Le principe est simple : remplacer les bannières de publicités des sites que vous consultez afin de rémunérer les auteurs du malware au lieu du webmaster du site WEB.
Voici quelques exemples de ce que cela peut donner....
Voici un site "top" (annuaire) qui liste quelques sites de la même thématiques (ici du warez).
Avec les infections VAC, l'annuaire ne propose que des bannières casinos... en cliquant, dessus, vous rémunérez les auteurs du malware.
En rafraichissant la page... hop une autre série de bannières publicitaires.
Même chose avec ce site qui propose des sites WEB sur la thématique d'Emule..
Voici une capture du site d'origine.
Avec VAC, toutes les bannières des sites WEB en question sont remplacées par des bannières casinos.
on rafraichit... hop WebMediaplayer qui installe l'adware Navipromo
Et vous allez voir que ça peut devenir dramatique pour bcp de personnes puisque sur ce site porno, tous les liens sont remplacés par une publicités pour Emule Official, la version d'Emule contenant l'adware Navipromo.
Ici le site WEB Yahoo! proposant le programme Internet Gamebox contenant lui aussi l'adware l'adware Navipromo.
Notez l'adresse de la bannière en bas à gauche de la capture ci-dessus : ad.media-servers.net
Voici un exemple de log avec les adresses des bannières...
On arrive chez yieldmanager.com (qui appartient à Yahoo!)
1210317580.466 176 192.168.1.50 TCP_MISS/302 395 GET http://adservertoo.com/banner_r.php?id=4 - DIRECT/77.91.228.183 text/html
1210317580.471 179 192.168.1.50 TCP_MISS/302 395 GET http://adservertoo.com/banner_r.php?id=4 - DIRECT/77.91.228.183 text/html
1210317580.653 179 192.168.1.50 TCP_MISS/302 395 GET http://adservertoo.com/banner_r.php?id=4 - DIRECT/77.91.228.183 text/html
1210317580.659 177 192.168.1.50 TCP_MISS/302 395 GET http://adservertoo.com/banner_r.php?id=4 - DIRECT/77.91.228.183 text/html
1210317580.679 170 192.168.1.50 TCP_MISS/200 4815 GET http://ad.media-servers.net/st?ad_type= ... ion=300043 - DIRECT/77.238.172.11 -
1210317580.686 174 192.168.1.50 TCP_MISS/200 4815 GET http://ad.media-servers.net/st?ad_type= ... ion=300043 - DIRECT/77.238.172.11 -
1210317580.822 152 192.168.1.50 TCP_MISS/200 4815 GET http://ad.media-servers.net/st?ad_type= ... ion=300043 - DIRECT/77.238.172.11 -
1210317580.830 156 192.168.1.50 TCP_MISS/200 4814 GET http://ad.media-servers.net/st?ad_type= ... ion=300043 - DIRECT/77.238.172.11 -
1210317580.990 189 192.168.1.50 TCP_MISS/200 2224 GET http://ad.yieldmanager.com/imp?Z=468x60 ... Ffr%2F&r=0 - DIRECT/77.238.172.11 application/x-javascript
1210317581.003 201 192.168.1.50 TCP_MISS/200 2223 GET http://ad.yieldmanager.com/imp?Z=468x60 ... Ffr%2F&r=0 - DIRECT/77.238.172.11 application/x-javascript
1210317582.197 2 192.168.1.50 TCP_MEM_HIT/200 5629 GET http://content.yieldmanager.edgesuite.n ... 14c7b9.gif - NONE/- image/gif
1210317582.315 804 192.168.1.50 TCP_MISS/200 2224 GET http://ad.yieldmanager.com/imp?Z=468x60 ... Ffr%2F&r=0 - DIRECT/77.238.172.11 application/x-javascript
1210317582.329 173 192.168.1.50 TCP_MISS/200 2224 GET http://ad.yieldmanager.com/imp?Z=468x60 ... Ffr%2F&r=0 - DIRECT/77.238.172.11 application/x-javascript
Voici un exemple de log avec les adresses des bannières...
On passe chez yieldmanager.com (qui appartient à Yahoo!, décidément encore eux) et edgesuite.net (qui appartient à Akamai)
Ces bannières injectées sont sur adservertoo.com (77.91.228.183) et ad.media-servers.net (77.238.172.11)210317617.321 211 192.168.1.50 TCP_MISS/302 395 GET http://adservertoo.com/banner_r.php?id=4 - DIRECT/77.91.228.183 text/html
1210317617.385 179 192.168.1.50 TCP_MISS/302 395 GET http://adservertoo.com/banner_r.php?id=4 - DIRECT/77.91.228.183 text/html
1210317617.392 186 192.168.1.50 TCP_MISS/302 395 GET http://adservertoo.com/banner_r.php?id=4 - DIRECT/77.91.228.183 text/html
1210317617.400 188 192.168.1.50 TCP_MISS/302 395 GET http://adservertoo.com/banner_r.php?id=4 - DIRECT/77.91.228.183 text/html
1210317617.528 166 192.168.1.50 TCP_MISS/200 2319 GET http://ad.yieldmanager.com/imp?Z=468x60 ... Ffr%2F&r=0 - DIRECT/77.238.172.11 application/x-javascript
1210317617.543 176 192.168.1.50 TCP_MISS/302 395 GET http://adservertoo.com/banner_r.php?id=4 - DIRECT/77.91.228.183 text/html
1210317617.756 209 192.168.1.50 TCP_HIT/200 7281 GET http://content.yieldmanager.edgesuite.n ... 0eb497.gif - NONE/- image/gif
Sur 77.91.228.183, on trouve le site http://www.safewebnavigate.com qui affiche de fausse alerte pour vous faire télécharge le rogue WinSpywareProtect
Quelle coincidence!!
Bref cela peut toucher n'importe quel site WEB que vous consultez. Ce n'est pas dangereux mais cela peut devenir génant à la longue (surtout avec les autres symptômes VAC, popups fausses alertes etc..).
Une bonne idée des auteurs du malware pour arrondir encore mieux leur fin de mois.