Des millions de bots et de keyloggers désinfectés par Microsoft au premier semestre 2006

Par Ludovic Blin, secuobs.com
Le 24/11/2006

---

Résumé : L’éditeur américain a publié sur son site web et lors de la RSA Conférence Europe sa première étude semestrielle sur les données recueillies par ses outils de sécurité. - Lire l'article



L’éditeur américain Microsoft a publié sur le web (en version PDF) et lors de la RSA Conférence Europe (en version "hardcover") sa première étude, assez synthétique, tirée des données collectées par le programme de lutte contre les codes malveillants Windows Defender et ses nouveaux services de sécurité. Les chercheurs indiquent se baser sur des données issues d’une base de plusieurs centaines de millions d’utilisateurs. Ainsi, parmi les sources de données utilisées pour ce rapport, on peut compter les utilisateurs du Windows Malicious Software Removal Tool (290 millions d’ordinateurs), ceux de Windows Defender Beta 2 (14 millions), ainsi que les utilisateurs du scanner gratuit OneCare Safety Scanner (7 millions de scans effectués) et les clients (payants) du service OneCare dont le nombre n’est pas spécifié.

Les chercheurs ont tout d’abord classé les familles de malware par catégories et par nombre de variantes différentes apparues. La catégorie la plus représentée est les backdoor (qui comprend les bots), suivie des keyloggers, et autres voleurs de mots de passe, puis des Droppers (permettant d’installer des spyware et adwares) et enfin des vers.

La famille la plus active est Win32/Rbot, qui compte 16736 variantes, suivie par Win32/Banker (un voleur de mot de passes bancaires) avec 15782, et Win32/Hupigon avec 8646 variantes différentes. Les chercheurs expliquent l’importance de cette dernière famille par la disponibilité d’une application payante permettant de générer des variantes de ce malware (qui assure des fonctions de backdoor et keylogger, et permet d’installer des applications tierces).

Les outils de Microsoft ont supprimé plus de 10 millions de codes malveillants durant le premier semestre 2006 sur plus de 4 millions d’ordinateurs. Un chiffre à comparer avec les 1,6 milliards d’utilisations du programme. Lors du second semestre 2005, 3.2 millions d’ordinateurs ont été nettoyé. La principale catégorie de malware est celle des backdoors, encore une fois, qui représente 50% des codes malveillants éradiqués sur le premier semestre de cette année et 68% lors du second semestre de l’année dernière. Le rapport note également l’importance des réseaux peer-to-peer comme mode de transmission de malware, puisque 17% des machines nettoyées contenaient au moins un ver P2P.

En ce qui concerne les rootkit, il semble que leur importance ait décliné dans l’étude de Microsoft, passant de 17% à 8%. Si certains rootkit ont en effet fait beaucoup parlé d’eux au niveau médiatique, ils n’ont été que peu répandus car utilisés essentiellement pour des attaques ciblées.

Les familles de malware les plus désinfectées par les outils de l’éditeur sont, dans l’ordre, Rbot (2,5 millions de désinfections sur 1,2 millions de machines), Parite (1,8 millions), Alcan (800 000), Wukill (700 000), et Sdbot (environ 600 000). On constatera aisément que le nombre de bots disponibles pour les cybercriminels est particulièrement important, certaines familles ayant infecté plus d’un million de systèmes. Par ailleurs on remarquera le bon classement du rootkit de Sony, qui avec plus de 110 000 ordinateurs infectés, rafle la 9ème place.


lien