Si ces pratiques ne sont pas nouvelles, elles commencent à prendre des proportions qui font qu'il est maintenant difficile pour un utilisateur n'étant pas au courant de passer à côté.
Le but de ces pratique est de distribuer des antispywares et toucher une commission au passage sur la vente et donc au final, comme d'habitude, de faire de l'argent facilement.
Google Poisoning
Le tout repose sur l'affiliation à un antispyware (voir définition Wikipedia : http://fr.wikipedia.org/wiki/Affiliation_(internet)) et utilise les infections de types rogues et bien souvent les infections Zlob/VideoAccess/Trojan.Win32.DNSChanger via Google Poisoning.
Un utilisateur infecté par un rogue et recevant des alertes pour ce rogue a des chances de taper le nom du rogue ou une phrase de l'alerte sur Google afin d'obtenir des informations, chose qui paraît normal.
Prenoms le cas Windows Antivirus 2008
Sur la première page de résultat de Google, on obtient 9 réponses distinctes.
Sur ces 9 réponses distinctes, 4 sont de faux blogs de sécurité (entourés en rouge ; je détaillerai plus tard ce que sont ces faux blogs).
Ce qui donne casimment 50% des réponses renvoyants vers ces arnaques.
Le cas Antivirus 2009 maintenant.
7 réponses dont 10 renvoyants vers ces faux blogs.... soit environ 75% des réponses renvoyées par Google.
Difficile donc pour les internautes infectés de passer à côté... les techniques utilisées sont toujours les mêmes.
Mots génériques dans les noms de domaines : removal, spywares, viruses, uninstall afin d'être mieux placés dans les résultats de recherche.
Créations de multiples faux sites linkant ces sites afin d'augmenter le ranking.
etc..
Bref des techniques bien rodées et connues utilisées entre autre par les auteurs de malwares eux même.
Les faux blogs de sécurité
Ces faux blogs sont en général construit de la même manière...
Un sujet par infection ou rogues.. utilisation massive et répétions du nom de l'infection ou rogue pour être bien reconnues par les moteurs de recherche.
et surtout... une proposition de programme qui soit disant permet l'éradication de l'infection.
Les informations sont l'infection sont en général assez bien détaillées, la présentation sérieuse.. l'internaute peux donc penser à un vrai blog de sécurité lui proposant une solution efficace.
Il est trop facile de prétendre développer des solutions pour entre autre supprimer des rogues et laisser faire certaines agissements quand cela les arrange.
Sur la capture ci-dessous, deux blogs, comme vous pouvez le voir la présentation diffère que très peu.
Ici est proposé un "SpyHunter Free Antivirus 2008 scanner"... la solution pour éradiquer Antivirus 2008
Toute la suptilité repose sur la présentation de proposition du programme d'éradication de l'infection qui est parfois ambigu.
Les antispywares sont parfois passés sous le nom de Removal Tools.
Pour un rappel, un removal tools est un programme qui supprime certaine infection spécifiques qui sont en général plus efficace... à la lecture du post sur l'infection sur le faux blogs, l'utilisateur peut alors penser que le faux blogs lui propose un programme spécial pour supprimer son infection...
Or ce n'est pas le cas, il y a donc tromperie.
Bien sûr une fois téléchargé..... et installé... il faudra payer pour désinfecter son PC..
Et quand on voit l'efficacité.. plutôt l'inefficacité de certains...... voir la page Adwares/Spywares : Comment NE PAS désinfecter son PC ?, je vous laisse en tirer les conclusions.
Un exemple concret parmi d'une internaute parmi des milliers ayant installé SpyHunter suite à une infection : viewtopic.php?f=3&t=12793#p98424
Liens Faux blogs de sécurité.
Quelques liens de faux blogs regroupés par subnet.
Vous pouvez aller les visiter sans soucis, ils ne sont pas infectieux.
windowsvistaplace.com has address 208.65.21.145
lt.2-spyware.com has address 209.85.23.82
www.2-spyware.com has address 209.85.23.82
www.2-viruses.com has address 209.85.23.84
removal-instructions.com has address 209.85.60.140
uninstall-spyware.com has address 209.85.60.141
spywareremove.com has address 209.85.60.143
Pour ces derniers, la source semble être une entreprise lithuanienne : http://www.esolutions.lt/
www.411-spyware.com has address 64.13.232.128
www.removeonline.com has address 69.16.252.250
removal-tool.com has address 64.28.182.187
hands-oncorp.com has address 64.28.182.147
damnedspyware.com has address 69.65.41.98
www.xp-vista.com has address 70.85.26.196
www.zimbio.com has address 72.32.7.18
spywareremovalhell.com has address 74.53.228.162
fr.pcthreat.com has address 78.153.252.211
fix-slow-computer.com has address 80.93.48.92
fix-computer-problem.com has address 88.214.200.240
Regroupés par antispywares :
SpyHunter :
http://fr.pcthreat.com/parasitebyid-6891fr.html
http://www.411-spyware.com/remove-windows-antivirus-2008
http://www.xp-vista.com/spyware-removal/antivirus2008-antivirus-2008-removal-instructions
http://www.removal-instructions.com/removeAntivirus_2008_Pro.html
[i]http://www.spywareremove.com/removeVistaAntivirus2008.html
http://www.removal-instructions.com/removeAntivirus_2008_Pro.html
http://www.zimbio.com/Spyware/articles/838/Antivirus2009
http://www.uninstall-spyware.com/
SpywareDoctor :
http://www.2-spyware.com/remove-windows-antivirus-2008.html
http://hands-oncorp.com/2008/06/12/windows-antivirus-2008-removal-instructions/
http://removal-tool.com/windows-antivirus-2008/
http://www.damnedspyware.com/how-to-get-rid-of-windows-antivirus-2008-windows-antivirus-2008-removal-tool.html
http://removers.volyn.net/
http://fix-slow-computer.com/
http://fix-computer-problem.com/
http://www.windowsvistaplace.com/
http://lt.2-spyware.com/remove-infector-trojan.html
http://hands-oncorp.com/
http://www.spywareremovalhell.com/
SpyNoMore :
http://www.removeonline.com/remove-windowsantivirus2008-windows-antivirus-2008-removal-instructions/
http://www.2-viruses.com/remove-windows-antivirus-2008
Les trois seuls proposés, sont donc SpyHunter, SpywareDoctor, SpyNomore.
Il y a encore quelques temps, XoftSpy l'était mais ça ne semble plus être le cas (du moins dans les faux blogs trouvés).
Si cela n'est guère étonnant pour SpyHunter qui est plus ou moins connu pour ses pratiques doutes ( voir http://blog.malwareteks.com/spyhunter-s ... plication/).
Il est plus étonnant de voir ces faux blogs proposés Spyware Doctor de PC Tools qui est reconnu pour être un véritable antispyware.
Conclusion
Si le principe n'est pas nouveau, ce procédé a pris des promotions non négligeables.
Ce sont des procédés similaires à ceux utilisés par les rogues puisque le but est de faire installer un antispyware qui au final est payant.
On peut se demander qui se cache derrière cela ?
Des sociétés non scrupules ?
Les éditeurs d'antispywares eux mêmes pour faire connaître leur produit ? (j'en doute).
Les auteurs de malwares eux même qui gagnent de l'argent en touchant les % sur la vente ? (affiliation) ?
Difficile à dire...
Quoiqu'il en soit en ce qui concerne malekal.com, les antispywares proposés via ces faux blogs ne seront plus conseillés mais déconseillés tant que les éditeurs n'auront pas fait le ménage.
On voit de plus en plus d'antispywares gratuits proposés des barres d'outils.. bref du sponsoring...
De faux blogs se faire de l'argent en proposant de faux antispywares, via des méthodes plus que limites.
La frontière entre rogues et "vrais" antispywares est mis à mal de jour en jour.
