Le ver de courrier électronique, Bagle, est détecté pour la première fois le 18 janvier. Il a donné naissance à toute une nouvelle famille de vers informatiques créés explicitement à des fins malveillantes. Bagle a été conçu pour installer un Trojan proxy server sur les machines des victimes qui étaient ensuite utilisées pour envoyer du courrier indésirable en masse.

Une épidémie de malwares s’est déclarée dans la nuit du 27 au 28 janvier. Elle a été causée par la première version du ver de courrier électronique Mydoom. L’épidémie s’est répandue très rapidement, laissant à penser que la propagation du ver s’appuyait sur l’envoi de courrier indésirable en masse via des réseaux zombies. Le nombre de messages automatiquement générés était si conséquent que de nombreux serveurs de messagerie corporatifs sont tombés en panne ou ont été extrêmement ralentis, ces derniers étant incapables de gérer l’immense trafic. Mydoom était clairement de nature criminelle. Il a installé un Trojan proxy server sur les machines des victimes afin d’envoyer du courrier indésirable, tout comme le faisait Bagle. Il installait également une backdoor afin de donner aux utilisateurs malveillants un accès à distance complet aux ordinateurs des victimes. L’épidémie a atteint des sommets le 1er février quand le ver a lancé une attaque DoS sur le site Web de SCO (www.sco.com), un fabricant de systèmes UNIX. Le site est donc tombé en panne et la compagnie a dû utiliser un autre site Web (www.thescogroup.com) pendant un certain temps.

Le 9 février a marqué l’émergence de l’épidémie d’un ver de réseau connu sous le nom de Doomjuice. Ce ver se propageait sur les ordinateurs infectés par Mydoom en s’infiltrant via un port de réseau ouvert par son prédécesseur qui autorisait l’envoi de commandes à distance aux ordinateurs infectés. Si un ordinateur infecté répondait à la demande du ver, Doomjuice établissait alors une connexion avec celui-ci et se copiait lui-même sur le PC en question. Le cheval de Troie installé antérieurement par Mydoom recevait ce fichier et l’exécutait. C’est pourquoi Doomjuice ciblait les ordinateurs infectés par Mydoom.

Le ver NetSky est apparu le 15 février 2003. Ce ver supprimait les versions connues de Mydoom sur les ordinateurs des victimes. NetSky a ensuite commencé à supprimer Bagle des machines infectées. Une guerre entre les deux groupes d’éditeurs de malwares s’est déclarée en mars 2003 avec d’un côté les supporters de NetSky et d’un autre les supporters de Mydoom et Bagle. Le 3 mars 2004, cinq nouvelles variantes de ces vers émergeaient en l’espace de trois heures. En mars et avril 2004, les versions les plus prolifiques de ces vers ont généré entre 80 et 90% de tout le trafic malveillant sur le Web. Les dernières versions de ces vers ont vu leurs groupes rivaux cibler et détruire les codes malveillants des uns et des autres tout en s’envoyant des messages insultants :

NetSky.c:

Nous sommes skynet – vous ne pouvez pas vous cacher ! – nous tuons les éditeurs de malwares (ils n’ont aucune chance !) – [LaMeRz->]MyDoom.F a volé notre idée ! – — ->->

NetSky.f:

Skynet AntiVirus – Bagle – vous êtes des losers !!!!
Les deux groupes étaient aussi féroces d’un côté que de l’autre…

Mydoom.f:

Aux créateur(s) de netsky : pour nous skynet est un réseau neutre d’échange de fichiers. Nous avons seulement vu du P2P dans Slapper dans Sinit seulement. Ils s’appellent peut-être skynets, mais pas votre application de m****.

Bagle.i:

Hey, NetSky, allez vous faire f*****, c***** laissez notre business tranquille, vous voulez commencer une guerre ?

Une épidémie majeure de Sasser, un ver de réseau, s’est produit le 30 avril 2004. Le ver s’est infiltré dans les ordinateurs via une faille dans le service LSASS de Microsoft Windows, causant le redémarrage occasionnel des ordinateurs infectés. Sasser s’est répandu rapidement, paralysant des millions d’ordinateurs à travers le monde. Des milliers d’entreprises, d’universités et d’agences gouvernementales ont vu leurs opérations paralysées. Certaines compagnies aériennes (comme British Airways ou Delta Airlines) ont dû retarder ou annuler leurs vols, plusieurs banques (comme Goldman Sachs & Westpac Bank) ont fermé, et Samp, une banque finlandaise a fermé ses 130 bureaux locaux à titre de mesure préventive. À Taiwan, l’épidémie a perturbé l’exposition technique Computex et a bloqué le fonctionnement d’un tiers des bureaux de poste. À Hong Kong, le ver a laissé les hôpitaux publics sans support informatique et en Australie, il a bloqué tout le système ferroviaire australien.

