Google SafeBrowsing et blocage de PUPs/Adwares

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Répondre
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86197
Inscription : 10 sept. 2005 13:57
Contact :

Google SafeBrowsing et blocage de PUPs/Adwares

Message par Malekal_morte » 29 mai 2015 11:04

Le 31 mai dans son blog, Google annonçait bloquait des milliers d'extensions de PUPs et Adwares. sur Google Chrome qui effectuaient des injections de publicités : http://googleonlinesecurity.blogspot.fr ... ctors.html

Google SafeBrowsing avait aussi été mis à jour afin de bloquer certains sites proposant des packs de PUPs/Adwares.

Hier en voulant télécharger un programme sur ClubIc, je suis tombé sur un repack (c'est le même programme d'affiliation que sur telecharger.com

(Vous pouvez vous reporter à la page suivante pour avoir la liste des sites de téléchargement qui proposent des programmes parasites : https://www.malekal.com/2014/12/04/les-s ... repackent/ ).

Le programme repacké qui propose de PUPs et Adwares. sur Firefox :

Image

Sur Google Chrome, on tombe sur un zip légitime :

Image

Petite remarque, l'adresse de téléchargement et le binaire change périodiquement, certainement pour éviter les blacklist.
271f4b1d3875651cedaa2a0e5cf7023d process-explorer_16-05_fr_14566_.exe
413e7f5bb9b0e7d5450dbfdd34463e5e process-explorer_16-05_fr_14566.exe
L'adresse email utilisée pour enregistrer les domaines est identique : http://malwaredb.malekal.com/url.php?email=galcomm.com

Une adresse israélienne, ce n'est pas étonnant, la majorité des boites de PUPs et régies de pubs qui en refilent ont cette origine.

Image

L'adresse est identique chez telecharger.com étant donné que c'est le même programme d'affiliation :

Image

Ce dernier est détecté en InstallCore : https://www.virustotal.com/fr/file/cf9c ... 432890872/
SHA256: cf9ceb403d2cfb0dd1798bad48baf0d75deda9b1b3c34f299b33c05e41bfa14d
Nom du fichier : process-explorer_16-05_fr_14566.exe
Ratio de détection : 6 / 57
Date d'analyse : 2015-05-29 09:14:32 UTC (il y a 1 minute)

Antivirus Résultat Mise à jour
AVG InstallCore.7FB 20150529
AVware Trojan.Win32.Generic!BT 20150529
Bkav W32.HfsAdware.F078 20150529
DrWeb Trojan.InstallCore.644 20150529
ESET-NOD32 a variant of Win32/InstallCore.ZM potentially unwanted 20150529
VIPRE Trojan.Win32.Generic!BT 20150529
Pour en revenir à Firefox et Google Chrome.
Deux régimes donc, sur Firefox, on a droit au repack, sur Google Chrome, un zip "sain".
Pourquoi?
Tout simplement parce que Google Chrome bloque le téléchargement =)

De ce fait, les sites de téléchargement ne redirigent pas vers du repack avec Google Chrome, sous peine d'avoir des remontés utilisateurs "y a des virus sur votre site".

Image

(Au passage, ce blocage de téléchargement est aussi très utile concernant les pièces jointes malicieuses, elles sont très souvent bloqués par Google Chrome.)

Au fait.... ce genre de procédé est normalement devenu illégal en France... => tuto4pc-mise-demeure-t51756.html

Enfin voir aussi notre article : Google : la police du net ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86197
Inscription : 10 sept. 2005 13:57
Contact :

Re: Google SafeBrowsing et blocage de PUPs/Adwares

Message par Malekal_morte » 30 mai 2015 11:16

J'ai commencé à envoyer des samples de temps en temps aux antivirus.
On passe de 6 à 9.
C'est le WE, on verra lundi, si c'est mieux =)
SHA256: 8b6412f6c4cbf6ebcb1577801c2d18077973785799082c09415bd716510cc22d
Nom du fichier : process-explorer_16-05_fr_14566(1).exe
Ratio de détection : 9 / 56
Date d'analyse : 2015-05-30 09:13:40 UTC (il y a 1 minute)


