Il est possible que le navigateur Web actuellement utilisé n'affiche pas ce site correctement.

TrendSecure fonctionne au mieux lorsqu’il est ouvert avec la dernière version de Microsoft Internet Explorer ou Mozilla Firefox .

Première ligne de défense

La menace la plus récente : le ver SOHANAD

Ces dernières semaines, le ver de messagerie instantanée WORM_SOHANAD a évolué en une grande famille de programmes malveillants. Apparu pour la première fois sous la forme d'un ver se propageant via des messages instantanés, SOHANAD a fait du chemin pour fonder une véritable famille qui regroupe aujourd'hui d'autres composants, chacun d'entre eux jouant un rôle dans l'attaque générale.

Les premières variantes de SOHANAD ont pris pour cible le secteur informatique vietnamien. Cependant, les variantes les plus récentes ne s'attaquent plus à un secteur vietnamien précis via des messages instantanés ; elles sont de plus en plus coordonnées à mesure qu'elles se développent.

Le 13 septembre, la première attaque TROJ_AGENT.EVJ a eu lieu via un message instantané stipulant « Votons pour Mai Phuong Thuy pour le prochain concours Miss Monde ». Le 3 octobre, le premier ver SOHANAD a été découvert alors qu'il se répandait sur Yahoo! Messenger. Il utilisait le message « dernier cliché de notre prochaine Miss Monde 2006. » En termes de charge virale, WORM_SOHANAD.A était identique à TROJ_AGENT.EVJ. Il a modifié la page d'accueil du navigateur Internet Explorer (IE) de l'utilisateur ainsi que le registre pour empêcher l'utilisateur de revenir à sa page d'accueil préférée. Il a aussi désactivé l'éditeur du Registre et le gestionnaire de tâches et modifié les paramètres de Yahoo! Messenger de sorte que les utilisateurs affectés accèdent à un site Web malveillant en exécutant des programmes Yahoo! ciblés.

Le 4 octobre, WORM_SOHANAD.B, la première variante de SOHANAD, a été détectée. Elle se propageait aussi via Yahoo! Messenger mais utilisait également d'autres applications de messagerie instantanée populaires telles que AOL Instant Messenger et Windows Live Messenger. D'autres variantes lui ont rapidement succédé. Le 23 octobre, des messages de spam contenant un lien ont été publipostés via messagerie instantanée. Le lien dirigeait l'utilisateur vers un site Web hébergeant un script. Le script, identifié sous le nom de VBS_ADODB.AE, téléchargeait une copie de WORM_SOHANAD.I sur le système de l'utilisateur. Un autre script, JS_WONKA.N, hébergé sur un autre site Web, a été découvert peu de temps après. Il téléchargeait lui aussi WORM_SOHANAD.I.

Utilisant des scripts pour faciliter sa propagation, WORM_SOHANAD.I constitue une opération minutieusement planifiée et coordonnée, caractéristique des attaques ciblées. La stratégie de ces attaques est d'utiliser une approche à plusieurs composants pour provoquer le plus de dommages possible.

Des échantillons suivants de WORM_SOHANAD.I ont exploité la faille de la fonction Composants MDAC pour accéder à un site Web hébergeant JS_WONKA.N, un fichier JavaScript. JavaScript a alors téléchargé une copie du ver sur le système, achevant ainsi le cycle d'infection. La dernière variante, WORM_SOHANAD.J, télécharge des fichiers, y compris sa propre copie et un programme de téléchargement de chevaux de Troie.

À cause de l'utilisation de programmes de téléchargement de chevaux de Troie dans les attaques de spam de masse, les produits antivirus ont de grandes difficultés à détecter la présence d'une attaque malveillante. L'équipe de traitement des incidents de Trend Micro appelle ce type d'attaque « attaque smashée ». Elle ne se répand pas, mais met en œuvre sa routine de téléchargement et joue ainsi son rôle dans l'opération concertée.

Grâce à sa concentration sur un secteur informatique ciblé, à la nature coordonnée de son opération et à l'utilisation de programmes de téléchargement, SOHANAD est très vite passé du statut de ver de messagerie instantanée courant à celui de programme malveillant le plus marquant du mois. Avec aujourd'hui seulement neuf variantes et une poignée de composants, il a le potentiel pour évoluer vers une attaque ciblée et généralisée. SOHANAD n'a plus qu'à frapper pour réaliser des bénéfices financiers. Avec la vitesse à laquelle il s'est développé et son recours aux programmes de téléchargement, ce ver fera sans doute parler de lui dans un futur proche.