PUP est l’acronyme de Potentially Unwanted Program soit donc
logiciels potentiellement indésirables (LPI).
Ce sont des programmes qui peuvent être non désirés mais qui peuvent
tout de même être installé par l’utilisateur. Dans ces détections sont
classées les adwares commerciaux ou barre d’outils qui sont bundles avec
des programmes : souvent ces derniers modifient la page de démarrage et
recherche afin d’augmenter le tracking, voir pour certains ouvrir des
popups de publicités pour rémunérer l’éditeur.
Le schéma général est de proposer un programme gratuit et en
contre-partie une barre d’outils ou un adware. Le fond du problème est
que ces éditeurs ont en général des politiques assez aggressives voir
trompeuses afin d’installer le plus possibles ces programmes (et donc
gagner plus d’argent), l’utilisateur se laissent berner et installent
ces programmes sans trop savoir ce qu’il en retourne, soit ils gagnent
des popups de publicité, soit ils gagnent un packs complet de logiciels
(barre d’outils, comparateur d’achats) qui a terme concours à ralentir
l’ordinateur.
Ces programmes potentiellement indésirables ne sont pas à
sous-estimer – Microsoft, via son rapport SIR, positionnant la France,
fin 2011, comme championne
des PUPs/Adwares.
Les méthodes de propagation
La proposition est en général via des bannières de publicités ou
depuis les liens sponsoriés sur les moteurs de recherche – ici des liens
Eorezo/
PCTuto et des liens inconnus :
| This image has been resized. Click this bar to view the full image. The original image is sized 1028x774px. |
ici le programme réclame un SMS pour pouvoir s’installer…
| This image has been resized. Click this bar to view the full image. The original image is sized 1022x768px. |
Ou
des bannières de publicités qui sont par exemple la promotion de
Babylon Toolbar :
| This image has been resized. Click this bar to view the full image. The original image is sized 1030x764px. |
et donc aussi Google Adsense :
| This image has been resized. Click this bar to view the full image. The original image is sized 921x229px. |
| This image has been resized. Click this bar to view the full image. The original image is sized 1314x303px. |
ou des sites de téléchargements qui reprennent des programmes (en
général gratuits ou libres) et qui les repacks pour y ajouter ces
programmes additionnels et toucher de l’argent.
Cas de
winportal.fr :
| This image has been resized. Click this bar to view the full image. The original image is sized 1024x771px. |
ou ci-dessous,
le site koyotesoft.com qui installe les PUP Bandoo.
| This image has been resized. Click this bar to view the full image. The original image is sized 964x555px. |
ou des tutoriels qui installe
un adware proposé par 01net – 01net touche un pourcentage à chaque installation réussie, c’est le système des affiliations :
| This image has been resized. Click this bar to view the full image. The original image is sized 1027x767px. |
Toujours chez 01net – ce dernier refourgue une barre d’outils à l’installation de certains programmes – lire :
http://www.malekal.com/2012/02/03/01net-bundle-bfm-tv-toolbar/
| This image has been resized. Click this bar to view the full image. The original image is sized 1029x744px. |
Autre cas des
Faux plugins VLC qui imitent les barres jaunes ActiveX ou barres jaunes installation de plugins pour Firefox :
| This image has been resized. Click this bar to view the full image. The original image is sized 1025x769px. |
Les arnaques par SMS sont aussi proposés en résultats de liens commerciaux sur les moteurs de recherche :
Faux sites d’affiliations : arnaque SMS
| This image has been resized. Click this bar to view the full image. The original image is sized 1030x669px. |
En vidéo :
D’où l’importance
des sources de téléchargements –
NE PAS TELECHARGER de programmes proposés en publicités ou liens sponsorisés sur les moteurs de recherche.
Faire attention aussi durant l’installation car les sites de téléchargement s’y mettent, lire :
On te pourrit le net (et vos PC) – Acte 3 : le tour des sites de téléchargement
Sur les forums de désinfection, on retrouve souvent les mêmes programmes qui posent problème, à savoir :
Si les éditeurs d’antivirus estiment que des procédés discutables
sont utilisés pour faire installer ces programmes, alors le programme
sera classé en PUP :
Potentially Unwanted Program.
Notez que ces programmes se désinstallent correctement pour la majorité d’entre eux.
Pas besoin de passer 50 antispywares, une simple désinstallation
suffit. Dans le cas des détections présentes, il faut les prendre plus à
titre informatique que pour ayant but d’éradiquer le programme.
Selon l’éditeur d’antivirus, les détections PUP ne sont pas activées
par défaut ou lors de détection via un scanne, les éléments PUP ne sont
pas cochés, c’est à l’utilisateur de cocher s’il ne souhaite pas garder
le programme ou s’il ne sait pas d’où le programme vient afin de le
faire supprimer par l’antivirus.
Survol rapide des PUP/LPI pour
Avast!, AVG,
Malwarebyte Anti-Malware. et
Antivir.
Avast!
Exemple avec
les faux plugins VLC- où
Avast! ne bronche pas.
| This image has been resized. Click this bar to view the full image. The original image is sized 1028x768px. |
Activons la détection des logiciels indésirables. Pour cela, ouvrez l’interface d’
Avast! Déroulez le menu des Protections résidentes.
Allez dans Agent des Fichiers. Cliquez à droite sur Réglages Experts
| This image has been resized. Click this bar to view the full image. The original image is sized 1027x772px. |
A gauche, dans la liste des onglets, cliquez sur Sensibilité.
Activez l’option Rechercher les logiciels potentiellement indésraibles (LPIs).
Répétez l’opération pour l’agent WEB.
Notez que le réglages Sensibilité disponible par agent, l’est aussi
sur le réglage des scans afin d’activer les détections des LPIs lors des
scans à la demande.
| This image has been resized. Click this bar to view the full image. The original image is sized 1024x767px. |
Avast! détecte maintenant le faux plugin en
Win32:Zango [PUP]
| This image has been resized. Click this bar to view the full image. The original image is sized 1023x768px. |
| This image has been resized. Click this bar to view the full image. The original image is sized 1030x767px. |
AVG
Pour activer les détections des programmes potentiellement dangereux. Cliquez sur le menu Outils et Options avancées.
Déroulez le menu Analyses et pour Analyse Complète et Analyse contextuelle.
Activer «
Signaler les programmes potentiellement dangereux et les spywares » ainsi que « Signaler le jeu amélioré de programmes potentiellement dangereux »
| This image has been resized. Click this bar to view the full image. The original image is sized 1033x768px. |
Répétez l’opération pour la partie Bouclier résident.
| This image has been resized. Click this bar to view the full image. The original image is sized 1027x770px. |
AVG signale maintenant les programmes potentiellements dangereux.
| This image has been resized. Click this bar to view the full image. The original image is sized 1026x773px. |
De même lors des scans à la demande.
| This image has been resized. Click this bar to view the full image. The original image is sized 1031x769px. |
Malwarebyte Anti-Malware
Les détections des PUP/LPI sont activées par défaut, mais ces
dernières ne sont pas cochées lors des détections. C’est à l’utilisateur
de sujet si le programme est le bienvenue sur son ordinateur et de le
supprimer en cas de doute.
Plus d’informations sur la configuration de Malwarebyte Anti-Malware :
Tutoriel Malwarebyte Anti-Malware.
| This image has been resized. Click this bar to view the full image. The original image is sized 1031x769px. |
Antivir
Cliquez en haut à droite sur Configuration, déroulez ensuite Général
et catégories de menaces et cocher les catégories adéquates (Logiciels
frauduleux).
Plus d’informations sur la configuration d’Antivir :
Tutoriel Antivir.
| This image has been resized. Click this bar to view the full image. The original image is sized 1033x770px. |
WOT
WOT peux s’avérer être une extension assez utile pour identifier les sites de téléchargements trompeurs :
http://www.malekal.com/2011/01/09/wot-web-of-trust/
Plus globalement, dans le cas de Firefox, se reporter à la page :
Sécuriser le navigateur WEB Firefox
HOSTS Anti-PUPs/Adwares
HOSTS Anti-PUPs/Adware modifie votre fichier HOSTS afin de vous protéger des sites distribuant les PUPs/LPIs et Adwares :
http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
Conclusion
Les programmes potentiellement indésirables sont de plus en plus
présents sur les forums de désinfection puisque que les éditeurs sont de
plus en plus aggressifs afin d’installer un maximum de ces logiciels
sur les PC et donc gagner un maximum d’argent.
Je vous conseille donc d’activer les détections PUP/LPI, surtout si vous
êtes plusieurs utilisateurs sur le PC (surtout avec les ados), cela
peux limiter la casse, néanmoins la meilleur protection reste la
vigilance, n’installez pas les programmes proposés (surtout par des
publicités), dans le cas d’un téléchargement, visez plutôt les sites
connus (Clubic, Commentcamarche etc).
Évitezles barres d’outils qui ralentissent l’ordinateur (lire :
Les toolbars c’est pas obligatoire!)
– N’acceptez aucune installation d’aucune barre d’outils ou logiciels
additionnels contenu dans celui que vous comptez installer.
Éventuellement faire un scan sur Pjjoint – ce dernier énumère ce
genre de programmes que vous pouvez désinstaller manuellement :
http://pjjoint.malekal.com/presentation.php
Pour mieux comprendre les détections des antivirus, vous pouvez aussi vous reporter à la page :
Index des menaces et programmes malveillants/Malwares
REF.: