Facticiels, le fléau des antivirus factices
Sommaire
- 1 – Facticiels, le fléau des antivirus factices
- 2 – Plus de contenu sur ce sujet
Chaque semaine dans l’œil des experts, retrouvez l’avis personnel d’un professionnel high-tech en poste dans une des sociétés qui font notre actualité.
Laurent Heslault
Laurent Heslault est Chief Technology Officer Security chez Symantec. Après plus de 20 ans passés dans l'environnement informatique, dans le service, le matériel, ou le logiciel, il est aujourd'hui un des porte-paroles en France de l'éditeur américain et s'intéresse de prés au cyber-crime.
Un facticiel (j’aime les néologismes…) est un logiciel factice, la plupart du temps dans le domaine de la sécurité ou des performances système. Voici le résumé d’un rapport publié récemment par Symantec sur l’univers de ces logiciels de sécurité factices qui fleurissent sur le net, drainant des sommes importantes. De juillet 2008 à juin 2009, plus de 43 millions de tentatives d’installations ont été détectées sur le périmètre observé.
Le but de l’opération est le profit, comme d’habitude. Cette fois, l’idée est de duper l’internaute en l’incitant à installer, puis acquérir en ligne, un pseudo logiciel de sécurité, censé le débarrasser des menaces qu’il a opportunément détecté sur la machine en question !
Tout commence généralement par ce genre de messages intempestifs :
Ce peut être alors le début d’un enchaînement dont il est parfois difficile de sortir.
Les moyens de communication utilisés
1) Spam
En 2008, la plupart des « grands » botnets tels que Peacomm, Srizbi, Rustosk ou encore Ozdok envoyaient des messages faisant notamment la promotion de « AntiVirus XP 2008 », et contenant un lien vers un site associé.
2) Bannières publicitaires
Une certaine complexité dans la gestion des bandeaux publicitaires permet la diffusion de vrais messages publicitaires vers les sites de vente en ligne de facticiels. Le propriétaire de l’emplacement n’ayant que rarement connaissance du commanditaire et donc du contenu final.
3) Liens dans des blogs, forums ou réseaux sociaux
Il existe des outils, capables de contourner les protections par CAPTCHA et permettant ainsi de poster un grand nombre de liens, comme réponses à des articles dans une grande variété de blogs ou de forums. Ceci ayant également un impact dans les classements des moteurs de recherche.
4) Résultats de moteurs de recherche
Le détournement des techniques utilisées pour procéder au classement des sites par les moteurs de recherches sont également une source possible (SEO poisoning). L’hiver dernier, lors de l’émergence de Downadup/Conficker, de nombreuses pages pleines de mots-clefs comme « remove virus » ou « free antivirus » sont apparues, tentant ainsi d’induire en erreur les algorithmes de pertinence.
5) Modules complémentaires de navigateurs ou « Browser Helper Object » (BHO)
Un BHO est un genre de "plug-in" qui ajoute des fonctionnalités au navigateur, voulues ou non. « AntiVirus 2009 » installe un module de ce type, poussant l’utilisateur à activer le facticiel en question, avec la caution du moteur de recherche, via un site de vente en ligne.
Bien que la méthode principale d’installation reste majoritairement volontaire de la part de l’internaute, d’autres techniques sont employées.
Plusieurs méthodes d’installation
1) Par l’utilisateur lui-même
Dans 93% des tentatives observées, l’installation est intentionnelle, même si d’autres techniques sont employées.
2) Des exécutables « modifiés » en pièce jointe
L’envoi de pièces jointes via spam reste un moyen simple de déployer des facticiels. Les attachements sont masqués par exemple via de fausses extensions (musique, médias ou fichiers compressés), qui implantent leur charge utile si on les exécute.
3) Par un maliciel quelconque (Conficker, Zlob, Vundo…)
Directement ou non, des maliciels connus avaient, entre autre, pour but d’installer des facticiels comme « PrivacyCenter » ou « Malware Defender 2009 ». A noter le cas de Zlob, installant « IE Defender », lui-même détectant Zlob, et proposant de le supprimer moyennant finance !
Le modèle économique
1) Les sites marchands
Généralement, très ressemblants aux vrais, ces sites proposent la vente de facticiel via les systèmes classiques de paiement en ligne. Le coût variant de 30 $ à plus de 100 $. Outre le montant prélevé, les coordonnées bancaires sont évidement susceptibles d’être réutilisées voire revendues
2) Le PPI (ou Pay-Per-Install)
Basé sur un modèle d’affiliation, système plus ou moins proche de la franchise, les « affiliés » sont rémunérés au nombre d’installations par les fournisseurs de l’infrastructure. Les meilleurs pouvant gagner jusqu’à plusieurs centaines de milliers de dollars par mois.