Microsoft Corporation a annoncé une récompense de 250 000 dollars pour toute information qui mènerait à l’arrestation des éditeurs de malwares à l’origine de Mydoom et Sasser. En mai 2004, Sven Jaschan, un étudiant allemand de 18 ans, est finalement arrêté et accusé d’avoir créé et diffusé Netsky et Sasser. On en sait toujours pas qui est à l’origine de Mydoom.

Plusieurs virus concepts ont également émergés les uns après les autres au cours de 2004. Les virus concepts ne sont pas malveillants et ne rapportent pas d’argent à leurs créateurs. Ils sont conçus uniquement pour démontrer de nouvelles techniques de propagation de malwares. Tous ces virus concepts ont été écrits par les membres de 29A, un groupe d’éditeurs de malwares, avant d’être envoyés directement à plusieurs compagnies antivirus.

Rugrat est apparu le 27 mai. Ce fut le premier virus à infecter les fichiers exécutables de Win64.
Le 14 juin a vu l’émergence de Cabir, le premier ver ciblant les smartphones Symbian. Cabir se propageait grâce au Bluetooth : il recherchait les smartphones dont le bluetooth était activé et leur envoyait un code. Après un certain temps, des rapports d’infection en provenance de différents pays à travers le monde ont commencé à arriver. C’est grâce à des méthodes similaires à celle-ci que les virus se répandent si rapidement et si largement.

Duts, le premier virus pour Windows Mobile est apparu le 17 juillet. Windows Mobile est l’une des plateformes mobiles les plus populaires.

Brador, le premier Trojan Backdoor pour les PC de poche fonctionnant sous Windows CE ou sous les versions les plus récentes de Windows Mobile a fait son apparition le 5 août. Brador fut également le premier programme malveillant mobile à générer des bénéfices de manière illégale.

Une version de Gpcode a émergé fin 2004. Ce cheval de Troie chiffrait les données de l’utilisateur et essayait d’extorquer de l’argent à ses victimes en échange du déchiffrement de leurs données.

À partir de 2004, les vers et les chevaux de Troie ont commencé à être créés dans le but de réaliser des bénéfices illégaux. Le nombre de « nuisances » est devenu insignifiant en comparaison avec le nombre de malwares conçus afin de voler des identités digitales ou des données confidentielles, de mener des attaques DoS ou d’envoyer du courrier indésirable. Les attaques bancaires ont commencé à proliférer à cause des chevaux de Troie permettant de voler les codes d’accès aux comptes bancaires des utilisateurs. Le nombre d’attaques d’hameçonnage a également augmenté rapidement dans le but d’accéder à des comptes bancaires.

2004 a également vu une augmentation des enquêtes policières qui ont souvent mené à des arrestations. En tout, environ une centaine de personnes ont été arrêtées pour différents crimes en ligne dans plusieurs pays à travers le monde.

Si l’on regarde la situation des malwares en 2004, il est possible de distinguer deux périodes. Pendant la première moitié de l’année, on a pu observer de nombreuses épidémies de vers de courrier électronique. Les choses ont changé pendant l’été  alors qu’ils ont considérablement diminués aussi bien en nombre qu’en diversité. On peut seulement imaginer les raisons de ce changement soudain, nous pensons que plusieurs facteurs sont en cause :

  • Les éditeurs d’antivirus ont appris à répondre rapidement aux épidémies de malwares et à émettre des mises à jour, alors que les fournisseurs Internet ont appris à s’assurer qu’un logiciel de sécurité était installé et que les programmes antivirus devaient être renforcés par des filtres spéciaux. Ces efforts ont permis de contenir le développement de l’épidémie de vers de courrier électronique et ont considérablement réduit son étendue.
  • Les arrestations de plusieurs auteurs de malwares ont été très médiatisées et des récompenses importantes étaient offertes en échange de toute information qui pourrait mener à l’arrestation des cybercriminels. Les programmeurs malveillants ont donc été activement découragés de créer des malwares très contagieux.
  • Les épidémies majeures impliquant des millions d’ordinateurs infectés sont bien moins efficaces que les infections lentes impliquant jusqu’à une dizaine de milliers d’ordinateurs qui sont plus réduites, bien plus faciles à contrôler et incluent un grand nombre de chevaux de Troie différents.