Les fausses alertes indiquant que vous êtes infecté

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Malekal_morte
Messages : 116239
Inscription : 10 sept. 2005 13:57

Les fausses alertes indiquant que vous êtes infecté

par Malekal_morte »

Ce topic n'est en aucun fait pour vous aider à se débarrasser de ces popups intempestives vous annonçant que vous êtes infecté. Si vous êtes dans ce cas, reportez vous à la page : Supprimer les popup intempestives

Avant 2011... L'ère des Rogues & Scarewares

Cette page est une démonstration du type d'alertes de sécurités que vous pouvez recevoir en surfant, pour les raisons de ces pages d'alertes, je vous conseille de lire la page Les rogues et alertes de sécurités

Depuis quelques années, de nouvelles infections ont fait leurs apparitions, ces infections affiches divers popups pour vous faire télécharger des antispywares, certaines de ces infections affichent aussi des alertes toujours pour vous faire télécharger des antispywares.

Par exemple, en parcourant le WEB, vous pouvez tomber sur ces popups :
Image

Sur cette popup qui vous indique que votre ordinateur est infecté, il est proposé de télécharger les antispywares:
* WinAntivirusPro - Fiche Sunbelt
* AntivirusGold - Fiche Sunbelt
* VirusBlast - Fiche Sunbelt
Image

Certaines infections sont connues pour ajouter une icône d'alertes en bas à droite de l'horloge. Souvent elles tentent de se faire passer pour des messages Windows.
Image

Ces infections sont créées par les mêmes auteurs que ces antispywares, le but est très simple, en vous faisant croire que vous êtes infecté et en vous ouvrant des popups afin de vous proposer de télécharger leurs antispywares, ils espèrent pouvoir vendre leurs antispywares et bien sûr gagner de l'argent.

Ces faux antispywares sont appelées rogues, vous trouverez une définition du mot rogue à partir de ce lien Qu'est ce qu'un rogue ainsi que des liens donnant une liste de ces rogues.

Les auteurs de ses infections redoublent d'ingéniosité pour vous faire croire que votre ordinateur est infecté.

Voici un exemple de procédé pour vous faire croire que votre ordinateur est infecté.

A notez que les captures d'écran ont été faites à partir d'un ordinateur sous GNU/Linux. Pour rappel, GNU/Linux est un système d'exploitation, les programmes Windows ne fonctionnent pas sous GNU/Linux et inversement (un peu comme Mac et PC). Les malwares étants des programmes, les infections Windows n'affectent pas GNU/Linux, donc une personne procèdent à un scan en ligne antiviral sous GNU/Linux, il devrait avoir 0 virus.

Image

En cliquant sur un lien de ce site, on constate qu'un scan de l'ordinateur est effectué "Status : scanning your computer".
Ce dernier détecte déjà une vingtaine d'éléments infectés, ce qui est anormal pour un système GNU/Linux.

On constate que le scan est en train de scanner les fichiers dswave.dll et inetcplc.dll
Ce sont des fichiers .dll autrement dit des bibliothèques logicielles. Un petite recherche sur wikipedia.fr des bibliothèques logicielles, on peut y lire :
DLL signifie Dynamic Link Library, ou en français Bibliothèque de liens dynamiques, dans le cadre du Système d'exploitation Windows. Traditionnellement, le nom de ces fichiers se termine par l'extension « .dll ». Une DLL peut contenir du code ou des ressources qui sont alors rendus disponibles à d'autres applications.
Mince alors, les fichiers DLL ne sont que pour le système d'exploitation Windows, comment le scan en ligne a-t-il pu trouver des fichiers DLL alors que je fais pas de scan depuis Windows ?
D'ailleurs.. je n'ai rien installé de particuliers, comment se fait-il que ce site ait accès à mes fichiers ?

Le scan en ligne a duré 10-20s, je sais que j'ai une machine rapide... mais tout de même!

Ce scan en ligne n'est en fait qu'une animation sur un site WEB... c'est pour cela, qu'il fonctionne quelque soit le système d'exploitation !

Image

Si l'on poursuit, le fond d'écran du site se noirci. Une fenêtre avec un message sur fond rouge s'ouvre, notez le style Windows de cette fenêtre avec en la croix en haut à droite comme si vous pouviez fermer cette fenêtre. C'est très typique de ces faux scans, le but étant de vous faire croire que le message vient de Windows.

Donc.. Linux est infecté par des trojans.

Image

En cliquant, sur la fenêtre, on nous propose d'installer WinAntivirus Best... ben oui, il faut bien nettoyer notre ordinateur qui est apparemment très très infecté.
Il est très difficile de se débarrasser de ce téléchargement, vous aurez beau cliquer n'importe où, la proposition de téléchargement reviendra.
Il est conseillé de fermer son navigateur !

Image

Tiens que se passe-t-il si je fais scanner ce fichier sur virustotal ?
Et bien pas joli, joli, infecté par Hoax.Win32.Renos, une petite recherche sur ce malware.. nous fait tomber sur cette page de chez Avira (l'éditeur de l'antivirus Antivir) : http://www.avira.com/fr/threats/section ... os.ag.html

Ce malware semble lié aux fausses alertes de sécurités que nous avons vu au début de cet article !