Ici un exemple de tableau de bord tiré de feu « TrafficConverter.biz ».
Comment s’en prémunir
Je rappelle qu’AUCUN éditeur de solutions de sécurité reconnu ne procède de cette manière :
- Si des alertes apparaissent à l’écran, d’une autre “marque” que celle déjà en place, il s’agit d’une arnaque !
- Si l’on ne trouve pas le “logiciel” en question à la vente sur un site ayant “pignon sur rue”, c’est une arnaque !
Et donc SEULE, une solution de dernière génération, développée par un professionnel reconnu dans le secteur de la sécurité informatique est à même de protéger les utilisateurs.
Pour les détails, l’étude complète est disponible ici.
Les offres du moment
- application pour iphone
- ps4
- playstation 4
- calble hdmi
- logiciel pour montage photo
- clef usb wifi
- musique la demande
- flyff serveur prive francais
- revendre ses cadeaux noel
- musique mp4
- trouver mot passe administrateur
- longueur tableau php
- ipv6 free
- free er80
- resiliation free
- office 2010
- alice free
- pirater blog skyrock
- logiciel modelisation 3d gratuit
- malware cherche.us
1) Par l’utilisateur lui-même
Dans 93% des tentatives observées, l’installation est intentionnelle, même si d’autres techniques sont employées.
Mais bon, certain veulent encore nous faire croire que les MacUser sont protégés de tout....
C'est vraiment la preuve que le danger c'est l'utilisateur et plus trop les virus..
Dommage qu'il n'y ai pas un lien dans l'article vers des solutions pour éradiquer ces malware d'un poste.
+1 avec arghoops, par exemple avec "smitfraudfix" http://www.clubic.com/telecharger- [...] udfix.html
Cordialement jean pour favorisxp.com
Si il existe un antimalware capable de virer ces merdes d'un poste
Malwarebytes
Tu fais un scan complet qui dure de 40 a 2h selon la machine et il va te supprimer cette saloperie en peut de temps
Le danger, c'est l'utilisateur,mais il n'est pas aidé par le système. D'une part à cause de l'idéologie (heureursement en décadence aujourd'hui) "mon poste et internet, c'est la même chose". D'autre part à cause de la mauvaise mise en place de l'UAC (le sudo unix).
Bon article.
Le fait est que maintenant beaucoup de gens se sentent capables de faire la sécurité de leur machine seul.
"Du style ouai j'ai eu un problème, j'ai installé un anti-virus trop kikoo lol sur un site, maintenant j'ai un autre problème mais j'ai résolu le premier."
Donc on en revient au fait que le PC est maintenant chez tout le monde, mais c'est pas pour ca que tout le monde peut l'utiliser.
Et c'est pas parce qu'on sait surfer sur internet qu'on sait s'en protéger.
Et faut arrêter avec l'UAC.
Il n'est pas responsable de ce que l'utilisateur choisi d'installer sans connaissance de cause.
Il n'est pas responsable non plus des milliers de chaine de mail inutile qui circule et qui véhicule parfois ce type de programme.
Ah, le social engineering ! Le plus efficace qui soit.
.Le fait est que maintenant beaucoup de gens se sentent capables de faire la sécurité de leur machine seul."Du style ouai j'ai eu un problème, j'ai installé un anti-virus trop kikoo lol sur un site, maintenant j'ai un autre problème mais j'ai résolu le premier."Donc on en revient au fait que le PC est maintenant chez tout le monde, mais c'est pas pour ca que tout le monde peut l'utiliser.Et c'est pas parce qu'on sait surfer sur internet qu'on sait s'en protéger.ce type de programme.
Envie de vendre des contrats de maintenance chez les particuliers ?
Encore heureux que les " kikool" de base sachent mettre une capote sans demander à leur toubib de venir leur mettre ...
Les ordinateurs resteraient des machines non utilisables par le grand-public, nous aurait-on menti ?
Sérieusement dans le fond tu as raison, mais si on vend un PC en tant qu'outil accessible au grand public, à cet outil de se mettre à la portée de l'utilisateur. Mais à celui-ci aussi d'en apprendre un minimum sur la sécurité la plus élémentaire .
si on vend un PC en tant qu'outil accessible au grand public, à cet outil de se mettre à la portée de l'utilisateur.
C'est ce que font les marques avec les bundles logiciels fournis avec leurs machines qui comprennent toujours un antivirus, souvent celui de Symantec d'ailleurs.
