Un malware non malicieux installé par des procédés infectueux ça devient la norme ?

Sur la ligne… : Légitime ou non légitime ? Malware or not malware ?

Par

malekalmorte

– 21 décembre 2010

Une page concernant les dernières activités « douteuses » (c’est une appréciation personnelle) auxquelles nous assistons et pour comprendre que parfois la limite entre légitime et non légitime est parfois difficile à établir.
Depuis deux ans cette limite se réduit considérablement selon le point de vue où l’on se place.

Les évolutions des adwares et barres d’outils

2007 – les barres d’outils en installation de logiciel

Courant 2007 les solutions de sécurité ont proposé des barres d’outils dites de sécurité dans leurs installations.
C’est une forme de sponsors, l’éditeur de sécurité touche de l’argent sur le nombre de barres d’outils installées.
A l’époque cela avait fait du bruit dans les blogs d’antivirus et notamment chez Sunbelt avec le cas ZoneAlarm/SpySweeper qui installait la barre d’outils Askbar.

Click this bar to view the full image.

Ce procédé est devenue maintenant commun et s’est étendu à beaucoup de logiciels gratuits comme cela est évoqué sur la page : Les toolbars c’est pas obligatoire!

Il faut savoir que ces barres d’outils effectuent du tracking anonyme comme le font les régies de publicités lorsque vous surfez sur des sites WEB, certains peuvent donc considérer que ce sont des mouchards.
Exemple des conditions d’utilisations de Ask et Google :
http://www.google.com/support/toolbar/bin/answer.py?hl=fr&answer=81841&rd=2 et les conditions d’utilisation : http://www.google.com/intl/fr/privacy/privacy-policy.html
http://about.ask.com/en/docs/about/privacy.shtml

2008 – les faux blogs de sécurité

Comme expliqué sur cette page : Faux blogs de sécurité : SpyHunter et Spyware Doctor
Il existe de faux blogs de sécurité qui proposent l’éradication d’infections en installant des antispywares.
Ces faux blogs se font la guerre sur les moteurs de recherche afin d’être bien positionnés (afin de ramasser un maximum de visiteurs).
Ces faux blogs ne sont, au final, que des sites affiliés aux antispywares… (en installant, les auteurs de ces blogs touchent un certain pourcentage), qui peuvent être ensuite achetés par les internautes.
Sur les faux blogs, les infections sont détaillées et la solution proposée est un fix qui s’avère être un antispyware, comme si l’infection a été étudiée et qu’un fix a été mis en ligne pour supprimer cette infection, alors qu’au final, les pages sont générées automatiquement avec toutes les mêmes liens vers cet antispyware.
Le problème de cette méthode est que l’utilisateur va installer l’antispyware croyant avoir trouvé la solution à son infection, l’antispyware va détecter des choses (donc l’utilisateur sera content) mais rien ne dit que la totalité de l’infection est détectée, cela peut-être des fichiers « autour ».
Surtout il faut payer pour éradiquer.

Click this bar to view the full image.

Il faut comprendre que les auteurs de blogs ont tout intérêt à proposer ces faux blogs pour toucher de l’argent de cette manière en plus des infections mises en ligne.
Dans ces antispywares proposés, on en trouve qui sont classés comme légitimes, c’est notamment le cas de Spyware Doctor de PCTools.

2007 à  2009 : bundle adwares ou moteurs de recherche

Depuis 2007 les logiciels « dits gratuits » installant des adwares sont apparus.
Le principe est donc de proposer des logiciels gratuits qui installent des composants qui ouvriront des publicités.
Soit cela est explicitement dit et il faut cocher une case en disant que l’on accepte, soit cela est expliqué au fin fond de l’EULA (conditions d’utilisations).
Dans la majorité des cas, l’utilisateur installe le logiciel gratuit sans savoir que ce dernier va installer un composant gratuit.
Quelques exemples :

• Navipromo / Favorit: Ce dernier allait via l’installation de logiciels gratuits en copiant parfois le nom de logiciels existant comme WebMediaPlayer afin de semer la confusion. Le composant était aussi installé via d’autres manières :
  • HotTVPlayer & Paris Hilton
  • SuperSexPlayer et Adware Navipromo/Magic.Control
  • WebMediaplayer : faux codec pour vidéo pornographique et crack
  • Même chose avec : Live-Player et navipromo
  • et l’utilisation de nom de logiciels connus : Official Emule installe navipromo
• Ads served by Dcads (Adware Fotomoto) par P2P
• Lop.com :
  • Lop.com/swizzor et MSN Plus!
  • Popups intempestives CiD (lop.com/Swizzor)
• Zango, Hotbar : rond.stardoors.com

De la même manière vous avez des logiciels qui modifient la page de démarrage souvent vers un moteur de recherche qui utilise en fond Google afin de générer du traffic (donc revenus sur les pubs) et éventuellement récupérer les recherches effectuées.

2010 : encore plus sur le fil..

2010 a vu une subtile évolution, avec l’apparition de programmes Offerbox, moovida/deenero (qui semble avoir été créé par Favorit), etc.
Ces derniers sont des programmes qui se greffent sur le navigateur, en général avec des barres d’outil et proposent des prix sur des articles (chaussures etc).
Dans le cas d’Offerbox, ce dernier ouvre des popups de publicité.
Ces programmes sont proposés en autre par :

• de faux VLC Plugin : Offerbox / HotBar/ShopperReports/ClickPotato
• un Plugging Radio/TV : Freetvradio / Fissa Search / Offerbox
• Il semblerait que le botnet TDSS l’installe aussi si on se fie à ce lien : http://blog.urlvoid.com/new-tdss-variants-install-plenty-of-software/

A côté de cela, tout comme le nom du logiciel, VLC est utilisé pour proposer des barres d’outils et adwares.
Hotbar est aussi proposé via l’installation de logiciels connus comme OpenOffice ou LimeWire : http://forum.malekal.com/zango-hotbar-rond-stardoors-com-t5795.html#p234488
Dernièrement aussi un pack malicieux installe la barre d’outils SweetIM qui n’a rien de malicieux (voir la page Trojan.Oficla : Deux Rogues ).
La tendance est donc, à travers l’utilisation de logiciels connus (souvent en licence GNU), de proposer l’installation de ces logiciels avec des adwares en plus par rapport à la version officielle.
La nouvelle tendance, en plus des barres d’outils, sont les programmes de promotion.

2011 – Encore plus de barre d’outils, encore plus de PUP/LPIs et les sites de téléchargement qui s’y mettent

2011 est le tournant puisqu’une explosion a lieu pou de refourguer ces programmes divers et barre d’outils.
Encore plus de programmes gratuits qui proposent des barres d’outils avec notamment une polémique autour d’Avira.
Encore plus de PUP/LPis : Logiciels potentiellemenst indésirables et explosions des faux codecs VLC :

• seeearch.com : PUP et faux pack VLC
• kreaffiliation / Aedge performance : Faux VLC & compagnies

D’autres programmes pourries :

• Un mega Pack pourri qui installe une multitude de programmes : PUP mega pack : Babylon, Registry Booster, FaceSmooch, TuneUp Utilities
• Le cas Bandoo : searchqu / Bandoo : PUP / Hijacker page de démarrage/recherche
• Babylon Toolbar refourgué dans tous les sens : FoxTab FLV Player : DealPly / Babylon Toolbar
• Une autre belle arnaque par minitel avec telecharger-facile.com : Arnaque facile ?
• L’affaire Sebsauvage avec PCTuto qui a tenté de le faire taire par leur avocat

La distribution se fait avant tout à travers les publicités et les liens sponsorisés des moteurs de recherche.
On distinguera deux cas, par exemple Eorezo/PCtuto et la société à l’origine de l’arnaque par minitel qui utilise les réseaux de publicités et liens sponsorisés sur les moteurs de recherche pour distribuer leurs logiciels et ont un retour sur l’investissement.
Et les autres éditeurs qui utilisent le PPI (pay per install) et affiliations pour faire distribuer par des tiers, par exemple, par des régies de publicité tiers dans le cas des faux codecs VLC.
Au final ce sont les sites de téléchargement qui s’y mettent.. (voir http://www.malekal.com/2011/08/24/on-te-pourrit-le-net-acte-3-le-tour-des-sites-de-telechargement/) en distribuant eux mêmes leurs barre d’outils en plus de celles proposées dans les logiciels.
La boucle est bouclée : Les régies de pubs se font de l’argent en faisant de la pub pour des affiliés qui touchent eux de l’argent à chaque installation du logiciel.
Maintenant c’est au tour des sites de téléchargement.
L’accumulation des programmes inutiles entraînent le ralentissement des PC ce qui créé une niche pour les programmes dit de nettoyage (registre & compagnie) qui ne règle pas du tout ces problèmes.

