Détection PUP/LPI : Potentially Unwanted Program

PUP est l’acronyme de Potentially Unwanted Program soit donc logiciels potentiellement indésirables (LPI). Ce sont des programmes qui peuvent être non désirés mais qui peuvent tout de même être installé par l’utilisateur. Dans ces détections sont classées les adwares commerciaux ou barre d’outils qui sont bundles avec des programmes : souvent ces derniers modifient la page de démarrage et recherche afin d’augmenter le tracking, voir pour certains ouvrir des popups de publicités pour rémunérer l’éditeur.
Le schéma général est de proposer un programme gratuit et en contre-partie une barre d’outils ou un adware.  Le fond du problème est que ces éditeurs ont en général des politiques assez aggressives voir trompeuses afin d’installer le plus possibles ces programmes (et donc gagner plus d’argent), l’utilisateur se laissent berner et installent ces programmes sans trop savoir ce qu’il en retourne, soit ils gagnent des popups de publicité, soit ils gagnent un packs complet de logiciels (barre d’outils, comparateur d’achats) qui a terme concours à ralentir l’ordinateur.
Ces programmes potentiellement indésirables ne sont pas à sous-estimer – Microsoft, via son rapport SIR, positionnant la France, fin 2011, comme championne des PUPs/Adwares.

Les méthodes de propagation

La proposition est en général via des bannières de publicités ou depuis les liens sponsoriés sur les moteurs de recherche – ici des liens Eorezo/PCTuto et des liens inconnus :

This image has been resized. Click this bar to view the full image. The original image is sized 1028x774px.

ici le programme réclame un SMS pour pouvoir s’installer…

This image has been resized. Click this bar to view the full image. The original image is sized 1022x768px.

Ou des bannières de publicités qui sont par exemple la promotion de Babylon Toolbar :

This image has been resized. Click this bar to view the full image. The original image is sized 1030x764px.

et donc aussi Google Adsense :

This image has been resized. Click this bar to view the full image. The original image is sized 921x229px.

This image has been resized. Click this bar to view the full image. The original image is sized 1314x303px.

ou des sites de téléchargements qui reprennent des programmes (en général gratuits ou libres) et qui les repacks pour y ajouter ces programmes additionnels et toucher de l’argent.
Cas de winportal.fr :

This image has been resized. Click this bar to view the full image. The original image is sized 1024x771px.

ou ci-dessous, le site koyotesoft.com qui installe les PUP Bandoo.

This image has been resized. Click this bar to view the full image. The original image is sized 964x555px.

ou des tutoriels qui installe un adware proposé par 01net – 01net touche un pourcentage à chaque installation réussie, c’est le système des affiliations :

This image has been resized. Click this bar to view the full image. The original image is sized 1027x767px.

Toujours chez 01net – ce dernier refourgue une barre d’outils à l’installation de certains programmes – lire : http://www.malekal.com/2012/02/03/01net-bundle-bfm-tv-toolbar/

This image has been resized. Click this bar to view the full image. The original image is sized 1029x744px.

Autre cas des Faux plugins VLC qui imitent les barres jaunes ActiveX ou barres jaunes installation de plugins pour Firefox :

This image has been resized. Click this bar to view the full image. The original image is sized 1025x769px.

Les arnaques par SMS sont aussi proposés en résultats de liens commerciaux sur les moteurs de recherche : Faux sites d’affiliations : arnaque SMS

This image has been resized. Click this bar to view the full image. The original image is sized 1030x669px.

En vidéo :

D’où l’importance des  sources de téléchargements – NE PAS TELECHARGER de programmes proposés en publicités ou liens sponsorisés sur les moteurs de recherche.
Faire attention aussi durant l’installation car les sites de téléchargement s’y mettent, lire : On te pourrit le net (et vos PC) – Acte 3 : le tour des sites de téléchargement
Sur les forums de désinfection, on retrouve souvent les mêmes programmes qui posent problème, à savoir :

• Faux plugins VLC : avec les packs ShoppertsReports, Zango, Hotbar, QuestScan etc
• Les programmes type Offerbox, SweetIM, FissaSearch
• Search Settings / Dealio Toolbar / PDFForge Toolbar
• WhiteSmoke / Bandoo / Fun4IM / searchqutb / Quick Web Player
• SearchQu / Bandoo
• Babylon Toolbar
• SoftwarePack/PowerPack – autre pack PUPs/LPis par faux pluggin VLC
• Les programmes Eorezo / PCTuto

Si les éditeurs d’antivirus estiment que des procédés discutables sont utilisés pour faire installer ces programmes, alors le programme sera classé en PUP : Potentially Unwanted Program.
Notez que ces programmes se désinstallent correctement pour la majorité d’entre eux. Pas besoin de passer 50 antispywares, une simple désinstallation suffit. Dans le cas des détections présentes, il faut les prendre plus à titre informatique que pour ayant but d’éradiquer le programme.
Selon l’éditeur d’antivirus, les détections PUP ne sont pas activées par défaut ou lors de détection via un scanne, les éléments PUP ne sont pas cochés, c’est à l’utilisateur de cocher s’il ne souhaite pas garder le programme ou s’il ne sait pas d’où le programme vient afin de le faire supprimer par l’antivirus.
Survol rapide des PUP/LPI pour Avast!, AVG, Malwarebyte Anti-Malware. et Antivir.

