J'ai remarqué bcp de résultat avec le caractère ø et des urls plutôt bizarres.
ø Malware ø
ø Adware ø
ø Spywares ø
Du joli Google Poisoning (voir SEO empoisonnement : redirections recherche Google)
Chaque URL renvoye sur des programmes distincts (Malwarebot, NoAdware, XoftSpySE).
Dans le cas d'une redirection ver le site MalwareBot, on passe par un domaine clickbank.net.
SiteAdvisor le classe comme étant propre : http://www.siteadvisor.com/sites/clickb ... d?p=862243, ce qui est assez étonnant.
Une recherche sur le domaine nous donne plein de jolis sites où on peut gagner plein d'argent... ca sent encore des procédés assez limites.
Bref... Affiliation malsaine...
Code : Tout sélectionner
1209650028.841 987 192.168.1.50 TCP_MISS/302 7287 GET http://mrrh.selfip.info/malware-removers/4 - DIRECT/209.97.201.51 text/html
1209650029.781 685 192.168.1.50 TCP_MISS/301 812 GET http://bioancient.malwarebot.hop.clickbank.net/ - DIRECT/64.128.87.132 text/html
1209650030.023 242 192.168.1.50 TCP_MISS/301 405 GET http://bioancient.malwarebot.hop.clickbank.net/hop/?CBRehoppp2=http%3A%2F%2Fwww.malwarebot.com%3Fhop%3Dbioancient&vend=malwarebot&code=10000000000000&affi=bioancient&parms=&key=652DCA0C4E36DF2A5001745B8DDCA4F7 - DIRECT/64.128.87.132 text/html
1209650031.636 1192 192.168.1.50 TCP_MISS/200 23088 GET http://www.malwarebot.com/?hop=bioancient - DIRECT/72.32.242.169 text/html
Du coup... j'ai un peu poussé la recherche et je suis tombé sur ses sites de programmes à la thématique souvent sensibles puisque beaucoup de programmes douteux : antimalwares, nettoyage de registre ou programmes pour protéger la vie privée (nettoyage de traces etc).
Tous les sites des programmes trouvés sont hostés sur des adresses 72.32.xxx.xxx
Trois remarques :72.32.26.195 antispyware.com
72.32.26.195 errorsmart.com
72.32.26.195 regsweep.com
72.32.26.195 registryfox.com (aucun site)
72.32.29.230 adwarealert.com
72.32.29.230 evidenceeraser.com
72.32.29.230 registrysmart.com
72.32.29.230 restore-pc.com
72.32.48.186 2squared.com
72.32.48.186 regclean.com
72.32.48.186 privacycontrol.com
72.32.90.213 spywareremover.com
72.32.90.213 regrecall.com
72.32.100.197 pcfix.pro.com (propose ErrorSmart en téléchargement)
72.32.134.197 registryclear.com
72.32.134.197 spywarebot.com
72.32.242.169 errorkiller.com
72.32.242.169 malwarebot.com
72.32.242.169 registrybot.com
72.32.242.171 free-registrysmart.com
72.32.242.171 macrovirus.com
74.53.29.18 honest-spyware-review.com (va télécharger noadware)
- On notera le domaine 2squared.com ... qui est très proche de a-squared (a2). Où comment semer la confusion chez l'utilisateur.
- Vous remarquez aussi les noms plus que génériques des logiciels (spywareremover, adwarealert etc.), cela permet d'être bien positionné dans les recherches Google lorsque vous effectuez une recherche sur des mots génériques (spyware, error etc).
- Plusieurs noms de programmes différents pour un même logiciel à l'arrivée, ceci afin de toucher plus d'internautes tout en semant la confusion.
Les whois sur les sites ne donnent guère d'infos concrètes quant à l'éditeur qui se cache derrière ces programmes.
Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: MALWAREBOT.COM
Created on: 03-May-04
Expires on: 15-Nov-09
Last Updated on: 06-Mar-07
Administrative Contact:
Private, Registration [email protected]
Domains by Proxy, Inc.
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
(480) 624-2599 Fax -- (480) 624-2599
et sur les sites WEB... ce n'est pas mieux! que ce soit sur l'EULA ou en bas... aucune mention d'éditeur ou source.Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: 2SQUARED.COM
Created on: 20-Feb-01
Expires on: 15-Nov-09
Last Updated on:
Administrative Contact:
Private, Registration [email protected]
Domains by Proxy, Inc.
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
(480) 624-2599 Fax -- (480) 624-2599
A chaque fois, c'est le nom du programme qui est repris :
Les informations semblent donc floutées. Il est donc difficile de savoir qui est derrière ces programmes.Copyright © 2005 - 2008 http://www.ErrorKiller.com - All Rights Reserved
Copyright 2008 RegRECALL.com - All rights reserved.
AdWareAlert is the world's leading adware and spyware remover.
Copyright 2004-2008 AdWareALERT.com - All Rights Reserved.
etc.
Ce qui est en général mauvais signe.
Les téléchargements des programmes pointent tous sur l'IP 209.85.65.55 avec comme domaine http://download.nomduprogramme
Le fichier est souvent setup.exe ou setupv.exe. Tous ces programmes sont donc bien liés.
Exemple :
Code : Tout sélectionner
1209660219.326 4 192.168.1.50 TCP_IMS_HIT/304 314 GET http://download.regrecall.com/setupxv.exe - NONE/- application/x-msdownload
1209649914.945 6757 192.168.1.50 TCP_MISS/200 2612728 GET http://download.2squared.com/1209393656.10.5.3.ref2 - DIRECT/209.85.65.55 text/plain
1209650062.566 14410 192.168.1.50 TCP_MISS/200 4248176 GET http://download.malwarebot.com/setupxv.exe - DIRECT/209.85.65.55 application/x-msdownload
1209650366.694 12967 192.168.1.50 TCP_MISS/200 4541863 GET http://download.antispywarebot.com/setup.exe - DIRECT/209.85.65.55 application/x-msdownload
1209651249.076 11044 192.168.1.50 TCP_MISS/200 3981039 GET http://download.spywarestop.com/setupxv.exe - DIRECT/209.85.65.55 application/x-msdownload
1209655905.450 12292 192.168.1.50 TCP_MISS/200 4509983 GET http://download.spywareremover.com/setupxv.exe - DIRECT/209.85.65.55 application/x-msdownload
1209656268.116 3840 192.168.1.50 TCP_MISS/200 1304632 GET http://download.errorkiller.com/setupxv.exe - DIRECT/209.85.65.55 application/x-msdownload
1209656344.826 312 192.168.1.50 TCP_MISS/302 324 GET http://evidenceeraser.com/setup.exe - DIRECT/72.32.29.230 text/html
1209656355.666 7696 192.168.1.50 TCP_MISS/200 2526560 GET http://download.evidenceeraser.com/setup.exe - DIRECT/209.85.65.55 application/x-msdownload
1209656440.143 4116 192.168.1.50 TCP_MISS/200 1216224 GET http://download.regsweep.com/setupxv.exe - DIRECT/209.85.65.55 application/x-msdownload
1209657563.541 8436 192.168.1.50 TCP_MISS/200 1614400 GET http://download.regclean.com/setupxv.exe - DIRECT/209.85.65.55 application/x-msdownload
1209659312.800 9801 192.168.1.50 TCP_MISS/200 2342982 GET http://download.privacycontrol.com/setup.exe - DIRECT/209.85.65.55 application/x-msdownload
Code : Tout sélectionner
1209656436.022 946 192.168.1.50 TCP_MISS/302 320 GET http://regsweep.com/setup.exe - DIRECT/72.32.26.195 text/html
1209655781.268 333 192.168.1.50 TCP_MISS/302 320 GET http://macrovirus.com/setup.exe - DIRECT/72.32.242.171 text/htm
De même si on fait un reverse ou sur robotex : http://www.robtex.com/ip/209.85.65.55.html
En farfouillant, on s'aperçoit que pas mal de sites WEB proposent les programmes en question...
Exemple : http://error_smart.software.datapicks.com/
Ce site propose plein de programmes de nettoyage de registre.. : Smart Error Repair, PC Error Smart, BrightRay PC Registry Repair etc...
Chaque site a des sources différentes...
Sauf que si l'on tente de télécharger les programmes, on nous renvoit sur le même site, celui d'ErrorSmart.
Une recheche de "BrightRay registry" sur Google nous donne plein d'autres sites de téléchargement... de même pour les autres noms d'éditeur.
Ce donc de faux sites de téléchargement de programmes crées dans le but de vous proposer ces programmes en téléchargement.
Dans le même style, on a le faux moteur de recherche qui lance une recherche par exemple de programmes de nettoyage de registre et propose toujours les mêmes logiciels ou le faux site de comparatif qui soit disant compare ces logiciels "douteux" entre eux et bien sûr vous les propose en téléchargement.
En plus de vous renvoyer vers ces logiciels, cela permet de générer du Google Poisoning afin d'améliorer son ranking et être en haut des résultats des recherches.
J'étais aussi tombé sur une infection qui proposait l'un de ces programmes (AdwareAlert), voir hopelessromantic/Trojan.NSIS.StartPage.c.
Pour SpywareRemover voir cette page : http://forum.malekal.com/viewtopic.php? ... ver#p64282
Ces méthodes douteuses n'ont pas obligatoires pour origine les créateurs de ces programmes, cela peut être dû aux affiliations.
Néanmoins, l'éditeur de ces programmes ne semblent pas fair le necessaire pour enrayer ces méthodes douteuses.
Petit tour d'horizon des programmes
Points communs de tous les programmes listés :
- Effet de fondu du splashscreen au lancement des programmes;
- A la fermeture des programmes, on a toujours la même capture;
- Un clic droit sur l'icône du systray renvoit le même menu pour tous les programmes;
- Une certaine similitude dans la charte graphique (interface, boutons etc..)
Dans les propriétés des fichiers, on retrouve "AntiSpyware LLC", "C-NetMedia Inc" ou un autre nom de programmes.
Error Smart "AntiSpyware LLC"
AntiSpywareApp "AntiSpyware LLC"
AntiSpywareBot "2Squared LLC"
AdwareAlert "C-NetMedia Inc"
SpywareBot "C-NetMedia Inc"
etc..
C-NetMedia Inc est déjà connu pour ses pratiques douteuses :
http://sunbeltblog.blogspot.com/2008/02 ... inues.html
http://www.lockergnome.com/blade/2008/0 ... re-beware/
http://www.thetechherald.com/article.ph ... -marketing
De même dans chaque répertoire de ses programmes, on retrouve des fichiers similaires.. : TCL.dll, SpyCleaner.dll etc.
Tout ceci laisse à penser que les programmes ont bien pour origine le même groupe/éditeur.
Différents noms d'éditeur pour une même entité/groupe.
Voici une capture des différents programmes pour que vous puissiez juger par vous même.
MalwareBot
AdwareAlert
SpywareStop
AntiSpywareBot
ErrorKiller
AntiSpyware
ErrorSmart
EvidenceEraser
MacroVirus
PrivacyControl
RegCall
RegClean
RegSweep
RegistrySmart
SpywareRemover
Conclusion
Des pratiques douteuses autour de ces différents programmes, aucune origine claire sur l'éditeur qui se cache derrière ces programmes.
Tout ceci laisse donc penser à une arnaque.
Dans le doute, il est donc conseillé d'éviter d'installer les programmes listés ci-dessus et encore plus de les acheter.