Si ces pratiques ne sont pas nouvelles, elles commencent à prendre des proportions qui font qu'il est maintenant difficile pour un utilisateur n'étant pas au courant de passer à côté.
Le but de ces pratique est de distribuer des antispywares et toucher une commission au passage sur la vente et donc au final, comme d'habitude, de faire de l'argent facilement.
Google Poisoning
Un utilisateur infecté par un rogue et recevant des alertes pour ce rogue a des chances de taper le nom du rogue ou une phrase de l'alerte sur Google afin d'obtenir des informations, chose qui paraît normal.
Prenoms le cas Windows Antivirus 2008
Sur la première page de résultat de Google, on obtient 9 réponses distinctes.
Sur ces 9 réponses distinctes, 4 sont de blogs de désinfection (entourés en rouge ; je détaillerai plus tard ce que sont ces blogs de désinfection).
Ce qui donne casimment 50% des réponses renvoyants vers ces pratiques.
Le cas Antivirus 2009 maintenant.
7 réponses dont 10 renvoyants vers ces faux blogs.... soit environ 75% des réponses renvoyées par Google.
Difficile donc pour les internautes infectés de passer à côté... les techniques utilisées sont toujours les mêmes.
Mots génériques dans les noms de domaines : removal, spywares, viruses, uninstall afin d'être mieux placés dans les résultats de recherche.
Créations de multiples sites clones linkant ces sites afin d'augmenter le ranking.
etc..
Bref des techniques bien rodées et connues utilisées entre autre par les auteurs de malwares eux même.
Le but de ces blogs de désinfection est de faire installer un antispyware (YAC, SpyHunter) etc qui va scanner l'ordinateur et vous proposer de l'acheter pour nettoyer les détections... Le blogs touchera un % sur les ventes.
En Mars 2015, Malwarebytes a révélé que l'antispyware YAC volait sa base de définitions virales afin de détecter un maximum de malwares (voir la news YAC : vol de la base de données de Malwarebytes) ce qui vos montre le sérieux de ces antispywares.
Les blogs de désinfection
Un sujet par infection ou rogues.. utilisation massive et répétions du nom de l'infection ou rogue pour être bien reconnues par les moteurs de recherche.
et surtout... une proposition de programme qui soit disant permet l'éradication de l'infection.
Les informations sur l'infection sont en général assez bien détaillées, la présentation sérieuse.. mais souvent la syntaxe approximative à cause de l'utilisation de traducteur.
L'internaute peut donc penser à un vrai blog de sécurité lui proposant une solution efficace.
Il est trop facile de prétendre développer des solutions pour entre autre supprimer des rogues et laisser faire certaines agissements quand cela les arrange.
Toute la subtilité repose sur la présentation de proposition du programme d'éradication de l'infection qui est parfois ambigu.
Les antispywares sont parfois passés sous le nom de Removal Tools.
Pour un rappel, un removal tools est un programme qui supprime certaine infection spécifiques qui sont en général plus efficace... à la lecture du post sur l'infection sur le blog de désinfection, l'utilisateur peut alors penser que le faux blogs lui propose un programme spécial pour supprimer son infection...
Or ce n'est pas le cas, il y a donc tromperie.
Bien sûr une fois téléchargé..... et installé... il faudra payer pour désinfecter son PC..
Et quand on voit l'efficacité.. plutôt l'inefficacité de certains...... voir la page Adwares/Spywares : Comment NE PAS désinfecter son PC ?, je vous laisse en tirer les conclusions.
Ces méthodes d'analyse par un programme qui détecte des éléments et demande de payer pour les corriger/supprimer sont aussi utilisés par les logiciels d'optimisation ou de mise à jour de pilotes.
Plus d'informations sur la page : Nettoyeur et Défragmenteur : ça sert à rien !.
Liens blogs de désinfection
Quelques liens de ces blogs de désinfection regroupés par subnet.
Vous pouvez aller les visiter sans soucis, ils ne sont pas infectieux.
windowsvistaplace.com has address 208.65.21.145
lt.2-spyware.com has address 209.85.23.82
www.2-spyware.com has address 209.85.23.82
www.2-viruses.com has address 209.85.23.84
removal-instructions.com has address 209.85.60.140
uninstall-spyware.com has address 209.85.60.141
spywareremove.com has address 209.85.60.143
Pour ces derniers, la source semble être une entreprise lithuanienne : http://www.esolutions.lt/
www.411-spyware.com has address 64.13.232.128
www.removeonline.com has address 69.16.252.250
removal-tool.com has address 64.28.182.187
hands-oncorp.com has address 64.28.182.147
damnedspyware.com has address 69.65.41.98
www.xp-vista.com has address 70.85.26.196
www.zimbio.com has address 72.32.7.18
spywareremovalhell.com has address 74.53.228.162
fr.pcthreat.com has address 78.153.252.211
fix-slow-computer.com has address 80.93.48.92
fix-computer-problem.com has address 88.214.200.240
Regroupés par antispywares :
http://fr.pcthreat.com/parasitebyid-6891fr.html
http://www.411-spyware.com/remove-windows-antivirus-2008
http://www.xp-vista.com/spyware-removal/antivi ... structions
http://www.removal-instructions.com/rem ... 8_Pro.html
http://www.spywareremove.com/removeVistaAntivirus2008.html
http://www.removal-instructions.com/removeAnti ... 8_Pro.html
http://www.zimbio.com/Spyware/articles/838/Antivirus2009
http://www.uninstall-spyware.com/
http://www.2-spyware.com/remove-windows-antivirus-2008.html
http://hands-oncorp.com/2008/06/12/windows-antivirus-2008-removal-instructions/
http://removal-tool.com/windows-antivirus-2008/
http://www.damnedspyware.com/how-to-get-rid-of ... -tool.html
http://removers.volyn.net/
http://fix-slow-computer.com/
http://fix-computer-problem.com/
http://www.windowsvistaplace.com/
http://lt.2-spyware.com/remove-infector-trojan.html
http://hands-oncorp.com/
http://www.spywareremovalhell.com/
http://www.removeonline.com/remove-windowsanti ... tructions/
http://www.2-viruses.com/remove-windows-antivirus-2008
Initialement, SpyHunter et Spyware Doctor étaient les deux antispywares proposés.
Spyware Doctor semble avoir disparu et YAC est apparu.
Actuellement, vous pouvez donc tomber sur les antispywares : YAC, Spyhunter.
EDITION - Juillet 2012 : Les nettoyeurs qui se font passer pour des antivirus
Le premier blog de sécurité qui parle d'antivirus pour au final refourguer un nettoyeur de registre/fichiers orphelins qui dit supprimer des malwares : SpeedMax PC.
Ces nettoyeurs sont pour la plupart des pratiques.
Se reporter à la page Nettoyeur et Défragmenteur : ça sert à rien !
EDITION - Décembre 2014
YAC proposé par de fausses mises à jour Java (voir aussi d'autres procédés sur la fiche : https://www.supprimer-virus.com/supprim ... r-cleaner/
