C-NetMedia/2squared : Malwarebot, ErrorSmart etc.

Listes des différents Rogues/Scareware
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87309
Inscription : 10 sept. 2005 13:57
Contact :

C-NetMedia/2squared : Malwarebot, ErrorSmart etc.

Message par Malekal_morte » 02 mai 2008 12:20

Depuis quelques jours en farfouillant sur Google...
J'ai remarqué bcp de résultat avec le caractère ø et des urls plutôt bizarres.

ø Malware ø
Image

ø Adware ø
Image

ø Spywares ø
Image

Du joli Google Poisoning (voir SEO empoisonnement : redirections recherche Google)
Chaque URL renvoye sur des programmes distincts (Malwarebot, NoAdware, XoftSpySE).

Dans le cas d'une redirection ver le site MalwareBot, on passe par un domaine clickbank.net.
SiteAdvisor le classe comme étant propre : http://www.siteadvisor.com/sites/clickb ... d?p=862243, ce qui est assez étonnant.
Une recherche sur le domaine nous donne plein de jolis sites où on peut gagner plein d'argent... ca sent encore des procédés assez limites.
Bref... Affiliation malsaine...

Code : Tout sélectionner

1209650028.841    987 192.168.1.50 TCP_MISS/302 7287 GET http://mrrh.selfip.info/malware-removers/4 - DIRECT/209.97.201.51 text/html
1209650029.781    685 192.168.1.50 TCP_MISS/301 812 GET http://bioancient.malwarebot.hop.clickbank.net/ - DIRECT/64.128.87.132 text/html
1209650030.023    242 192.168.1.50 TCP_MISS/301 405 GET http://bioancient.malwarebot.hop.clickbank.net/hop/?CBRehoppp2=http%3A%2F%2Fwww.malwarebot.com%3Fhop%3Dbioancient&vend=malwarebot&code=10000000000000&affi=bioancient&parms=&key=652DCA0C4E36DF2A5001745B8DDCA4F7 - DIRECT/64.128.87.132 text/html
1209650031.636   1192 192.168.1.50 TCP_MISS/200 23088 GET http://www.malwarebot.com/?hop=bioancient - DIRECT/72.32.242.169 text/html
Malwarebot n'est pas référencé dans la liste de ce site, néanmoins, certains autres programmes douteux de la même famille le sont SpywareBot, AdwareAlert.

Du coup... j'ai un peu poussé la recherche et je suis tombé sur ses sites de programmes à la thématique souvent sensibles puisque beaucoup de programmes douteux : antimalwares, nettoyage de registre ou programmes pour protéger la vie privée (nettoyage de traces etc).
Tous les sites des programmes trouvés sont hostés sur des adresses 72.32.xxx.xxx
72.32.26.195 antispyware.com
72.32.26.195 errorsmart.com
72.32.26.195 regsweep.com
72.32.26.195 registryfox.com (aucun site)
72.32.29.230 adwarealert.com
72.32.29.230 evidenceeraser.com
72.32.29.230 registrysmart.com
72.32.29.230 restore-pc.com
72.32.48.186 2squared.com
72.32.48.186 regclean.com
72.32.48.186 privacycontrol.com
72.32.90.213 spywareremover.com
72.32.90.213 regrecall.com
72.32.100.197 pcfix.pro.com (propose ErrorSmart en téléchargement)
72.32.134.197 registryclear.com
72.32.134.197 spywarebot.com
72.32.242.169 errorkiller.com
72.32.242.169 malwarebot.com
72.32.242.169 registrybot.com
72.32.242.171 free-registrysmart.com
72.32.242.171 macrovirus.com
74.53.29.18 honest-spyware-review.com (va télécharger noadware)
Trois remarques :
  • On notera le domaine 2squared.com ... qui est très proche de a-squared (a2). Où comment semer la confusion chez l'utilisateur.
  • Vous remarquez aussi les noms plus que génériques des logiciels (spywareremover, adwarealert etc.), cela permet d'être bien positionné dans les recherches Google lorsque vous effectuez une recherche sur des mots génériques (spyware, error etc).
  • Plusieurs noms de programmes différents pour un même logiciel à l'arrivée, ceci afin de toucher plus d'internautes tout en semant la confusion.
Ces méthodes sont souvent utilisées par les auteurs de programmes douteux.