2012/2013

Les publicités sont de plus en plus borderline.
On se rapproche de plus en plus des faux codecs.
J’ai recensé quelques publicités pourries sur la page : http://www.malekal.com/2012/12/10/en-how-ads-can-sucks/

Click this bar to view the full image.

Ci-dessous, les publicités pour les logiciels Java et Adobe Flash qui bien sûr embarque des logiciels parasites.

Click this bar to view the full image.

Click this bar to view the full image.

Côté programmes parasites, un cran supplémentaire est passé :

• Qvo6.com modifie les raccourcis des navigateurs WEB pour ajouter son adresse afin de s’assurer de son ouverture au démarrage.
• delta-homes.com va encore plus loin puisqu’il modifie la clef shell\open\command toujours dans le même but : http://pjjoint.malekal.com/files.php?read=20130708_w11i10c8g9k14

Click this bar to view the full image.

PUPs qvo6.com

Les antivirus ne détectent casi aucun des ces programmes parasites : Antivirus gratuits et programmes parasites PUPs

2014

Edition du topic pour ajouter l’année 2014 concernant les programmes parasites et adwares où la frontière entre malwares et non malwares se réduit, avec notamment l’utilisation de campagne de malvertising.
Le but étant de proposer des publicités malicieuses à des régies afin de rediriger les internautes vont des pages qui vont proposer ces programmes parasites.
Ces publicités malicieuses vont rediriger vers de fausses pages de mises à jour Flash, Java ou de lecteur vidéo et proposer un setup contenant ces programmes parasites.
Ces publicités malicieuses vont soit s’ouvrir sur un onglet en plus du site visité soit remplacer le site visité.
Le but est clairement de tromper les internautes en leur faisant croire qu’il faut faire une mise à jour Java ou Flash afin de refourguer des programmes parasites.
Ces publicités permettent de toucher un nombre assez conséquent d’utilisateurs lorsqu’elles sont des gros réseaux et sites WEB.
Quelques exemples de ces fausses pages :

Click this bar to view the full image.

malvertising « video peut être obsolète »

Click this bar to view the full image.

Obsolète Java plugin

Click this bar to view the full image.

Update Video Player

Liens relatifs à ces publicités malicieuses :

• http://forum.malekal.com/pup-optional-tuguu-adware-win32-domaiq-pup-outbrowse-t47819.html
• Une forte campagne au 1er Novembre 2014 où des sites comme DeviantArt et Ebay France ont été touchés : http://forum.malekal.com/virus-java-virus-flash-sur-deviantart-ebay-t49616.html

à partir de Mai, j’ai commencé à recenser ces publicités malicieuses et à en faire retirer : http://malvertising.stopmalwares.com/2014/05/pup-domaiq-fake-javaflash-update-pages/ - ce qui a permis d’attirer l’attention sur ces pratiques : https://www.stopbadware.org/blog/2014/06/16/users-exposed-in-may-malvertising-campaign  – en 2 jours, 37 000 internautes ont été redirigés seulement sur un site WEB.
Cisco a aussi publié une analyse : http://blogs.cisco.com/security/kyle-and-stan/
Du coup, les antivirus et Google SafeBrowsing ont commencé à bouger, ce qui est une bonne nouvelle pour les internautes.
A noter que les antivirus font aussi un peu plus d’efforts par rapport aux années précédentes pour ajouter des détections sur les setup de programmes parasites.
Côté adwares/programmes parasites, quelques nouveautés :

• avec l’utilisation en masse de proxy, ce qui permet d’injecter des publicités dans les pages web visités – cela pose de gros problèmes de connexions (erreur proxy, les sites SSL qui ne fonctionne plus).
• des adwares toujours plus difficile à supprimer manuellement.
• des setup qui ne fonctionnent pas en VM – les anti-vm étant aussi utilisés par les « vrais » infections afin de rendre l’étude impossible dans des environnements virtualisés.
• Des setups de plus en plus vicieux, vous déclinez l’offre, une popup s’ouvre en insistant… des setup sans croix qu’on ne peut fermer facilement etc.