Image


Galerie de fausses pages d'alertes et de scan


Une petite galerie de fausses pages d'alertes/de scans....
il existe de fausses pages d'alertes et de scan par rogue.

Le trait commun :
  • Couleurs vives et messages d'alertes à tout va pour vous faire peur.
  • La page va toujours vous détecter des infections imaginaires afin de vous faire télécharger le rogue.
  • Si vous cliquez n'importe où sur la page, on vous propose le programme de téléchargement du rogue (pour vous le refourguer)
  • A la fin, un encart récapitule les infections et le téléchargement du rogue vous est proposé.
Une page d'alerte qui vous explique que les sites adultes laissent du contenu sur votre ordinateur.
Il vous est alors proposé de nettoyer ces traces avec un programmes spécifiques qui est bien entendu un rogue.

Image


Un rogue rendre votre ordinateur plus rapide...

Image

Page d'alertes/scans pour le rogue SpywareIsolator
Image


Voici les fausses pages de scans et alertes du rogue WinIFixer.
Il existe généralement plusieurs pages d'alertes et de scans par rogues.


Image

Image

Image



Image

Image

Image

Image

Avant 2014 : Reimage, PCKeeper, MacKeeper

Après 2011, les rogues/scarewares ont été plutôt remplacés par les ransomwares Winlock.

Les fausses alertes de virus perdurent pour pousser des antivirus comme Reimage Plus et MacKeeper pour les MacOS.

Ou encore sur cette vidéo, comment de fausses alertes de virus peuvent mener à l'antivirus PCKeeper :



Enfin les mobiles tablettes/téléphones sont aussi particulièrement visés pour pousser des programmes de nettoyage, voir la page : Fausses pages web et messages de virus téléphones/tablettes

2015 : les arnaques de support téléphonique

Depuis 2 ans environ, les arnaques de support téléphoniques tapent fort à travers de fausses pages de virus.

Les arnaques de support téléphonique visent à faire croire que votre ordinateur est infecté pour te faire appeler un support téléphonique....
Le but de ce support est de vous conforter dans le fait que ton ordinateur est infecté, pour vous faire acheter des logiciels à des prix élevés, souvent au final 200 euros.
Ces messages cherchant à bloquer le navigateur WEB et indiquant que le PC est infecté viennent de publicités sur des sites de streaming/torrent illégaux, les publicités sur Facebook en diffusent aussi.

Cela peut aussi aller par des campagnes téléphoniques, où tu reçois un appel par un technicien se faisant passer pour Microsoft.
Ton ordinateur n'est pas infecté.

Le dossier sur les arnaques de hotline : Les arnaques de support téléphonique

En vidéo :


Conclusion :
  • Ces pages sont des animations[/b], il est impossible pour une page WEB d'accéder au contenu de votre disque sauf si vous avez exécuter un programme provenant de cette page WEB (ActiveX, applet Java etc..) comme par exemple, c'est le cas pour les scans en ligne d'antivirus.
  • Ne prenez en compte que les alertes de votre antivirus
  • Si le scan dure 30s, c'est un faux scan. Un scan antiviral dure au moins 1h
  • Ne faites confiances qu'à des sites reconnus pour scanner votre ordinateur.
    Vous pouvez vous aider de ce lien pour effectuer le scan : Scanner votre ordinateur en ligne avec NOD32
  • Si vous avez un doute avant de télécharger le premier antispyware venu, faites un scan en ligne pour confirmer l'infection.
Soyez méfiant et faite marcher votre esprit critique!!

Pour pallier à cela, il est conseillé d'utiliser Firefox de manière sécurisé pour ne plus recevoir de pubs, voir le sujet : Securiser le navigateur WEB Firefox

Je vous conseille de lire la page Les rogues et alertes de sécurités
Dernière modification par Malekal_morte le 04 sept. 2007 17:32, modifié 2 fois.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116239
Inscription : 10 sept. 2005 13:57

par Malekal_morte »

Un autre exemple de fausses alertes pour vous faire télécharger des rogues : http://forum.malekal.com/ftopic2769.php
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116239
Inscription : 10 sept. 2005 13:57

Re: Les fausses alertes indiquant que vous êtes infecté

par Malekal_morte »

Plusieurs cas d'alertes venant du site scanner.malware-scan.com faisant installer le rogue MalwareAlarm : http://forum.malekal.com/viewtopic.php?f=12&t=5996



Image

Image

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116239
Inscription : 10 sept. 2005 13:57

Re: Les fausses alertes indiquant que vous êtes infecté

par Malekal_morte »

Depuis quelques mois, des bannières de publicités sont détournées pour afficher des popups d'alertes de sécurités pour des rogues
Ces popups peuvent donc apparaître quelque soit la thématique du site visité.

Pour plus d'informations, je vous conseille de lire la page Les rogues et alertes de sécurités
Sujet de discussion lié : http://forum.malekal.com/viewtopic.php?p=46067#p46067
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »