|
Le 3 février 2006, NYXEM, également connus sous ses alias :
- CME-24,
- Win32.Blackmal.F [Computer Associates],
- Email-Worm.Win32.Nyxem.e [F-Secure],
- Email-Worm.Win32.Nyxem.e [Kaspersky],
- W32/MyWife.d@MM [McAfee],
- W32/MyWife.d@MM!M24 [McAfee],
- Win32/Mywife.E@mm [Microsoft],
- W32/Small.KI@mm [Norman],
- Tearec.A [Panda Software],
- W32/Nyxem-D [Sophos],
- WORM_GREW.{A, B} [Trend Micro]
devint célèbre en détruisant des fichiers informatiques dans de nombreux ordinateurs à travers le monde.
CASES avait lancé une alerte à l’avance et avait abordé les moyens de protection et d'éradication de ce programme malicieux. Il s'avère que les alertes publiées dans les médias et les campagnes de sensibilisation des utilisateurs à ce nouveau ver destructeur ont permis de limiter sa propagation. Bien que NYXEM ne fut pas aussi actif que SOBER et n’infectant pas autant de machine que celui-ci, CAIDA.org estime que, au final, NYXEM aura infecté entre 500 000 et 1 000 000 machines à travers le monde. Cet article dresse un premier bilan de l'attaque de NYXEM une semaine après son "réveil".
CAIDA, qui signifie Cooperative Association for Internet Data Analysis, est une organisation qui fournit des outils et des analyses relatives à l'infrastructure d'Internet à travers le monde.
2. Propagation de NYXEM
source : www.caida.org
Ce premier graphique met en évidence le nombre de nouvelles infections par heure et le nombre cumulé de machines infectées par le ver NYXEM entre le dimanche 15 janvier 2006 à 23:40:54 UTC et le mercredi 01 février 2006 à 05:00:12 UTC.
Durant les quinze jours d'analyse, plus de 2000 nouvelles machines par heure étaient contaminées par NYXEM, avec des pics à plus de 5000 nouvelles infections par heure, soit presque deux nouvelles machines infectées par seconde au plus fort de la propagation du ver.
Bien que NYXEM se soit propagé relativement rapidement, sa vitesse de propagation ne peut pas être comparé à celle d’un ver comme CODE RED, qui, rappelons le, avait infecté au plus fort de son activité plus de 2000 nouvelles machines par minute, soit près de 35 nouvelles machines infectées par seconde [voir statistiques].
NYXEM se propageant par des pièces jointes à des e-mail, il était nécessaire que les utilisateurs cliquent sur des pièces jointes infectées pour le propager. L’animation suivante met en évidence le lien entre le nombre d'infections par NYXEM et les périodes de jour / de nuit au fil des jours ; l'infection de nouvelles machines suivant le rythme et l'alternance des périodes de jour et de nuit sur la planète.
Image
On peut constater que le nombre d'infection par le ver NYXEM augmente au cours des périodes de jour et que son activité ralentit durant les périodes de nuit mais aussi que son activité suit les mouvements du soleil sur la planète.
3. Répartition géographique
3.1. Par continents
Le graphique suivant montre la répartition des machines infectées par NYXEM par continent. On constate alors que plus de la moitié des machines infectées proviennent du continent asiatique et près du quart du continent américain.
source des chiffres : www.caida.org
3.2. Par pays
Le pays le plus touché par NYXEM fut l'Inde avec dans le monde près d'une infection sur trois qui toucha ce pays. Dans le top 12, on retrouve deux pays européens, l'Italie, qui est le 3ème pays le plus touché au monde et la Grèce, 9ème. Le Luxembourg est classé 94ème selon l'estimation de CAIDA.org
| Position |
Pays |
% moyen de machines infectées par rapport au nombre de machines infectées dans le monde |
| 1 |
Inde |
30.53 |
| 2 |
Pérou |
17.29 |
| 3 |
Italie |
7.13 |
| 4 |
Turquie |
5.30 |
| 5 |
USA |
5.90 |
| 6 |
Egypte |
2.62 |
| 7 |
Malaisie |
2.24 |
| 8 |
Indonésie |
2.12 |
| 9 |
Grèce |
1.61 |
| 10 |
Mexique |
1.14 |
| … |
… |
… |
| 94 |
Luxembourg |
0.02 |
| … |
… |
… |
source : www.caida.org
Le classement établi par CAIDA.org recense 201 pays à travers le monde. Il faut noter les points suivants pour prendre toute la mesure de ces chiffres et replacer le Luxembourg par rapport aux autres pays dans le monde.
- Près de la moitié des infections de la planète se sont portées uniquement sur l'Inde et le Pérou,
- Les dix premiers pays touchés par le virus représentent 80% des infections survenues sur toute la planète,
- Les 94 pays les plus touchés par NYXEM représentent plus de 99.50% du nombre total d'infections de la planète.
4. Evolution de la propagation par nombre de machines infectées par heure
4.1. En Inde
Le graphique montre la propagation des infections par NYXEM par heure en Inde entre le 15 janvier 2006 et le 01 février 2006. L'Inde est le pays qui a été le plus touché par NYXEM.
http://www.caida.org/analysis/security/blackworm/graphs/countries/ind_all_ts_hour.png - source : www.caida.org
L'infection en Inde a atteint son pic au cours de la journée du 18 janvier 2006 avec plus de 3000 nouvelles machines infectées par heure. Le nombre de machines infectées baissant pour se maintenir à près de 1000 nouvelles machines infectées par heure à la fin de la période de l'analyse.
4.2. Au Luxembourg
Ce dernier graphique montre la propagation horaire des infections par NYXEM sur le Luxembourg entre le 15 janvier 2006 et le 01 février 2006.
http://www.caida.org/analysis/security/blackworm/graphs/countries/lux_all_ts_hour.png - source : www.caida.org
L'infection au Luxembourg a atteint son pic au cours de la journée du 18 janvier 2006 avec 5 nouvelles machines infectées par heure. Le nombre de machines infectées baissant rapidement pour atteindre "la vitesse de croisière" de 2 nouvelles machines infectées par heure sur la période de l'analyse.
5. Derniers développements
Aujourd’hui la plus grande majorité des machines qui avaient été infectées par NYXEM sont décontaminées. Plus d'une semaine après la date fatidique du 03 février, l’infection de NYXEM continue encore dans les pays les plus touchés, l’Inde, le Pérou et les USA. Dans ces deux pays l’infection continue de toucher 5% des ordinateurs de la planète qui ne sont pas encore protégés et pour lesquels leur propriétaire ne s’est pas encore rendu compte qu’il était la victime du ver. Il es tdonc essentielt de relancer le mot d’ordre : Mettez à jour votre anti-virus !
6. Plus d’informations
6.1. Méthodologie d’estimation du nombre de machines infectées
Avant de se répliquer vers de nouvelles victimes, le ver NYXEM se connectait sur une page web publique sur Internet. Cette page contenait un compteur qui s’incrémentait à chaque nouvelle connexion, effectuant ainsi un décompte en temps réel des accès sur cette page Web et par extension du nombre de machines infectées à travers le monde. CAIDA.org a relevé ces informations et a été en mesure de tracer la propagation du ver. En effet, à l’image d’un système de statistiques sur un site Web, chaque connexion vers ce compteur permettait de connaître les éléments suivants :
- date et heure de la connexion à date et heure de l’infection
- adresse IP de la machine infectée à zone géographique de la machine infectée
Une fois ces informations compilées, elles permettent de dessiner les tendances de l’attaque, de la vitesse de propagation au fil des heures, les pays les plus touchés par l’infection, etc.
Cette page est toujours accessible sur l’adresse :
http://webstats.web.rcn.net/cgi-bin/Count.cgi?df=765247
Le 14 février 2006 à 14h11, ce compteur indiquait
Il faut toutefois relativiser le chiffre affiché par le compteur de cette page à la vue des éléments suivants :
- aucune information ne garantit que le compteur fut initialisé à zéro avant que NYXEM ne soit lâché dans la nature,
- chaque visiteur qui va sur cette page participe, au même titre que les machines infectées, à l’incrémentation du compteur. Ce compteur devenant de plus en plus connu du grand public, le nombre de visiteurs se connectant pour regarder l’évolution du compteur l’incrémente d’autant, faussant l’incrémentation du compteur par les seules machines infectées.
Ces éléments expliquent les raisons pour lesquelles CAIDA.org, société de référence pour les statistiques sur Internet, donne des fourchettes dans les estimations du nombres de machines touchées par NYXEM.
6.2. Chiffres complémentaires
6.2.1. Propagation de l’infection sur les différents continents au cours du temps
Le graphique suivant montre l'évolution du nombre de machines infectées par heure par NYXEM par continent.
On constate que la vitesse de propagation du ver décroît au fil des jours mais est restée tout de même relativement élevée. À partir du 26 janvier 2006, les infections sur les autres continents à l'exception de l'Asie ont fortement baissé. Le nombre d'infections en Asie restant important et ne baissant pas aussi rapidement que le nombre d'infections dans les autres pays du monde au cours de la même période. Le continent sud américain a vu le pic d’activité quelques jours après le début de la vague d’infections.
source : www.caida.org
6.2.2. Estimation du nombre d’infections total par continents
| Continent |
Estimation minimale |
Estimation maximale |
|
Nombre
|
%
|
Nombre
|
%
|
| Asie |
245910
|
52.37
|
530685
|
56.05
|
| Amérique de Sud |
99450
|
21.18
|
174223
|
18.4
|
| Europe |
70360
|
14.98
|
125460
|
13.25
|
| Amérique du Nord |
35633
|
7.58
|
76564
|
8.08
|
| Afrique |
15615
|
3.32
|
35225
|
3.72
|
| Océanie |
2538
|
0.54
|
4622
|
0.48
|
| Total |
469506
|
99.97
|
946779
|
99.98
|
source : www.caida.org
C. M.
|