Mais aussi, des adwares qui proposent d’autres adwares durant leur désinstallation, notamment avec BubbleDock : https://www.supprimer-virus.com/supprimer-bubble-dock/
Bref, sans surprise, le but c’est que les adwares restent le plus longtemps possible sur les PC afin que les pubs continuent de s’afficher et que l’argent rentre.

Malware ot not Malware ?

C’est sur cette dernière évolution que je vais m’attarder.
Comme on peut le voir, les infections installent maintenant des barres d’outils légitimes et programmes légitimes (ou du moins qui se présentent comme tels pour certains).
Bien entendu, les auteurs de malwares touchent un % par barre d’outils installée toujours via les affiliations.
Si ces barres d’outils ou programmes ne sont pas malicieux en soi, les éditeurs d’antivirus ne vont pas les classer comme malicieux.
La question devient : un malware est seulement un programme malicieux ou un malware est un programme non malicieux mais installé par des procédés douteux (voir par des infections) ?
Bref les programmes d’affiliations pervers font-ils d’un programme un malware ?

• Doit-on classer Spyware Doctor comme malware, au vu du nombre de faux blogs qui inondent les moteurs de recherche pour proposer cet antispyware comme solution à des infections, alors qu’il faut payer pour éradiquer et que l’on est pas certain du résultat ?
• Doit-on classer la barre d’outils SweetIM comme malicieuse maintenant qu’elle est installée automatiquement par des infections ?
• Offerbox est-il un adware ? ce dernier ouvre des popups de publicité, la manière de se propager est assez limite. Seulement l’utilisateur accepte les conditions d’utilisation, rien n’empêche d’envoyer à l’éditeur d’un programme de ce type d’envoyer un mail à un éditeur d’antivirus pour faire pression et retirer la détection en prétextant qu’un accord a été fait entre l’utilisateur et l’éditeur du programme puisque l’utilisateur a accepté les conditions d’utilisation.

Car si c’est un affilié qui « abuse », les éditeurs des programmes ne font pas grand chose pour le bannir et au final, on voit une multiplication de ces méthodes donc une augmentation de l’installation de ce programme pour l’éditeur qui y gagne ; A noter que dans le cas du faux plugin VLC, cela semble être une régie de pub qui offre ces bannières en guise de publicité.
Le fond du problème dans le cas des programmes comme Offerbox et Hotbar et que ces programmes jouent sur la crédulité des utilisateurs et la non lecture des conditions d’utilisation.
Si l’on prend ce sujet : http://www.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#20
La personne s’est retrouvée avec Offerbox sur son PC suite à l’installation  du faux VLC Plugin : Offerbox / HotBar/ShopperReports/ClickPotato croyant à une mise à jour officielle par Mozilla (comme la barre est jaune).
Ce dernier a fait suivant, suivant …. en ayant confiance (puisque c’est VLC et il connaît) et même la popup en anglais ne l’a pas stoppé (encore faut-il parler anglais dans le cas d’Hotbar).
De ce fait, beaucoup d’internautes se retrouvent avec des PC bourrés de barres d’outils, des PC ralentis… des navigateurs qui rament.
Comme on peut le voir, faire installer des applications voulues et toucher de l’argent restent encore très facile.
Sans nul doute, en ce qui me concerne, l’évolution de l’installation de SweeIT par une infection surfe sur ce flou.
Il faut aussi noter l’évolution, si en 2007 on s’offusquait quand un programme gratuit proposait l’installation d’une barre d’outils maintenant c’est devenu chose normale…. Les blogs de sécurité sont choses normales…. Il faut s’attendre à voir de plus en plus, de faux programmes gratuits proposant des barres d’outils ou autres programmes plus ou moins adwares à l’avenir.


REF.: