Une page concernant les dernières activités
« douteuses » (c’est une appréciation personnelle) auxquelles nous
assistons et pour comprendre que parfois la limite entre légitime et non
légitime est parfois difficile à établir.
Depuis deux ans cette limite se réduit considérablement selon le point de vue où l’on se place.
Les évolutions des adwares et barres d’outils
2007 – les barres d’outils en installation de logiciel
Courant 2007 les solutions de sécurité ont proposé des
barres d’outils dites de sécurité dans leurs installations.
C’est une forme de sponsors, l’éditeur de sécurité touche de l’argent sur le nombre de barres d’outils installées.
A l’époque cela avait fait du bruit dans les blogs d’antivirus et notamment chez
Sunbelt avec le cas
ZoneAlarm/SpySweeper qui installait la barre d’outils Askbar.
| Click this bar to view the full image. |
2008 – les faux blogs de sécurité
Comme expliqué sur cette page :
Faux blogs de sécurité : SpyHunter et Spyware Doctor
Il existe de faux blogs de sécurité qui proposent l’éradication d’infections en installant des antispywares.
Ces faux blogs se font la guerre sur les moteurs de recherche afin
d’être bien positionnés (afin de ramasser un maximum de visiteurs).
Ces faux blogs ne sont, au final, que des sites affiliés aux
antispywares… (en installant, les auteurs de ces blogs touchent un
certain pourcentage), qui peuvent être ensuite achetés par les
internautes.
Sur les faux blogs, les infections sont détaillées et la solution
proposée est un fix qui s’avère être un antispyware, comme si
l’infection a été étudiée et qu’un fix a été mis en ligne pour supprimer
cette infection, alors qu’au final, les pages sont générées
automatiquement avec toutes les mêmes liens vers cet antispyware.
Le problème de cette méthode est que l’utilisateur va installer
l’antispyware croyant avoir trouvé la solution à son infection,
l’antispyware va détecter des choses (donc l’utilisateur sera content)
mais rien ne dit que la totalité de l’infection est détectée, cela
peut-être des fichiers « autour ».
Surtout il faut payer pour éradiquer.
| Click this bar to view the full image. |
Il faut comprendre que les auteurs de blogs ont tout intérêt à
proposer ces faux blogs pour toucher de l’argent de cette manière en
plus des infections mises en ligne.
Dans ces antispywares proposés, on en trouve qui sont classés comme
légitimes, c’est notamment le cas de Spyware Doctor de PCTools.
2007 à 2009 : bundle adwares ou moteurs de recherche
Depuis 2007 les logiciels « dits gratuits » installant des adwares sont apparus.
Le principe est donc de proposer des logiciels gratuits qui installent des composants qui ouvriront des publicités.
Soit cela est explicitement dit et il faut cocher une case en disant que l’on accepte, soit cela est expliqué au fin fond de l’
EULA (conditions d’utilisations).
Dans la majorité des cas, l’utilisateur installe le logiciel gratuit
sans savoir que ce dernier va installer un composant gratuit.
Quelques exemples :
De la même manière vous avez des logiciels qui modifient la page de
démarrage souvent vers un moteur de recherche qui utilise en fond Google
afin de générer du traffic (donc revenus sur les pubs) et
éventuellement récupérer les recherches effectuées.
2010 : encore plus sur le fil..
2010 a vu une subtile évolution, avec l’apparition de programmes Offerbox, moovida/deenero (
qui semble avoir été créé par Favorit), etc.
Ces derniers sont des programmes qui se greffent sur le navigateur, en
général avec des barres d’outil et proposent des prix sur des articles
(chaussures etc).
Dans le cas d’
Offerbox, ce dernier ouvre des popups de publicité.
Ces programmes sont proposés en autre par :
A côté de cela, tout comme le nom du logiciel, VLC est utilisé pour proposer des barres d’outils et adwares.
Hotbar est aussi proposé via l’installation de logiciels connus comme OpenOffice ou LimeWire :
http://forum.malekal.com/zango-hotbar-rond-stardoors-com-t5795.html#p234488
Dernièrement aussi un pack malicieux installe la barre d’outils SweetIM qui n’a rien de malicieux (voir la page
Trojan.Oficla : Deux Rogues ).
La tendance est donc, à travers l’utilisation de logiciels connus
(souvent en licence GNU), de proposer l’installation de ces logiciels
avec des adwares en plus par rapport à la version officielle.
La nouvelle tendance, en plus des barres d’outils, sont les programmes de promotion.
2011 – Encore plus de barre d’outils, encore plus de PUP/LPIs et les sites de téléchargement qui s’y mettent
2011 est le tournant puisqu’une explosion a lieu pou de refourguer ces programmes divers et
barre d’outils.
Encore plus de programmes gratuits qui proposent des barres d’outils avec notamment une polémique autour d’Avira.
Encore plus de
PUP/LPis : Logiciels potentiellemenst indésirables et explosions des faux codecs VLC :
D’autres programmes pourries :
La distribution se fait avant tout à travers les publicités et les liens sponsorisés des moteurs de recherche.
On distinguera deux cas, par exemple Eorezo/PCtuto et la société à
l’origine de l’arnaque par minitel qui utilise les réseaux de publicités
et liens sponsorisés sur les moteurs de recherche pour distribuer leurs
logiciels et ont un retour sur l’investissement.
Et les autres éditeurs qui utilisent le PPI (pay per install) et
affiliations pour faire distribuer par des tiers, par exemple, par des
régies de publicité tiers dans le cas des faux codecs VLC.
Au final ce sont les sites de téléchargement qui s’y mettent.. (voir
http://www.malekal.com/2011/08/24/on-te-pourrit-le-net-acte-3-le-tour-des-sites-de-telechargement/) en distribuant eux mêmes
leurs barre d’outils en plus de celles proposées dans les logiciels.
La boucle est bouclée : Les régies de pubs se font
de l’argent en faisant de la pub pour des affiliés qui touchent eux de
l’argent à chaque installation du logiciel.
Maintenant c’est au tour des sites de téléchargement.
L’accumulation des programmes inutiles entraînent le ralentissement des
PC ce qui créé une niche pour les programmes dit de nettoyage (registre
& compagnie) qui ne règle pas du tout ces problèmes.
2012/2013
Les publicités sont de plus en plus borderline.
On se rapproche de plus en plus
des faux codecs.
J’ai recensé quelques publicités pourries sur la page :
http://www.malekal.com/2012/12/10/en-how-ads-can-sucks/
| Click this bar to view the full image. |
Ci-dessous, les publicités pour les logiciels Java et Adobe Flash qui bien sûr embarque
des logiciels parasites.
| Click this bar to view the full image. |
| Click this bar to view the full image. |
Côté
programmes parasites, un cran supplémentaire est passé :
| Click this bar to view the full image. |
PUPs qvo6.com
Les antivirus ne détectent casi aucun des ces programmes parasites :
Antivirus gratuits et programmes parasites PUPs
2014
Edition du topic pour ajouter l’année 2014 concernant les programmes
parasites et adwares où la frontière entre malwares et non malwares se
réduit, avec notamment l’utilisation de campagne de malvertising.
Le but étant de proposer des publicités malicieuses à des régies afin de
rediriger les internautes vont des pages qui vont proposer ces
programmes parasites.
Ces publicités malicieuses vont rediriger vers de fausses pages de mises
à jour Flash, Java ou de lecteur vidéo et proposer un setup contenant
ces programmes parasites.
Ces publicités malicieuses vont soit s’ouvrir sur un onglet en plus du site visité soit remplacer le site visité.
Le but est clairement de tromper les internautes en leur faisant croire
qu’il faut faire une mise à jour Java ou Flash afin de refourguer des
programmes parasites.
Ces publicités permettent de toucher un nombre assez conséquent d’utilisateurs lorsqu’elles sont des gros réseaux et sites WEB.
Quelques exemples de ces fausses pages :
| Click this bar to view the full image. |
malvertising « video peut être obsolète »
| Click this bar to view the full image. |
Obsolète Java plugin
| Click this bar to view the full image. |
Update Video Player
Liens relatifs à ces publicités malicieuses :
à partir de Mai, j’ai commencé à recenser ces publicités malicieuses et à en faire retirer :
http://malvertising.stopmalwares.com/2014/05/pup-domaiq-fake-javaflash-update-pages/ - ce qui a permis d’attirer l’attention sur ces pratiques :
https://www.stopbadware.org/blog/2014/06/16/users-exposed-in-may-malvertising-campaign – en 2 jours, 37 000 internautes ont été redirigés seulement sur un site WEB.
Cisco a aussi publié une analyse :
http://blogs.cisco.com/security/kyle-and-stan/
Du coup, les antivirus et Google SafeBrowsing ont commencé à bouger, ce qui est une bonne nouvelle pour les internautes.
A noter que les antivirus font aussi un peu plus d’efforts par rapport
aux années précédentes pour ajouter des détections sur les setup de
programmes parasites.
Côté adwares/programmes parasites, quelques nouveautés :
- avec l’utilisation en masse de proxy, ce qui permet d’injecter des
publicités dans les pages web visités – cela pose de gros problèmes de
connexions (erreur proxy, les sites SSL qui ne fonctionne plus).
- des adwares toujours plus difficile à supprimer manuellement.
- des setup qui ne fonctionnent pas en VM – les anti-vm étant aussi
utilisés par les « vrais » infections afin de rendre l’étude impossible
dans des environnements virtualisés.
- Des setups de plus en plus vicieux, vous déclinez l’offre, une popup
s’ouvre en insistant… des setup sans croix qu’on ne peut fermer
facilement etc.
Mais aussi, des adwares qui proposent d’autres adwares durant leur désinstallation, notamment avec BubbleDock :
https://www.supprimer-virus.com/supprimer-bubble-dock/
Bref, sans surprise, le but c’est que les adwares restent le plus
longtemps possible sur les PC afin que les pubs continuent de s’afficher
et que l’argent rentre.
Malware ot not Malware ?
C’est sur cette dernière évolution que je vais m’attarder.
Comme on peut le voir, les infections installent maintenant des barres
d’outils légitimes et programmes légitimes (ou du moins qui se
présentent comme tels pour certains).
Bien entendu, les auteurs de malwares touchent un % par barre d’outils installée toujours via les affiliations.
Si ces barres d’outils ou programmes ne sont pas malicieux en soi,
les éditeurs d’antivirus ne vont pas les classer comme malicieux.
La question devient : un malware est seulement un programme malicieux ou
un malware est un programme non malicieux mais installé par des
procédés douteux (voir par des infections) ?
Bref les programmes d’affiliations pervers font-ils d’un programme un malware ?
- Doit-on classer Spyware Doctor comme malware, au vu du nombre de
faux blogs qui inondent les moteurs de recherche pour proposer cet
antispyware comme solution à des infections, alors qu’il faut payer pour
éradiquer et que l’on est pas certain du résultat ?
- Doit-on classer la barre d’outils SweetIM comme malicieuse maintenant qu’elle est installée automatiquement par des infections ?
- Offerbox
est-il un adware ? ce dernier ouvre des popups de publicité, la manière
de se propager est assez limite. Seulement l’utilisateur accepte les
conditions d’utilisation, rien n’empêche d’envoyer à l’éditeur d’un
programme de ce type d’envoyer un mail à un éditeur d’antivirus pour
faire pression et retirer la détection en prétextant qu’un accord a été
fait entre l’utilisateur et l’éditeur du programme puisque l’utilisateur
a accepté les conditions d’utilisation.
Car si c’est un affilié qui « abuse », les éditeurs des programmes ne
font pas grand chose pour le bannir et au final, on voit une
multiplication de ces méthodes donc une augmentation de l’installation
de ce programme pour l’éditeur qui y gagne ; A noter que dans le cas du
faux plugin VLC, cela semble être une régie de pub qui offre ces
bannières en guise de publicité.
Le fond du problème dans le cas des programmes comme Offerbox et
Hotbar et que ces programmes jouent sur la crédulité des utilisateurs et
la non lecture des conditions d’utilisation.
Si l’on prend ce sujet :
http://www.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#20
La personne s’est retrouvée avec
Offerbox sur son PC suite à l’installation
du faux VLC Plugin : Offerbox / HotBar/ShopperReports/ClickPotato croyant à une mise à jour officielle par Mozilla (comme la barre est jaune).
Ce dernier a fait suivant, suivant …. en ayant confiance (puisque c’est
VLC et il connaît) et même la popup en anglais ne l’a pas stoppé (encore
faut-il parler anglais dans le cas d’
Hotbar).
De ce fait, beaucoup d’internautes se retrouvent avec des PC bourrés
de barres d’outils, des PC ralentis… des navigateurs qui rament.
Comme on peut le voir, faire installer des applications voulues et toucher de l’argent restent encore très facile.
Sans nul doute, en ce qui me concerne, l’évolution de l’installation de SweeIT par une infection surfe sur ce flou.
Il faut aussi noter l’évolution, si en 2007 on s’offusquait quand un
programme gratuit proposait l’installation d’une barre d’outils
maintenant c’est devenu chose normale…. Les blogs de sécurité sont
choses normales…. Il faut s’attendre à voir de plus en plus, de faux
programmes gratuits proposant des barres d’outils ou autres programmes
plus ou moins adwares à l’avenir.
REF.: