InstallCore : PUPs et Adwares

[Malekal_morte]

!	Un article plus récent existe sur le site : InstallCore : une plate forme de PUP résiliente

InstallCore est un système d'affiliation concurrent de DomaIQ/SoftPulse, DownloadAdmin, PUP/Win32.Amonetize et Solimba. C'est actuellement un des plus actifs avec DomaIQ/SoftPulse et PUP/Win32.Amonetize (plutôt spécialisé dans les sites de cracks/keygen) qui a tout de même baissé grâce aux bloquages PUPs de Google.

Contrairement à DomaIQ/SoftPulse, InstallCore en plus de mettre en ligne des sites de téléchargements pour utiliser des programmes gratuits comme prétexte, InstallCore continue d'afficher de faux messages de mises à jour Flash et Java.

ClubIC et telecharger.com et d'autres sites de téléchargement utilisent ce dernier.
InstallCore est spécialisé pour offrir des setup personnalisé selon le site pour le démarcher et proposer de l'argent à travers l'utilisation de ces setup.
InstallCore est donc un moyen de monétiser les sites de téléchargements et autres en proposant des logiciels indésirables et publicitaires.

InstallCore en vidéo :





Du côté des fausses pages Flash et Java :






et sur adf.ly de faux messages Java :









ou encore HD Video Player :


et de fausses pages d'installation qui peuvent aussi s'ouvrir en publicités.





Bref tout plein de prétextes différents pour vous faire lancer le programme d'installation qui proposera ensuite divers programmes indésirables (PUP).
On retrouve toujours les mêmes composants :
Un Browser Hijacker, c'est à dire un programme qui va modifier la configuration des navigateurs WEB pour imposer un moteur de recherche en particulier.
Le but est de gagner de l'argent à travers le traffic envoyé vers un moteur de recherche en particulier, lequel lui, gagnera de l'argent avec les publicités et liens sponsorisés.
Pour plus d'explications, se reporter à la page : La guerre des moteurs de recherche sur internet.

Actuellement 3 moteurs de recherches sont poussés par InstallCore : Bing, Yahoo et Palikan Search.
(A ce sujet, se reporter à la page : PUPs/Adwares : guerre des moteurs de recherche)








Un adware (logiciel publicitaire), Là où DomaIQ/SofPulse pousse que des adwares de la famille PullUpdate (ou Adware.PullUpdate (supprimer-virus.com) et CrossRider.
InstallCore lui, installe que des adwares de la famille Adware.BrowseFox (ou BrowseFox (supprimer-virus.com).

Par exemple, DiscoveryApp, Bronze Aid et MiddleRush.
Bien sûr les noms changent dans le temps, l'adware reste le même.




et enfin des logiciels d'optimisation et de nettoyage, de mauvaise qualité, qui ne peuvent survivre que grâce à ces programmes d'affiliation.
Vendu une trentaine d'euros environ, ces derniers afficheront des alertes en tout genre sur l'ordinateur infecté par des adwares où l'utilisateur risque d'être plus réceptif puisque ce dernier est infecté.
Voir le principe sur la page : Nettoyeur / Optimiseur : cela ne sert à rien

Actuellement : Winzip Registry Optimizer, Winzip Malware Protector et PC Speed Maximizer.




Voila le résultat de la page du forum avec tous ces logiciels installés, on peut constater que la page du forum malekal est recouverte de publicités.





Enfin divers autres programmes utilise ce réseau pour se diffuser.
Le programme peut aussi proposer d'installer Norton 360.





Voici un exemple de détection InstallCore :

SHA256: 71e3c549bfe9479de0cb38f0fcf14d85fcae98f616d8b66f3e7ab7e76578fd0a
Nom du fichier : setup.exe
Ratio de détection : 10 / 55
Date d'analyse : 2015-12-01 15:08:46 UTC (il y a 1 minute)

Antivirus Résultat Mise à jour
AVware AdGazelle (fs) 20151201
Antiy-AVL GrayWare[Adware]/Win32.installcore.aaj 20151201
Arcabit PUP.Adware.Eorezo 20151201
Bkav W32.HfsAdware.C0E9 20151201
DrWeb Trojan.Installcore.630 20151201
ESET-NOD32 a variant of Win32/InstallCore.ADV.gen potentially unwanted 20151201
K7GW Hacktool ( 655367771 ) 20151201
Malwarebytes PUP.Optional.Downloadius.SID 20151201
Qihoo-360 HEUR/QVM06.1.Malware.Gen 20151201
VIPRE AdGazelle (fs) 20151201

Les pages concernant InstallCore :
InstallCore (supprimer-virus.com)
InstallCore (supprimer-trojan.com)


Désinfection PUPs - PUP.Optional / Programmes parasites

Se reporter à la page suivante : Désinfection Adwares / Programmes Parasties / PUP

Eviter les programmes parasites


Pour prévenir les sites malicieux, tu peux installer Blockulicious : Blockulicious


Pour ne plus vous faire avoir.
A lire un dossier sur les programmes parasties : Adwares / Programmes parasites / PUPs

Publicités - Acheter la version payante de Malwarebytes Anti-Malware

[Malekal_morte]

Le site opensubtitles utilisent aussi des installeurs InstallCore pour faire télécharger les sous-titres.
C'était aussi le cas du site de Torrent KickAssTorrent.
Ici le but est de faire télécharger le sous-titre à travers l'installeur InstallCore qui va proposer les programmes indésirables et adwares, opensubtitles gagnera de l'argent à chaque installation réussie.
C'est un moyen de monétiser le site.





Yahoo proposé en page de démarrage et moteur de recherche sur tous les navigateurs WEB : Browser Hijacker.



Et Middle Rush, un Adware BrowseFox qui va polluer toutes les pages WEB de publicités Middle Rush.

[Malekal_morte]

InstallCore est aussi actif sur les sites de streaming à travers la régie Israel PlyMedia, très connu pour distribuer des programmes parasites et adwares via de faux messages Java/Flash

Via de faux bandeaux de mises à jour pour regarder des films en HD.



on obtient une fausse page de mise à jour Java pour faire charger un setup InstallCore.

Code : Tout sélectionner

http://adstract.adk2x.com/imp?p=70412369&ap=1317&ct=html&u=http%3A%2F%2Fwww.films-regarder.com%2Fload%2Fbates_motel%2Fbates_motel_saison_3_episode_10%2F302-1-0-4783&r=http%3A%2F%2Fwww.films-regarder.com%2Fload%2Fbates_motel%2F302&iss=0&f=1
http://mpcdn1.com/dr2?srn=mp_adstract_java_nol&utm_source=mp_adstract&clickid=_SV98X4Yy21-zgy7DpYWf7ih8y1buw1rfRZj7aP5gXQ0mXGDRs4N1a05amlJAOpsDtyvCAYvrCV5MCyL8UrmRNESsimGYIM4GE-Pg4__G-3wMtk9sfOzFS-pMolz_XZ3BByAYHV-G5L3gziitsPkDWfNDGYQoYxqfsmtR1sA-ZdkyHng6Caz7ix1yFBI7pB5Diq1rvYF0TXxnEf8lCJ32hdm9ScPo6JziWwHh3D0DkqJE4GG6-K5_733E3Z2TXmd8ECMU2fy8zt_CgFAw2FxrLfkJL-dIh5TRDTvW7xbHvNo-SWYtmdgkgM1mRM6kBUcBVCtFJZvT747LSL93R_j412XB3K63UkVMpn235zZtGe-7hdXaNgvxgZvF68CiSTrKWlFl-CU3wYSvhyaKfjRfURjo8tQMGUKVhCTyztrg0O8&utm_content=[SUBID]&utm_campaign=[CAMPAIGN]
http://top140freedownloads.com/13773/sr3/?srn=mp_adstract_java_nol&utm_source=mp_adstract&clickid=_SV98X4Yy21-zgy7DpYWf7ih8y1buw1rfRZj7aP5gXQ0mXGDRs4N1a05amlJAOpsDtyvCAYvrCV5MCyL8UrmRNESsimGYIM4GE-Pg4__G-3wMtk9sfOzFS-pMolz_XZ3BByAYHV-G5L3gziitsPkDWfNDGYQoYxqfsmtR1sA-ZdkyHng6Caz7ix1yFBI7pB5Diq1rvYF0TXxnEf8lCJ32hdm9ScPo6JziWwHh3D0DkqJE4GG6-K5_733E3Z2TXmd8ECMU2fy8zt_CgFAw2FxrLfkJL-dIh5TRDTvW7xbHvNo-SWYtmdgkgM1mRM6kBUcBVCtFJZvT747LSL93R_j412XB3K63UkVMpn235zZtGe-7hdXaNgvxgZvF68CiSTrKWlFl-CU3wYSvhyaKfjRfURjo8tQMGUKVhCTyztrg0O8&utm_content=%5BSUBID%5D&utm_campaign=%5BCAMPAIGN%5D&cc=FR&ow=4&product=java_nologo&style=4&wt=false&ab=0&sdk=ironsrc&forceBackup=False&forceNonBackup=False
http://top140freedownloads.com/lp2/37151/99081/512/free/download

Propeller Ads Media charge aussi de fausses pages de mise à jour Adoble Flash qui conduit à des setup InstallCore.

Code : Tout sélectionner

http://onclickads.net/?r=%2Fmb%2Fhan&zoneid=294104&pbk2=0ceb79cd683ed5f0484fd6ee0d40efd56225886450834593187&auction_id=91c66b282ac65416&adparams=bm9qcz0wJnNhdmVkX3JlZmVyZXI9aHR0cCUzQSUyRiUyRnd3dy5mdWxsLXN0cmVhbS5vcmclMkZtb3ZpZXMlMkZmaWxtcy1lbi1zdHJlYW1pbmclMkZoYXV0ZS1xdWFsaXRlJTJG&x=1272&y=928&timeout=0
http://www.newsafe-system.org/frrubrin?3=M8PGinKJGuAIrqSN68ZurqxCa0zTGuLwJv3YEabwpIs.&cid=122876284954&sid=294104
http://soft4update.forfreeupgrades.org/trste?frekas=M8PGinKJGuAIrqSN68ZurqxCa0zTGuLwJv3YEabwpIs.&cid=122876284954&sid=294104&v_id=siVUOwP6WsrPF8W5IsyVcfIQGSHrdYKSgYyys6cMXMQ.
http://soft4update.forfreeupgrades.org/trste?frekas=M8PGinKJGuAIrqSN68ZurqxCa0zTGuLwJv3YEabwpIs.&cid=122876284954&sid=294104&v_id=siVUOwP6WsrPF8W5IsyVcfIQGSHrdYKSgYyys6cMXMQ.

[Malekal_morte]

et aussi, plus classique, des sites de téléchargements.... par exemple ici une série d'ISO Windows qui mixte des liens Microsoft et des liens vers l'installeur InstallCore.
Tous les liens de ce site de téléchargement mènent à z.getfile136.com - ce dernier a donc été créé pour faire lancer un installeur InstallCore, le propriétaire du site gagnera de l'argent sur le volume du traffic envoyé vers l'installeur (affiliation).








Les sites liés :

Code : Tout sélectionner

http://applipc.com 
http://blogdumac.com 
http://www.blogdumac.com 
http://logicielmac.net 
http://www.logicielmac.net 
http://espacefr.com 
http://www.espacefr.com 
http://winmacsofts.com 
http://www.winmacsofts.com 
http://wallpaper.windows8sos.com

[Malekal_morte]

McAfee LiveSafe proposé par InstallCore, entre un Browser Hijacker et un Adware :

[Malekal_morte]

Le site winmacsofts.com qui refourgue entre autre des ISOs de Windows propose en réalité des installeurs Installcore.
En 2014, des utilisateurs s'étaient fait avoir : Infection PUP sur winmacsofts.com.

winmacsofts-InstallCore.png

winmacsofts-InstallCore-2.png

winmacsofts-InstallCore-3.png

[Malekal_morte]

Linstalleur de l'application de réparation assez populaire Windows Repair, via MajorGeek est maintenant à base d'InstallCore.



De même pour le logiciel de conversion vidéos FormatFactory :

FormatFactory-InstallCore.png

[Malekal_morte]

Un article plus récent existe sur le site : InstallCore : une plate forme de PUP résiliente