Avast!

Exemple avec les faux plugins VLC- où Avast! ne bronche pas.

This image has been resized. Click this bar to view the full image. The original image is sized 1028x768px.

Activons la détection des logiciels indésirables. Pour cela, ouvrez l’interface d’Avast! Déroulez le menu des Protections résidentes.
Allez dans Agent des Fichiers. Cliquez à droite sur Réglages Experts

This image has been resized. Click this bar to view the full image. The original image is sized 1027x772px.

A gauche, dans la liste des onglets, cliquez sur Sensibilité.
Activez l’option Rechercher les logiciels potentiellement indésraibles (LPIs). Répétez l’opération pour l’agent WEB. Notez que le réglages Sensibilité disponible par agent, l’est aussi sur le réglage des scans afin d’activer les détections des LPIs lors des scans à la demande.

This image has been resized. Click this bar to view the full image. The original image is sized 1024x767px.

Avast! détecte maintenant le faux plugin en Win32:Zango [PUP]

This image has been resized. Click this bar to view the full image. The original image is sized 1023x768px.

This image has been resized. Click this bar to view the full image. The original image is sized 1030x767px.

AVG

Pour activer les détections des programmes potentiellement dangereux. Cliquez sur le menu Outils et Options avancées.
Déroulez le menu Analyses et pour Analyse Complète et Analyse contextuelle.
Activer « Signaler les programmes potentiellement dangereux et les spywares » ainsi que « Signaler le jeu amélioré de programmes potentiellement dangereux »

This image has been resized. Click this bar to view the full image. The original image is sized 1033x768px.

Répétez l’opération pour la partie Bouclier résident.

This image has been resized. Click this bar to view the full image. The original image is sized 1027x770px.

AVG signale maintenant les programmes potentiellements dangereux.

This image has been resized. Click this bar to view the full image. The original image is sized 1026x773px.

De même lors des scans à la demande.

This image has been resized. Click this bar to view the full image. The original image is sized 1031x769px.

 Malwarebyte Anti-Malware

Les détections des PUP/LPI sont activées par défaut, mais ces dernières ne sont pas cochées lors des détections. C’est à l’utilisateur de sujet si le programme est le bienvenue sur son ordinateur et de le supprimer en cas de doute.
Plus d’informations sur la configuration de Malwarebyte Anti-Malware : Tutoriel Malwarebyte Anti-Malware.

This image has been resized. Click this bar to view the full image. The original image is sized 1031x769px.

Antivir

Cliquez en haut à droite sur Configuration, déroulez ensuite Général et catégories de menaces et cocher les catégories adéquates (Logiciels frauduleux).
Plus d’informations sur la configuration d’Antivir : Tutoriel Antivir.

This image has been resized. Click this bar to view the full image. The original image is sized 1033x770px.

WOT

WOT peux s’avérer être une extension assez utile pour identifier les sites de téléchargements trompeurs : http://www.malekal.com/2011/01/09/wot-web-of-trust/
Plus globalement, dans le cas de Firefox, se reporter à la page : Sécuriser le navigateur WEB Firefox

HOSTS Anti-PUPs/Adwares

HOSTS Anti-PUPs/Adware modifie votre fichier HOSTS afin de vous protéger des sites distribuant les PUPs/LPIs et Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

Conclusion

Les programmes potentiellement indésirables sont de plus en plus présents sur les forums de désinfection puisque que les éditeurs sont de plus en plus aggressifs afin d’installer un maximum de ces logiciels sur les PC et donc gagner un maximum d’argent.
Je vous conseille donc d’activer les détections PUP/LPI, surtout si vous êtes plusieurs utilisateurs sur le PC (surtout avec les ados), cela peux limiter la casse, néanmoins la meilleur protection reste la vigilance, n’installez pas les programmes proposés (surtout par des publicités), dans le cas d’un téléchargement, visez plutôt les sites connus (Clubic, Commentcamarche etc).
Évitezles barres d’outils qui ralentissent l’ordinateur (lire : Les toolbars c’est pas obligatoire!) – N’acceptez aucune installation d’aucune barre d’outils ou logiciels additionnels contenu dans celui que vous comptez installer.
Éventuellement faire un scan sur Pjjoint – ce dernier énumère ce genre de programmes que vous pouvez désinstaller manuellement : http://pjjoint.malekal.com/presentation.php
Pour mieux comprendre les détections des antivirus, vous pouvez aussi vous reporter à la page : Index des menaces et programmes malveillants/Malwares


REF.: