Google SafeBrowsing avait aussi été mis à jour afin de bloquer certains sites proposant des packs de PUPs/Adwares.
Hier en voulant télécharger un programme sur ClubIc, je suis tombé sur un repack (c'est le même programme d'affiliation que sur telecharger.com
(Vous pouvez vous reporter à la page suivante pour avoir la liste des sites de téléchargement qui proposent des programmes parasites : https://www.malekal.com/2014/12/04/les- ... repackent/ ).
Le programme repacké qui propose de PUPs et Adwares. sur Firefox :
Sur Google Chrome, on tombe sur un zip légitime :
Petite remarque, l'adresse de téléchargement et le binaire change périodiquement, certainement pour éviter les blacklist.
L'adresse email utilisée pour enregistrer les domaines est identique : http://malwaredb.malekal.com/url.php?email=galcomm.com271f4b1d3875651cedaa2a0e5cf7023d process-explorer_16-05_fr_14566_.exe
413e7f5bb9b0e7d5450dbfdd34463e5e process-explorer_16-05_fr_14566.exe
Une adresse israélienne, ce n'est pas étonnant, la majorité des boites de PUPs et régies de pubs qui en refilent ont cette origine.
L'adresse est identique chez telecharger.com étant donné que c'est le même programme d'affiliation :
Ce dernier est détecté en InstallCore : https://www.virustotal.com/fr/file/cf9c ... 432890872/
Pour en revenir à Firefox et Google Chrome.SHA256: cf9ceb403d2cfb0dd1798bad48baf0d75deda9b1b3c34f299b33c05e41bfa14d
Nom du fichier : process-explorer_16-05_fr_14566.exe
Ratio de détection : 6 / 57
Date d'analyse : 2015-05-29 09:14:32 UTC (il y a 1 minute)
Antivirus Résultat Mise à jour
AVG InstallCore.7FB 20150529
AVware Trojan.Win32.Generic!BT 20150529
Bkav W32.HfsAdware.F078 20150529
DrWeb Trojan.InstallCore.644 20150529
ESET-NOD32 a variant of Win32/InstallCore.ZM potentially unwanted 20150529
VIPRE Trojan.Win32.Generic!BT 20150529
Deux régimes donc, sur Firefox, on a droit au repack, sur Google Chrome, un zip "sain".
Pourquoi?
Tout simplement parce que Google Chrome bloque le téléchargement =)
De ce fait, les sites de téléchargement ne redirigent pas vers du repack avec Google Chrome, sous peine d'avoir des remontés utilisateurs "y a des virus sur votre site".
(Au passage, ce blocage de téléchargement est aussi très utile concernant les pièces jointes malicieuses, elles sont très souvent bloqués par Google Chrome.)
Au fait.... ce genre de procédé est normalement devenu illégal en France... => http://forum.malekal.com/tuto4pc-mise-d ... 51756.html
Enfin voir aussi notre article : Google : la police du net ?