AVG InstallCore.7FB 20150530
AVware Trojan.Win32.Generic!BT 20150530
Bkav W32.HfsAdware.F078 20150529
DrWeb Trojan.InstallCore.644 20150530
ESET-NOD32 a variant of Win32/InstallCore.ZM potentially unwanted 20150530
K7AntiVirus Unwanted-Program ( 004c3c7f1 ) 20150530
K7GW Unwanted-Program ( 004c3c7f1 ) 20150530
Malwarebytes PUP.Optional.Bundle 20150529
VIPRE Trojan.Win32.Generic!BT 20150530
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86197
Inscription : 10 sept. 2005 13:57
Contact :

Re: Google SafeBrowsing et blocage de PUPs/Adwares

Message par Malekal_morte » 01 juin 2015 15:37

Sur le binaire de ce matin, on est à 16 détections.
SHA256: 6cdc1b6644e9c1289e36f575f827c7f5d1fcb1c3785899ca8cd6abc036f9c432
Nom du fichier : process-explorer_16-05_fr_14566.exe
Ratio de détection : 16 / 56
Date d'analyse : 2015-06-01 13:35:47 UTC (il y a 0 minute)

AVG InstallCore.7FB 20150601
AVware Trojan.Win32.Generic!BT 20150601
Avira PUA/InstallCore.512367 20150601
Baidu-International Adware.Win32.InstallCore.ZM 20150601
Bkav W32.HfsAdware.F078 20150601
DrWeb Trojan.InstallCore.644 20150601
ESET-NOD32 a variant of Win32/InstallCore.ZM potentially unwanted 20150601
Fortinet Riskware/InstallCore 20150601
K7AntiVirus Unwanted-Program ( 004c3c7f1 ) 20150601
K7GW Unwanted-Program ( 004c3c7f1 ) 20150601
Malwarebytes PUP.Optional.Bundle 20150601
McAfee Artemis!A522116300FC 20150601
McAfee-GW-Edition Artemis 20150601
Sophos Install Core Click run software 20150601
TrendMicro-HouseCall Suspicious_GEN.F47V0601 20150601
VIPRE Trojan.Win32.Generic!BT 20150601
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86197
Inscription : 10 sept. 2005 13:57
Contact :

Re: Google SafeBrowsing et blocage de PUPs/Adwares

Message par Malekal_morte » 03 juin 2015 16:38

Les tentatives pour bypasser le blocage Google Chrome commence.

Exemple : https://twitter.com/malekal_morte/statu ... 5757037568

DomaIQ/SoftPulse, au lieu de faire télécharger le binaire, fait télécharger un raccourci (Google Chrome ne bloquant pas ce type de fichiers).
domaiq_shortcut.png
DomaIQ/Softpulse bypass Google Chrome
domaiq_shortcut2.png
DomaIQ/Softpulse bypass Google Chrome
Ce dernier s'ouvrant avec Internet Explorer, le téléchargement et le lancement de l'installeur peut s'effectuer.


A noter que d'autres programmes d'affiliations de programmes marketting comme Solimba, se vantant de ne pas être bloqué sur Google Chrome propose leur service : https://twitter.com/malekal_morte/statu ... 5025547264
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86197
Inscription : 10 sept. 2005 13:57
Contact :

Re: Google SafeBrowsing et blocage de PUPs/Adwares

Message par Malekal_morte » 18 juil. 2015 07:22

Google annonce qu'il va encore amélioré les détections : http://googleonlinesecurity.blogspot.co ... ainst.html
Vous risquez donc d'avoir plus d'alertes concernant des blocages de sites WEB.
In the coming weeks, these detection improvements will become more noticeable in Chrome: users will see more warnings (like the one below) about unwanted software than ever before.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86197
Inscription : 10 sept. 2005 13:57
Contact :

