Cette fois le logiciel est proposé en téléchargement via des bannières Paris Hilton (sujet déjà traité par Kimberly sur la page : r00ted by Paris Hilton, Navipromo rootkit).
Pour amadouer, le mâle, on sème quelques bannières assez explicites quant au contenu, un peu comme le ponpon qui s'agite dans un manège.. (clic clic clic clic clic)
A ce stade 25% des mâles ont perdu leur faculté de reflexion en voyant la tignasse blonde zr s'empressent donc de cliquer...
On arrive à un site WEB (hxxp://www.blondeglamour.com / 87.242.90.134) proposant des vidéos de Paris Hilton (la page est disponible sous forme
Un fichier ParisHilton.exe (~ 10 Mo) est alors proposé en téléchargement pour visualier les dites de vidéos.
Bref, rien de plus dangereux qu'un fichier .exe
Certains reprendront leurs esprits.. en cliquant sur le bouton annuler.
D'autres fonceront têtes baissées en pensant au résultat final qu'ils obtiendront..
L'EULA s'affiche, on y a apprend que le programme est géré par Favorit.. qui est l'auteur de l'adware navipromo.
Mais très certainement que tout le texte sera zappé puisque c'est le bouton "voir voir voir" que l'internaute recherche
L'adware Magic.Control/navipromo s'installe alors au lancement de la fenêtre qui ressemble à celle de Windows Media Player.
Dans la capture ci-dessous, l'adware est le fichier jehkmi.exe
Des popups casinos, spyware-secure, crazy girls ou AWS Spywares vont alors pleuvoir afin de rémunérer les auteurs de ces programmes dits gratuits.
Bref, du le social engineering traditionnel mais qui marche.... Si vous vous êtes fait avoir comme un ado de 13 ans, vous pouvez visualiser la page suivante pour vous désinfecter : Supprimer Magic.Control/navipromo.
