Une approche alternative à la classification des objets détectés
Pour identifier les tendances au sein de l’évolution des malwares, Kaspersky Lab utilise également un système de classification alternatif.
Les nouvelles menaces continuent d’apparaitre et les arnaques efficaces continuent d’évoluer. C’est pour cela qu’il est souvent nécessaire d’identifier des sous-catégories parmi les objets détectés qui représentent les tendances les plus importantes et les plus menaçantes dans l’évolution des malwares.
L’approche de classification pour les virus et les vers décrite ci-dessus se base sur les méthodes de propagation utilisées, alors que d’autres logiciels malveillants sont classés selon les actions qu’ils réalisent. Néanmoins, ces caractéristiques ne sont souvent pas suffisantes pour que les analystes puissent identifier une tendance particulière de l’évolution des malwares, et c’est pourquoi des facteurs additionnels sont également utilisés pour classifier les objets. Cette approche alternative aide à identifier les comportements requis à partir d’une variété importante d’objets détectés et de les regrouper en catégories.
Kaspersky Lab et bien d’autres fournisseurs d’antivirus utilisent les catégories suivantes pour désigner les tendances les plus importantes, persistantes et menaçantes :
Ces catégories sont expliquées ci-dessous.
Les Crimewares
Les crimewares sont des logiciels malveillants conçus spécifiquement pour commettre des crimes financiers.
Les utilisateurs malveillants ont écrit des centaines de logiciels différents qui font partie de cette catégorie. Il peut s’agir de logiciels qui surveillent les connections à des systèmes bancaires en guettant l’ouverture de ce type de fenêtre sur l’écran afin d’intercepter les données confidentielles qui sont rentrées dans la fenêtre, ou de logiciels qui copient les contenus du presse-papier quand une connexion est établie avec un système de paiement en ligne. Dans ce cas, l’utilisateur malveillant n’a pas besoin de faire grand-chose – dans de nombreux cas, les utilisateurs ne rentrent pas leur mot de passe manuellement dans la fenêtre de connexion mais le copie en utilisant le presse-papier depuis un autre endroit où le mot de passe a été stocké.
L’imagination des cybercriminels est sans limite et ils trouvent des manières toujours plus sophistiquées d’accéder aux comptes des utilisateurs.
Des exemples de ce type de logiciels malveillants sont par exemple Trojan-Spy.Win32.Goldun et Trojan-Spy.Win32.Webmoner et bien d’autres y compris tous les logiciels Trojan-Banker.
Trojan-Banker et Trojan-Spy sont les comportements les plus courants dans la catégorie des crimewares. Néanmoins, selon le graphique nº2 et les règles de classification des objets multifonctions détectés, les comportements suivants disposent également de fonctions qui peuvent être utilisées pour commettre des crimes financiers (bien qu’ils soient beaucoup moins utilisés que Trojan-Banker ou Trojan-Spy.) : les chevaux de Troie, les backdoors, les virus, les vers de messagerie instantanée, les vers de réseaux de partage de fichiers, les vers IRC, les vers, les vers de courriers électroniques, et les vers Internet.
Les crimewares sont une sous-catégorie de la catégorie des malwares et il se peut qu’elle chevauche d’autres sous-catégories/catégories de programmes malveillants.
Les spywares
Les spywares sont des logiciels malveillants utilisés pour surveiller les actions des utilisateurs et/ou collecter leurs données à leur insu.
Cela inclut les enregistreurs de frappes qui enregistrent toutes les touches que l’utilisateur presse dans un fichier qui sera envoyé à l’utilisateur malveillant ou les logiciels qui collectent les adresses e-mail des ordinateurs à l’insu des utilisateurs avant d’envoyer ces adresses à des spammeurs, etc.
Les exemples de spywares incluent Trojan-Spy.Win32.Keylogger, Trojan-PSW.Win32.PdPinch et bien d’autres. Les logiciels incluant les comportements Trojan-Spy et Trojan-PSW sont aussi considérés comme des spywares et c’est également le cas des logiciels classés comme Trojan-GameThief, Trojan-IM, Trojan-Mailfinder, Trojan-Banker et Trojan-Notifier.
Bien que Trojan-Banker soit considéré comme un crimeware, il pourrait également être placé dans la catégorie des spywares car ce type de logiciel collecte des données sur l’utilisateur. Dans ce cas, nous nous retrouvons avec un chevauchement des catégories crimewares et spywares, ce qui est assez courant.
Trojan-Notifier est également un spyware car il informe secrètement son » maitre » quand l’ordinateur d’une victime se connecte à un réseau.
Selon les règles de classification des objets multifonctions détectés, les spyware peuvent également être des logiciels présentant les comportements mentionnés ci-dessus, c’est-à-dire Trojan, porte dérobée, virus, vers de messagerie instantanée, vers de réseaux de partage de fichiers, vers IRC, vers, vers de courrier électronique et vers Internet.
Note : contrairement à de nombreuses entreprises antivirus, Kaspersky Lab n’inclut par les logiciels adwares dans la catégorie spywares, même si les adwares sont utilisés pour collecter des données dans le cadre d’études de marketing. Pour Kaspersky Lab, ces types de logiciels malveillants ne sont pas des spywares, car ils collectent des données sur l’utilisateur avec le consentement de celui-ci. Les problèmes surgissent quand l’utilisateur ne lit pas correctement les conditions d’utilisation, dans lesquelles des permissions d’utilisation de ses données sont souvent inscrites de manière implicite. Naturellement, les vendeurs de ces types de logiciels rédigent les conditions d’utilisation ainsi de manière délibérée, et techniquement, l’utilisateur aura été averti que des données seront collectées.
N’importe quels logiciels malveillants qui réalisent des actions appartenant à la catégorie des spywares sont définis comme malveillants par Kaspersky Lab et sont placés dans la catégorie des malwares (et non pas des adwares/riskwares).
Les ransomwares
Les ransomwares sont des programmes malveillants qui bloquent l’accès aux données ou perturbent les performances de l’ordinateur. Ceux-ci sont diffusés sans le consentement de l’utilisateur : de tels programmes sont utilisés par les cybercriminels afin de demander une rançon.
Parmi les ransomwares, on trouve notamment la famille des Trojan-Ransom.Win32.Gpcode et des Trojan-Ransom.Win32.Krotten. Gpcode chiffre les fichiers et cible particulièrement les données les plus valorisées par les utilisateurs (documents, bases de données, etc.), pour ensuite afficher un message donnant des instructions indiquant qui contacter pour restaurer les données. Krotten modifie le système de registre rendant l’ordinateur inutilisable. Les performances de l’ordinateur sont restaurées une fois la « rançon » payée.
Les ransomwares sont avant tout des logiciels dotés d’un comportement de type Trojan-Ransom, mais selon les règles de classification des objets multifonctions détectés, les logiciels comportant les comportements dangereux suivants peuvent également être considérés comme ransomwares : chevaux de Troie, portes dérobées, virus, vers de messagerie instantanée, vers de réseaux de partage de fichiers, vers IRC, vers, vers de courrier électronique et vers Internet.
Clients bots
Les clients bots sont des logiciels utilisés pour rassembler les ordinateurs infectés dans un botnet (réseaux bot ou réseaux zombies). Cela donne aux utilisateurs malveillants un contrôle centralisé sur toutes les machines infectées sans que les utilisateurs ne le sachent. Par exemple, les botnets peuvent être créés pour envoyer des courriers indésirables en masse et conduire des attaques DoS.
Cette catégorie est avant tout composée de logiciels présentant un comportement de type backdoor mais selon les règles de classification des objets multifonctions détectés, les programmes qui présentent les comportements dangereux suivants peuvent également faire partie de cette catégorie : virus, vers de messagerie instantanée, vers de réseaux de partage de fichiers, vers IRC, vers, vers de messagerie électronique et vers Internet. D’ailleurs, les vers disposent souvent d’une fonctionnalité qui permet de rassembler les ordinateurs dans un botnet.