Re: Google SafeBrowsing et blocage de PUPs/Adwares

Message par Malekal_morte » 20 juil. 2015 09:47

Autre cas de bypass des protections Google en poussant un fichier .jse
Setup_jse_PUP_Bypass_GoogleChrome.png
Setup.jse Bypass Google Chrome PUP
Setup_jse_PUP_Bypass_GoogleChrome_2.png
Setup.jse Bypass Google Chrome PUP
Setup_jse_PUP_Bypass_GoogleChrome_3.png
Setup.jse Bypass Google Chrome PUP
La détection (le .jse a été envoyé aux antivirus) :
HA256: 850873277cdb60306d9499f4dc04b2b2222f0b345024b418f77c3e0467973547
Nom du fichier : Setup.jse
Ratio de détection : 5 / 55
Date d'analyse : 2015-07-20 07:35:57 UTC (il y a 2 minutes)

Antivirus Résultat Mise à jour
AVG JS/Dropper.H 20150720
DrWeb JS.DownLoader.417 20150720
ESET-NOD32 JS/TrojanDropper.Agent.NAE 20150720
NANO-Antivirus Trojan.Script.Agent.dubqfn 20150720
Sophos Troj/JsDwnldr-D 20150720
EDIT - 4 jours plus tard, on est à 7 sur 55.
SHA256: 09a726a4cdad00fca5d05b97377698cd37d88e3b710753426257ed0e3b1f7ea2
Nom du fichier : True Story (2015) 720p BrRip x264 - YIFY.jse
Ratio de détection : 7 / 53
Date d'analyse : 2015-07-24 06:45:49 UTC (il y a 2 minutes)

Antivirus Résultat Mise à jour
AVG JS/Dropper.H 20150724
CAT-QuickHeal JS/TrojanDropper.CE 20150724
DrWeb JS.DownLoader.417 20150724
ESET-NOD32 JS/TrojanDropper.Agent.NAE 20150724
GData Script.Trojan-Dropper.Obfusca.A 20150724
NANO-Antivirus Trojan.Script.Agent.dubqfn 20150724
Sophos Troj/JsDwnldr-D 20150724
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86197
Inscription : 10 sept. 2005 13:57
Contact :

Re: Google SafeBrowsing et blocage de PUPs/Adwares

Message par Malekal_morte » 15 août 2015 11:46

Après les .Js - certains PUPs comme Solimba balancent des .cpl
Notez que lors du téléchargement, Google Chrome n'indique pas que le fichier est malicieux.
Aucun blocage.
Solimba_PUP_bypass_Chrome.png
PUP.Solimba bypass Google Chrome SafeBrowsing
La détection du fichier cpl :
SHA256: 32ef52d913cf22aca012cb96df8e52dca966bc62e3d308aa54768c55d2e897d1
Nom du fichier : File_Downloader.cpl
Ratio de détection : 7 / 56
Date d'analyse : 2015-08-15 09:54:38 UTC (il y a 1 minute)

Antivirus Résultat Mise à jour
AVG Generic.C05 20150815
AVware Solimba (fs) 20150815
Bkav W32.HfsAdware.7718 20150815
K7AntiVirus Unwanted-Program ( 004c4e891 ) 20150815
K7GW Unwanted-Program ( 004c4e891 ) 20150815
Malwarebytes PUP.Optional.Somoto 20150815
VIPRE Solimba (fs) 20150815
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86197
Inscription : 10 sept. 2005 13:57
Contact :

Re: Google SafeBrowsing et blocage de PUPs/Adwares

Message par Malekal_morte » 04 sept. 2015 12:03

Google continue de mettre à jour les blocages des PUPs sur Google et les éditeurs de PUPs tentent de les bypasser, le traditionnel jeu du chat et de la souris.
Là on tombe assez bas, ici des instructions pour faire télécharger le programme via Internet Explorer (non traduite d'ailleurs).

