Avant 2011... L'ère des Rogues & Scarewares
Cette page est une démonstration du type d'alertes de sécurités que vous pouvez recevoir en surfant, pour les raisons de ces pages d'alertes, je vous conseille de lire la page Les rogues et alertes de sécurités
Depuis quelques années, de nouvelles infections ont fait leurs apparitions, ces infections affiches divers popups pour vous faire télécharger des antispywares, certaines de ces infections affichent aussi des alertes toujours pour vous faire télécharger des antispywares.
Par exemple, en parcourant le WEB, vous pouvez tomber sur ces popups :
Sur cette popup qui vous indique que votre ordinateur est infecté, il est proposé de télécharger les antispywares:
* WinAntivirusPro - Fiche Sunbelt
* AntivirusGold - Fiche Sunbelt
* VirusBlast - Fiche Sunbelt
Certaines infections sont connues pour ajouter une icône d'alertes en bas à droite de l'horloge. Souvent elles tentent de se faire passer pour des messages Windows.
Ces infections sont créées par les mêmes auteurs que ces antispywares, le but est très simple, en vous faisant croire que vous êtes infecté et en vous ouvrant des popups afin de vous proposer de télécharger leurs antispywares, ils espèrent pouvoir vendre leurs antispywares et bien sûr gagner de l'argent.
Ces faux antispywares sont appelées rogues, vous trouverez une définition du mot rogue à partir de ce lien Qu'est ce qu'un rogue ainsi que des liens donnant une liste de ces rogues.
Les auteurs de ses infections redoublent d'ingéniosité pour vous faire croire que votre ordinateur est infecté.
Voici un exemple de procédé pour vous faire croire que votre ordinateur est infecté.
A notez que les captures d'écran ont été faites à partir d'un ordinateur sous GNU/Linux. Pour rappel, GNU/Linux est un système d'exploitation, les programmes Windows ne fonctionnent pas sous GNU/Linux et inversement (un peu comme Mac et PC). Les malwares étants des programmes, les infections Windows n'affectent pas GNU/Linux, donc une personne procèdent à un scan en ligne antiviral sous GNU/Linux, il devrait avoir 0 virus.
En cliquant sur un lien de ce site, on constate qu'un scan de l'ordinateur est effectué "Status : scanning your computer".
Ce dernier détecte déjà une vingtaine d'éléments infectés, ce qui est anormal pour un système GNU/Linux.
On constate que le scan est en train de scanner les fichiers dswave.dll et inetcplc.dll
Ce sont des fichiers .dll autrement dit des bibliothèques logicielles. Un petite recherche sur wikipedia.fr des bibliothèques logicielles, on peut y lire :
Mince alors, les fichiers DLL ne sont que pour le système d'exploitation Windows, comment le scan en ligne a-t-il pu trouver des fichiers DLL alors que je fais pas de scan depuis Windows ?DLL signifie Dynamic Link Library, ou en français Bibliothèque de liens dynamiques, dans le cadre du Système d'exploitation Windows. Traditionnellement, le nom de ces fichiers se termine par l'extension « .dll ». Une DLL peut contenir du code ou des ressources qui sont alors rendus disponibles à d'autres applications.
D'ailleurs.. je n'ai rien installé de particuliers, comment se fait-il que ce site ait accès à mes fichiers ?
Le scan en ligne a duré 10-20s, je sais que j'ai une machine rapide... mais tout de même!
Ce scan en ligne n'est en fait qu'une animation sur un site WEB... c'est pour cela, qu'il fonctionne quelque soit le système d'exploitation !
Si l'on poursuit, le fond d'écran du site se noirci. Une fenêtre avec un message sur fond rouge s'ouvre, notez le style Windows de cette fenêtre avec en la croix en haut à droite comme si vous pouviez fermer cette fenêtre. C'est très typique de ces faux scans, le but étant de vous faire croire que le message vient de Windows.
Donc.. Linux est infecté par des trojans.
En cliquant, sur la fenêtre, on nous propose d'installer WinAntivirus Best... ben oui, il faut bien nettoyer notre ordinateur qui est apparemment très très infecté.
