     3,6 %

Après exécution, les représentants de la famille Obfuscated affichent de faux messages d'erreur sur l'ordinateur, qui informent l'utilisateur

que son système est défectueux et que son fonctionnement peut être rétabli grâce à un programme de réparation, que l'utilisateur peut obtenir

contre paiement.



Numéro 4 : Magania                       3,3 %

La famille des chevaux de Troie Magania inclut une multitude de virus spécialisés dans le vol des données de compte des jeux en ligne

du fabricant de logiciels taïwanais Gamania. Après infection, le virus se mêle à la connexion Internet

et peut ainsi lire les communications entre l'ordinateur attaqué et le serveur de jeu.



Numéro 5 : Virtumonde      2,7 %

La famille Virtumonde représente les logiciels publicitaires. Lors du surf sur Internet, ils affichent des publicités, notamment pour de faux

produits anti-logiciels espions. Ils font miroiter à la victime une analyse anti-virus de son ordinateur. Pour supprimer les prétendus virus,

l'utilisateur est invité à acquérir la version complète sur un site Web et à fournir les

données relatives à sa carte de crédit.