Image

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86197
Inscription : 10 sept. 2005 13:57
Contact :

Re: Google SafeBrowsing et blocage de PUPs/Adwares

Message par Malekal_morte » 07 sept. 2015 09:17

DomaIQ / SoftPulse utilise maintenant des scripts .wsf pour contourner les blocages de téléchargement de PUPs sur Google Chrome et faire lancer le téléchargement sur Internet Explorer :
PUP_Google_Block_wsf.png
Google Chrome Blocage PUP - fichier .wsf
Quand on double-clic sur le script wsf, cela lance le téléchargement sur Internet Explorer qui n'est pas bloqué :
PUP_Google_Block_wsf_3.png
Google Chrome Blocage PUP - fichier .wsf
Le contenu du script :
PUP_Google_Block_wsf_2.png
Google Chrome Blocage PUP - fichier .wsf
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86197
Inscription : 10 sept. 2005 13:57
Contact :

Re: Google SafeBrowsing et blocage de PUPs/Adwares

Message par Malekal_morte » 06 nov. 2015 12:02

DomaIQ / SoftPulse fait maintenant télécharger un setup.exe qui n'est pas bloqué...
SoftPulse_DomaIQ_GoogleChrome_Block.png
SoftPulse / DomaIQ : bypass Google Chrome PUP Block
SoftPulse_DomaIQ_GoogleChrome_Block.png (6.61 Kio) Consulté 3424 fois
... qui va au final simplement lancer Internet Explorer pour télécharger et faire lancer le Setup qui va faire installer les programmes parasites / Adwares.
SoftPulse_DomaIQ_GoogleChrome_Block_2.png
SoftPulse / DomaIQ : bypass Google Chrome PUP Block
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86197
Inscription : 10 sept. 2005 13:57
Contact :

Re: Google SafeBrowsing et blocage de PUPs/Adwares

Message par Malekal_morte » 02 déc. 2015 10:48

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86197
Inscription : 10 sept. 2005 13:57
Contact :

Re: Google SafeBrowsing et blocage de PUPs/Adwares

Message par Malekal_morte » 09 déc. 2015 23:21

Google a publié une nouvelle entrée sur son blog concernant le blocage de PUPs/Adwares pour faire un état des lieux, un an après le début de sa posture : https://googleonlinesecurity.blogspot.f ... ainst.html
  • Chrome Cleanup Tool (Utilitaire de nettoyage Google Chrome) a été téléchargé 40 millions de fois - pour rappel, ce dernier est proposé lorsque Google Chrome détecte des PUPs/Adwares.
  • Google a ajouté des filtres sur le navigateur et ses publicités pour empêcher les injections de publicités
  • et bien sûr comme évoqué dans ce topic, plus de blocage de sites proposent des PUPs/Adwares.
Les résultats observés :
  • 20% de plaintes utilisateurs alors qu'avant elles étaient de 40%
  • 5 millions d'alertes Google Safe Browsing par jour.
  • 14 millions d'utilisateurs ont Google Chrome nettoyé d'extensions parasites.
Google estime que 1 utilisateur Google Chrome sur 10 a ses paramètres modifiés par des injecteurs ou des moteurs de recherche imposés.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86197
Inscription : 10 sept. 2005 13:57
Contact :

Re: Google SafeBrowsing et blocage de PUPs/Adwares

Message par Malekal_morte » 12 juil. 2016 22:04

Il semble y avoir toujours une baisse d'activité. Les grandes plateformes de distribution de PUPs at Adwares sont moins présentes. Il reste des propositions pour des extensions malicieuses, voir : Adwares/PUPs: Extension malicieuse sur Chrome et Firefox.

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86197
Inscription : 10 sept. 2005 13:57
Contact :

Re: Google SafeBrowsing et blocage de PUPs/Adwares

Message par Malekal_morte » 04 avr. 2017 10:16

Chez Clubic, on propose Ad-Aware Search helper, une extension qui vise à pousser le moteur de recherche Yahoo!
Extension parasite ?

Image

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Actualité & News Informatique »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 4 invités