Il est très difficile de se débarrasser de ce téléchargement, vous aurez beau cliquer n'importe où, la proposition de téléchargement reviendra.
Il est conseillé de fermer son navigateur !
Tiens que se passe-t-il si je fais scanner ce fichier sur virustotal ?
Et bien pas joli, joli, infecté par Hoax.Win32.Renos, une petite recherche sur ce malware.. nous fait tomber sur cette page de chez Avira (l'éditeur de l'antivirus Antivir) : http://www.avira.com/fr/threats/section ... os.ag.html
Ce malware semble lié aux fausses alertes de sécurités que nous avons vu au début de cet article !
Galerie de fausses pages d'alertes et de scan
Une petite galerie de fausses pages d'alertes/de scans....
il existe de fausses pages d'alertes et de scan par rogue.
Le trait commun :
- Couleurs vives et messages d'alertes à tout va pour vous faire peur.
- La page va toujours vous détecter des infections imaginaires afin de vous faire télécharger le rogue.
- Si vous cliquez n'importe où sur la page, on vous propose le programme de téléchargement du rogue (pour vous le refourguer)
- A la fin, un encart récapitule les infections et le téléchargement du rogue vous est proposé.
Il vous est alors proposé de nettoyer ces traces avec un programmes spécifiques qui est bien entendu un rogue.
Un rogue rendre votre ordinateur plus rapide...
Page d'alertes/scans pour le rogue SpywareIsolator
Voici les fausses pages de scans et alertes du rogue WinIFixer.
Il existe généralement plusieurs pages d'alertes et de scans par rogues.
Avant 2014 : Reimage, PCKeeper, MacKeeper
Après 2011, les rogues/scarewares ont été plutôt remplacés par les ransomwares Winlock.
Les fausses alertes de virus perdurent pour pousser des antivirus comme Reimage Plus et MacKeeper pour les MacOS.
Ou encore sur cette vidéo, comment de fausses alertes de virus peuvent mener à l'antivirus PCKeeper :
Enfin les mobiles tablettes/téléphones sont aussi particulièrement visés pour pousser des programmes de nettoyage, voir la page : Fausses pages web et messages de virus téléphones/tablettes
2015 : les arnaques de support téléphonique
Depuis 2 ans environ, les arnaques de support téléphoniques tapent fort à travers de fausses pages de virus.
Les arnaques de support téléphonique visent à faire croire que votre ordinateur est infecté pour te faire appeler un support téléphonique....
Le but de ce support est de vous conforter dans le fait que ton ordinateur est infecté, pour vous faire acheter des logiciels à des prix élevés, souvent au final 200 euros.
Ces messages cherchant à bloquer le navigateur WEB et indiquant que le PC est infecté viennent de publicités sur des sites de streaming/torrent illégaux, les publicités sur Facebook en diffusent aussi.
Cela peut aussi aller par des campagnes téléphoniques, où tu reçois un appel par un technicien se faisant passer pour Microsoft.
Ton ordinateur n'est pas infecté.
Le dossier sur les arnaques de hotline : Les arnaques de support téléphonique
En vidéo :
Conclusion :
- Ces pages sont des animations[/b], il est impossible pour une page WEB d'accéder au contenu de votre disque sauf si vous avez exécuter un programme provenant de cette page WEB (ActiveX, applet Java etc..) comme par exemple, c'est le cas pour les scans en ligne d'antivirus.
- Ne prenez en compte que les alertes de votre antivirus
- Si le scan dure 30s, c'est un faux scan. Un scan antiviral dure au moins 1h
- Ne faites confiances qu'à des sites reconnus pour scanner votre ordinateur.
Vous pouvez vous aider de ce lien pour effectuer le scan : Scanner votre ordinateur en ligne avec NOD32 - Si vous avez un doute avant de télécharger le premier antispyware venu, faites un scan en ligne pour confirmer l'infection.
Pour pallier à cela, il est conseillé d'utiliser Firefox de manière sécurisé pour ne plus recevoir de pubs, voir le sujet : Securiser le navigateur WEB Firefox
Je vous conseille de lire la page Les rogues et alertes de sécurités