Quitte à faire payer ces logiciels même à ceux qui n'en ont pas besoin car ils sont déjà avisés du problème et ont choisi une autre solution. Ceci est un autre débat.
Mais à celui-ci aussi d'en apprendre un minimum sur la sécurité la plus élémentaire.
Là c'est encore un autre problème, celui de la formation.
Toute proportions gardées c'est un peu comme si on permettait aux gens d'acheter une bagnole ou une moto et qu'on les laisse se démerder tout seul pour apprendre à conduire, sans passer de permis, au mieux avec un système permettant la conduite accompagnée par une tierce personne s'y connaissant souvent à peine mieux que le néophyte.
Heureusement, les conséquences du crash du PC de Mâame Michu, de M'sieur Albert ou de leur Kevin ou Kevina de progéniture sont moins dangereuses que celles de leur incompétence au volant ou au guidon.
On se concentre sur le prix des machines qui doit baisser sans cesse pour saturer le marché et on occulte totalement le coût de l'apprentissage.
Le pékin de base acceptera plus facilement de payer 1000 euros pour un PC qui lui durera 2 ou 3 ans, le temps qu'on (lire les marketeux) le persuade qu'il est obsolète mais hurlera si on lui propose une formation au même prix qui lui durera toute sa vie de con-sommateur et lui permettra de faire des économies sur le matériel en apprenant à décrypter les discours marketing et à évaluer ses besoins réels.
Tant pire ! (© Zézette, épouse X)
Tiens, c'est une idée ça.
Je vais proposer des formations informatiques "spécial-pékin-moyen".
Tarif ? Le prix de la machine !
Attention, pour ce prix-là, il faut quand même être "moyen". Laveur de carreaux s'abstenir.
slt tous! il y a 1 mois j,ai eu un faux antivirus gratuit(je ne dis pas lequel car je ne sais pas si c interdit) et effectivement il me racontait des bobards :style vous avez x infections,ect....je trouvais ça un peux lourd au bout de 3semaines,car mes 2filles habitant à la maisons n,en avait pas autant 800contre une vingtaine!!lol et effectivement quand g approfondi ma recherche(car je suis une curieuse comme on en fait plus)g fini par regarder sur un forum ou il y avais une liste de mise en garde de faux anti virus..et la;;;;la honte à mois;;;;;je l,ai enlevé,fait une restauration, mis un antivirus gratuit conseillé et après vérification, a part un fichier de photos infecté que g effacé dessuite ,il n,y avais pas toutes les infections annonce par l,autre blaireau,qui lui en était un!!!!!!
.
.
.
Moi jvous le créer en l'antivirus miracle
Bonjour les gens
Juste une remarque : N'aurait-il pas été préférable que l'alerte vienne de la part d'un intervenant "neutre" ? Car, émanant de la part d'une société spécialisée dans les produits de sécurité, ne pourrait-on en conclure que cette dernière cherche à protéger ses plates-bandes, même si il est vrai que le nombre de "facticiels" est en progression et nous proposent d'améliorer tout et n'importe quoi n'importe comment ?
Le tout, c'est de croire en l'effet placebo....
Bonne journée les gens
Maxx
Une autre solution : pour surfer, taper qq petites lettres et empiler qq cubes à tetris, pas besoin de windows... Alors une partition /home montée en noexec sur un gentil linux, et adieu virus ! C'est sûr, ça demande un peu plus d'investissements personnels que carte bancaire -> 50 euros norton, insérer le CD, install suivant suivant suivant redémarrer ! Mais au moins, ça vaut le coup dans la durée !
maxx hubert! JE PENSSE QUE CE SONT LES MEMES FAMILLES QUE LES LOGICIELS ESPIONS QUI SONT 0 LA PORTEE DE TOUS MALHEUREUSEMENT......DONC CA DOIT ETRE POSSIBLE LOL!!!!!!
CAPTAINDANGEAX SUIS TROP RADIN!!!!!!JE PAIYE QUE PAR OBLIGATION MDR!!!!!!! quand a norton,,comme toutes les démos de 30j tu peux t,en resservir a l,infini!!!!!!!!!!
au message à max g fait une faute lol a la place de O la portée faut lire :à la portée ( j,aime pas les fautes d,inattention):-)
Cette semaine, j'ai choppé cette saloperie de windows defender, rien qu'en surfant sur un site. Y a une pop-up windows, une classique pas un fake, me demandant si je voulais faire confiance à l'éditeur "xxx" (me rappelle plus mais c'était un truc connu) pour installer un composant manquant. Falirant l'arnaque, je clique sur ne jamais faire confiance à ce site. Et bof, crash de firefox. Au rédémarrage de firefox, mon gentil antivirus mcafee me dit qu'il a détéecté un virus... Et là, je vois la pop-up de ce faux antivirus... Notez que mcafee ne m'a pas proposé de faire quoique ce soit (je précise qu'il était à jour...). Et pour cause, 2 sec plus tard il était désactivé.
Le firewall m'a qd même proposé de bloquer le virus. Sympa. Je sais pas s'il l'a fait mais bon... Le reste du web marchait bien, y avait juste ces pop-ups fake me demandant d'installer.
Bref, je me décide de passer la 2 pour virer cette merde "à la mano". Comme je pouvais m'y attendre, je ne peux pas supprimer l'exe car il est utiliser. OK, essayons ctrl alt supr pour virer le processus. Et là que dalle, la commande était désactivée... Soit, lancer le mode ms dos pour virer le fichier comme un warrior. Impossible aussi.
Costaud le bestiau finalement. Là je fais un tour dans la base de registre pour l'empêcher de redémarrer au prochain démarrage de windows. Là ca marche, c'est même trop facile...
Et je pense qu'il a pas aimé car au rédémarrage du PC, bsod... Mode sans echec, et invite ms/dos idem. Il a du me virer un fichier critique... Console de recup de xp inutilisable car vu que c'est un portable pro, ben j'ai pas le mot de passe admin...
Résultat => réinstall...
Bref, là, je suis carrément sur le cul. Je ne comprends pas comment cette merde a pu s'installer. C'est pas comme si j'avais cliqué sur oui, ou un truc de noob dans le genre. Il doit y avoir des failles énormes qq part parce que là, ca a été plutôt puissant.
Conclusion, ca peut arriver à tout le monde, même aux gars qui s'y connaissent. J'aurais pas cru avant...
Pour les téméraires, si je ne me trompe pas, la page qui m'a refilé le virus est celle là :
http://xtreview.com/addcomment-id- [...] 5-661.html
A vos risques et périls.
slt! puisque je vois que l,on peut mettre les nom des marques d,antivirus ou autre lol j,y vais.poor mes déboires de faux antivirus lol, c,était DOCTOR . ensuite j,ai mis AVAST (gratos bien sur) et pour le moment c ok! mais à voir par la suite!!!!!!mais pour ne pas embarrasser mon ordi(mon vieil ordi mais qui fonctionne très bien) g mis mes cd de tofs ect...en virtuel,au moins je n,embarrasse pas et ne ralentis pas mon ordi :-)
Un jour je me suis dit que mon AV ralentissait plus ma machine que ce que ferait une flopée de virus. Je l'ai donc desinstallé.
Ca doit bien faire cinq ou six ans que j'ai le plaisir d'utiliser des PC qui réagissent au quart de tour, et malgré tous les sites louches auxquels j'ai pu accéder, toujours rien à signaler.
à méditer.
@mixeur: rien sur ce site. Ta machine était probablement déjà infectée.
ps: ne JAMAIS double-cliquer sur l'icone d'une clef USB dans le poste de travail. Faire: clic droit>explorer
Ce n'est pas une faille c'est une "fonctionnalité" made by Microsoft, qui a conduit à des dizaines de millions d'infections pendant plus de dix ans et toujours pas "corrigée". Win7 a (enfin) désactivé ce mode d'exécution automatique.
Arf, encore un zombi qui s'ignore !!!
slt tous! mon ordi s,allume et ne marche pas, au milieu de l,écran ça indique;presse up down ect et cd-rom dvd! quand j,appuie sur altGr ctrl et suppr , ça m ,indique:no bootable cd in atapi cd-rom
intel undi, pxe-2,0 (build0b)
copyrigt (c) 1997,1998,1999 intel corporation
via pci10/100mb fast ethernet adapter
pxe-e61:media test failure,check,cable
pxe-mof:exiting intel pxe rom
a la galere !!!!! d pas de cd original d,installation! g un vieux ordi portable NEC VERSA C 2000 je sais qu,il est vieux mais il fonctionnait très bien ;je me sert de celui de ma fille et ne peux lui emprunter tout le temps; aussi je regarderai votre aide a chaque fois que je pourrai . A VOTRE AVIS????? MERCI D AVANCE
Va mettre ton message dans le bon forum et efforce toi d'écrire de façon à être comprise...
[MODE beauf]
T'es blonde ou quoi ?
[/MODE]