Les whois sur les sites ne donnent guère d'infos concrètes quant à l'éditeur qui se cache derrière ces programmes.
Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: MALWAREBOT.COM
Created on: 03-May-04
Expires on: 15-Nov-09
Last Updated on: 06-Mar-07

Administrative Contact:
Private, Registration MALWAREBOT.COM@domainsbyproxy.com
Domains by Proxy, Inc.
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
(480) 624-2599 Fax -- (480) 624-2599
Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: 2SQUARED.COM
Created on: 20-Feb-01
Expires on: 15-Nov-09
Last Updated on:

Administrative Contact:
Private, Registration 2SQUARED.COM@domainsbyproxy.com
Domains by Proxy, Inc.
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
(480) 624-2599 Fax -- (480) 624-2599
et sur les sites WEB... ce n'est pas mieux! que ce soit sur l'EULA ou en bas... aucune mention d'éditeur ou source.
A chaque fois, c'est le nom du programme qui est repris :
Copyright © 2005 - 2008 http://www.ErrorKiller.com - All Rights Reserved
Copyright 2008 RegRECALL.com - All rights reserved.
AdWareAlert is the world's leading adware and spyware remover.
Copyright 2004-2008 AdWareALERT.com - All Rights Reserved.
etc.
Les informations semblent donc floutées. Il est donc difficile de savoir qui est derrière ces programmes.
Ce qui est en général mauvais signe.

Les téléchargements des programmes pointent tous sur l'IP 209.85.65.55 avec comme domaine http://download.nomduprogramme
Le fichier est souvent setup.exe ou setupv.exe. Tous ces programmes sont donc bien liés.

Exemple :

Code : Tout sélectionner

1209660219.326      4 192.168.1.50 TCP_IMS_HIT/304 314 GET http://download.regrecall.com/setupxv.exe - NONE/- application/x-msdownload
1209649914.945   6757 192.168.1.50 TCP_MISS/200 2612728 GET http://download.2squared.com/1209393656.10.5.3.ref2 - DIRECT/209.85.65.55 text/plain
1209650062.566  14410 192.168.1.50 TCP_MISS/200 4248176 GET http://download.malwarebot.com/setupxv.exe - DIRECT/209.85.65.55 application/x-msdownload
1209650366.694  12967 192.168.1.50 TCP_MISS/200 4541863 GET http://download.antispywarebot.com/setup.exe - DIRECT/209.85.65.55 application/x-msdownload
1209651249.076  11044 192.168.1.50 TCP_MISS/200 3981039 GET http://download.spywarestop.com/setupxv.exe - DIRECT/209.85.65.55 application/x-msdownload
1209655905.450  12292 192.168.1.50 TCP_MISS/200 4509983 GET http://download.spywareremover.com/setupxv.exe - DIRECT/209.85.65.55 application/x-msdownload
1209656268.116   3840 192.168.1.50 TCP_MISS/200 1304632 GET http://download.errorkiller.com/setupxv.exe - DIRECT/209.85.65.55 application/x-msdownload
1209656344.826    312 192.168.1.50 TCP_MISS/302 324 GET http://evidenceeraser.com/setup.exe - DIRECT/72.32.29.230 text/html
1209656355.666   7696 192.168.1.50 TCP_MISS/200 2526560 GET http://download.evidenceeraser.com/setup.exe - DIRECT/209.85.65.55 application/x-msdownload
1209656440.143   4116 192.168.1.50 TCP_MISS/200 1216224 GET http://download.regsweep.com/setupxv.exe - DIRECT/209.85.65.55 application/x-msdownload
1209657563.541   8436 192.168.1.50 TCP_MISS/200 1614400 GET http://download.regclean.com/setupxv.exe - DIRECT/209.85.65.55 application/x-msdownload
1209659312.800   9801 192.168.1.50 TCP_MISS/200 2342982 GET http://download.privacycontrol.com/setup.exe - DIRECT/209.85.65.55 application/x-msdownload
Certains sites hosts le fichier setup... :

