Selon de nouvelles données de Google.
Dans un rapport publié aujourd’hui, Google a déclaré qu’entre janvier 2009 et fin janvier 2010, son infrastructure de détection de logiciels malveillants a trouvé quelque 11 000 pages Web malveillantes ou piratées qui tentaient d’imposer de faux antivirus aux visiteurs. Le géant de la recherche a découvert qu’à mesure que 2009 avançait, les colporteurs de scarewares augmentaient considérablement à la fois le nombre de souches uniques de logiciels malveillants conçus pour installer de faux antivirus ainsi que la fréquence à laquelle ils déployaient des sites piratés ou malveillants configurés pour imposer le logiciel aux visiteurs. .
Les fausses attaques antivirus utilisent des fenêtres contextuelles et des vidéos trompeuses pour faire peur aux utilisateurs en leur faisant croire que leurs ordinateurs sont infectés et offrent un téléchargement gratuit pour rechercher les logiciels malveillants. Les faux programmes d’analyse prétendent alors trouver des tas de fichiers infectés, et les victimes qui tombent dans le piège sont souvent obligées d’enregistrer le faux logiciel antivirus moyennant des frais afin de faire disparaître les avertissements incessants de logiciels malveillants. Pire encore, les faux programmes antivirus sont souvent associés à d’autres logiciels malveillants. De plus, les victimes finissent par transmettre leurs informations de carte de crédit ou de débit aux personnes les plus susceptibles de les frauder.
Google a découvert que les malfaiteurs diffusant de faux antivirus ont, au cours des six derniers mois, pris des mesures agressives pour échapper aux deux contre-mesures les plus courantes contre les scarewares : les mises à jour quotidiennes fournies par les fabricants d’antivirus légitimes conçues pour détecter les installateurs de scarewares ; et des programmes comme ceux de Google qui analysent des millions de pages Web à la recherche de logiciels malveillants et signalent les résultats de recherche qui mènent à des logiciels malveillants.
Le système automatisé de Google a analysé chaque page potentiellement malveillante en temps réel à l’aide d’un certain nombre de moteurs antivirus sous licence, et tous les fichiers ont été à nouveau analysés à la fin de l’étude. À partir de juin 2009, Google a enregistré une augmentation massive du nombre de faux programmes d’installation antivirus uniques, un pic qui, selon les experts en sécurité de Google, était une tentative de submerger la capacité des programmes antivirus légitimes à détecter les programmes. En effet, la société a découvert qu’au cours de cette période, le nombre de programmes d’installation uniques est passé d’une moyenne de 300 à 1 462 par jour, entraînant une chute du taux de détection en dessous de 20 %.
« Nous avons constaté que si vous avez installé une protection antivirus sur votre ordinateur, mais que le [malware detection] les signatures correspondantes sont obsolètes de quelques jours seulement, cela peut réduire considérablement les taux de détection », a déclaré Niels Provos, ingénieur logiciel principal pour le groupe d’infrastructure de Google. « Il s’avère que plus vous vous rapprochez de maintenant, les programmes antivirus commerciaux faisaient un travail bien pire pour détecter les pages qui hébergeaient de fausses charges utiles antivirus. »
De plus, Google a déterminé que la durée de vie moyenne des sites qui redirigent les utilisateurs vers des pages Web qui tentent d’installer des scarewares a diminué au fil du temps, la durée de vie médiane passant en dessous de 100 heures vers avril 2009, en dessous de 10 heures vers septembre 2009 et en dessous d’une heure depuis. janvier 2010.
« Ces tendances pointent vers la rotation de domaine, une technique qui permet aux attaquants de diriger le trafic vers un nombre fixe de [Internet] adresses via plusieurs domaines », a déclaré la société dans son rapport. « Cela est généralement accompli en configurant un certain nombre de domaines de destination, soit en tant que sites dédiés, soit en infectant des sites légitimes, qui redirigent les navigateurs vers un intermédiaire sous le contrôle de l’attaquant. L’intermédiaire est configuré pour rediriger le trafic vers un ensemble de domaines actifs, qui pointent vers de faux serveurs de distribution d’antivirus.
Provos a déclaré que la technique de rotation de domaine semble être une extension d’une « course aux armements contre les logiciels malveillants » conçue pour échapper aux techniques de détection de logiciels malveillants basées sur le domaine.
« En fait, nous avons remarqué une corrélation distincte entre notre capacité améliorée à détecter les faux antivirus et la durée de vie observée de chaque domaine », a déclaré Provos.
Dans un rapport séparé sorti lundi, Microsoft a déclaré que ses produits de sécurité avaient nettoyé les faux logiciels malveillants liés aux antivirus de 7,8 millions d’ordinateurs au second semestre 2009, contre 5,3 millions d’ordinateurs au cours des six premiers mois de l’année, soit une augmentation de 46,5 %.
Une copie du rapport de Google est disponible ici (PDF).
Mise à jour, 16 h 47 HE: Entreprise de sécurité Californie est rapports que le Storm Worm semble s’être réveillé. Selon CA, il a été découvert groupé et distribué par le téléchargeur de chevaux de Troie avec les logiciels malveillants Win32/FakeAV ou Rouge Antivirus.