Code : Tout sélectionner

1209656436.022    946 192.168.1.50 TCP_MISS/302 320 GET http://regsweep.com/setup.exe - DIRECT/72.32.26.195 text/html
1209655781.268    333 192.168.1.50 TCP_MISS/302 320 GET http://macrovirus.com/setup.exe - DIRECT/72.32.242.171 text/htm
Ce qui est étonnant, c'est que si l'on effectue une recherche sur 209.85.65.55, on obtient guerre d'info : Résultats 1 - 1 sur 1 pour 209.85.65.55. (0,05 secondes), l'adresse semble donc assez méconnu.
De même si on fait un reverse ou sur robotex : http://www.robtex.com/ip/209.85.65.55.html

En farfouillant, on s'aperçoit que pas mal de sites WEB proposent les programmes en question...
Exemple : http://error_smart.software.datapicks.com/

Ce site propose plein de programmes de nettoyage de registre.. : Smart Error Repair, PC Error Smart, BrightRay PC Registry Repair etc...
Chaque site a des sources différentes...
Image

Image

Image

Image

Sauf que si l'on tente de télécharger les programmes, on nous renvoit sur le même site, celui d'ErrorSmart.
Une recheche de "BrightRay registry" sur Google nous donne plein d'autres sites de téléchargement... de même pour les autres noms d'éditeur.
Ce donc de faux sites de téléchargement de programmes crées dans le but de vous proposer ces programmes en téléchargement.

Dans le même style, on a le faux moteur de recherche qui lance une recherche par exemple de programmes de nettoyage de registre et propose toujours les mêmes logiciels ou le faux site de comparatif qui soit disant compare ces logiciels "douteux" entre eux et bien sûr vous les propose en téléchargement.
En plus de vous renvoyer vers ces logiciels, cela permet de générer du Google Poisoning afin d'améliorer son ranking et être en haut des résultats des recherches.

J'étais aussi tombé sur une infection qui proposait l'un de ces programmes (AdwareAlert), voir hopelessromantic/Trojan.NSIS.StartPage.c.
Pour SpywareRemover voir cette page : viewtopic.php?f=56&t=8759&p=64282&hilit ... ver#p64282

Ces méthodes douteuses n'ont pas obligatoires pour origine les créateurs de ces programmes, cela peut être dû aux affiliations.
Néanmoins, l'éditeur de ces programmes ne semblent pas fair le necessaire pour enrayer ces méthodes douteuses.


Petit tour d'horizon des programmes

Points communs de tous les programmes listés :
  • Effet de fondu du splashscreen au lancement des programmes;
  • A la fermeture des programmes, on a toujours la même capture;
  • Un clic droit sur l'icône du systray renvoit le même menu pour tous les programmes;
  • Une certaine similitude dans la charte graphique (interface, boutons etc..)
Les programmes antimalwares se lancent tous avec l'option -boot
Image

Dans les propriétés des fichiers, on retrouve "AntiSpyware LLC", "C-NetMedia Inc" ou un autre nom de programmes.
Error Smart "AntiSpyware LLC"
AntiSpywareApp "AntiSpyware LLC"
AntiSpywareBot "2Squared LLC"
AdwareAlert "C-NetMedia Inc"
SpywareBot "C-NetMedia Inc"
etc..

C-NetMedia Inc est déjà connu pour ses pratiques douteuses :
http://sunbeltblog.blogspot.com/2008/02 ... inues.html
http://www.lockergnome.com/blade/2008/0 ... re-beware/
http://www.thetechherald.com/article.ph ... -marketing

Image

De même dans chaque répertoire de ses programmes, on retrouve des fichiers similaires.. : TCL.dll, SpyCleaner.dll etc.

Tout ceci laisse à penser que les programmes ont bien pour origine le même groupe/éditeur.
Différents noms d'éditeur pour une même entité/groupe.



Voici une capture des différents programmes pour que vous puissiez juger par vous même.

MalwareBot
Image

AdwareAlert
Image

SpywareStop
Image

AntiSpywareBot
Image

ErrorKiller
Image

AntiSpyware
Image

ErrorSmart
Image

EvidenceEraser
Image

MacroVirus
Image

PrivacyControl
Image

RegCall
Image

RegClean
Image

RegSweep
Image

RegistrySmart
Image

SpywareRemover
Image


Conclusion

Des pratiques douteuses autour de ces différents programmes, aucune origine claire sur l'éditeur qui se cache derrière ces programmes.
Tout ceci laisse donc penser à une arnaque.
Dans le doute, il est donc conseillé d'éviter d'installer les programmes listés ci-dessus et encore plus de les acheter.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Rogues/Scareware & Programmes douteux »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité