Les Rogues et alertes de sécurité

Listes des différents Rogues/Scareware
Malekal_morte
Messages : 116843
Inscription : 10 sept. 2005 13:57

Les Rogues et alertes de sécurité

par Malekal_morte »

Une petite page pour vous parler des rogues/scareware et les alertes de sécurité qui sont liées.

Les rogues sont proposés en téléchargement suite à l'affichage de de fausses alertes indiquant que vous êtes infecté. Le but est clair, utilisez le social engineering pour vous faire peur, vous destabiliser en faisant croire que votre ordinateur est infecté afin de vous faire télécharger et surtout acheter ces rogues.

Ces de fausses alertes indiquant que vous êtes infecté. peuvent arriver de deux manières :
  • Soit votre ordinateur est réellement infecté et des fenêtres intempestives d'alertes s'ouvrent.
  • Soit un site WEB ouvre une popup de publicité d'alerte, votre ordinateur n'est pas infecté, la popup est ouverte par le site WEB.
Nous allons détailler ces deux aspects.

Les infections qui ouvrent de fausses alertes de sécurité

Ces infections ont pour seul but de vous afficher des popups d'alertes pour vous faire télécharger et installer un rogue. Parfois, le rogue est compris dans l'infection et est donc installé à votre insu.
En règle général, le scan du rogue se lance tout seul, le rogue va détecter une multitude d'infections plus ou moins imaginaires mais TOUJOURS à l'isu du scan une fenêtre vous indiquera que vous devez payer pour nettoyer l'ordinateur.
Comme vous l'avez compris, le but est de vous faire acheter un faux antispyware en simulant des infections.

N'achetez pas ces soit disant antispywares, ce sont des coquilles vides

Les caractéristiques de ces infections sont en général :
  • des bulles d'alertes en bas à droite à côté de l'horloge, ces bulles lancent des messages disant que votre ordinateur est infecté périodiquement :
    Image
  • une modification du fond d'écran avec des messages disant que votre ordinateur est infecté. Ex :
    Image
  • une modification de la page de démarrage pour vous rediriger vers des sites d'alertes et/ou sites de rogues
  • ajout d'un composant dans le navigateur pour vous rediriger vers des sites affichant de fausses alertes indiquant que vous êtes infecté.
Ex :
Image


Ces infections se propagent de manières différentes : Suivez la Procédure de désinfection des Trojans/Backdoor pour vous désinfecter.

A noter le cas particulier de l'infection Magic.Control/Navipromo/egdaccess qui affiche des popups pour casinos, crasy girls mais aussi les rogues Spyware Secure ou SWS Antispyware 2007


Les publicités qui ouvrent des popups d'alerte

Les bannières de publicité peuvent proposer des programmes dits gratuits qui installent des adwares (composants publicité) qui à leur tour ouvrent des popups de publicité (voir Les Bannières/popups de publicités dangereuses sur la toile.

Depuis quelques mois, nous assistons à une recrudescence des popups d'alertes proposant des rogues quelque soit la thématique du site visité, alors qu'il y a un an, il fallait plutôt aller sur des sites de cracks ou pornographiques pour obtenir des popups d'alertes.

Les auteurs de rogues via des Applets Flash piégés ont réussi à rentrer dans les chaînes de régie publicitaire, il en ressort que "n'importe quel" site peut afficher ces popups.
Kaspersky détecte ces applets flashs piégés en Trojan-Downloader.SWF.Gida.a

Voici quelques une des popups que vous pouvez recevoir :

Image

En faisant OK on arrive sur un site qui simule le scan de votre PC avec une barre de progressions, une liste de fichiers etc...
Ce sont des animations, le but étant de faire croire au scan réel de votre ordinateur et la détection de menaces pour vous faire télécharger le rogue.

Le schéma est toujours le même.
Image

Quelques fausses pages du rogues WinXDefender :
Image

Image

Image

Ici de fausses alertes sur Firefox qui reprennent la charte graphique de la protection Web de Firefox :

Image

Image

Image

Image


Une video sur Bluetack qui montre comment se passe la redirection.
Cliquez sur la bannière verte "Camtasia" pour lancer la vidéo : http://www.bluetack.co.uk/forums/index. ... st&p=85439

La consultation des sites WEB des rogues n'est pas dangereuse, vous pourrez voir qu'il existe des rogues de divers langues (anglais, allemand, espagnole, langue asiatique), de même les messages dans les popups d'alertes existent dans ces divers langues.
Le but est donc de visiter tous les internautes du monde entier selon leur provenance.

Les messages sont traduits informatiquement ce qui fait qu'ils peuvent comporter des incohérences ou fautes.
L'interface et charte graphique de ces rogues est souvent similaires, le but étant de décliner le nom pour proposer un soit disant nouveau produit, voir Captures des rogues famille WinAntivirusPro, seul le nom change.

La difficulté concernant ces popups d'alerte est de savoir si celles-ci proviennent du site WEB consulté ou d'une quelconque infection présente sur votre ordinateur et ce n'est parfois pas simple.
La fréquence peut être une bonne indication, si vous recevez beaucoup de popups, par exemple toutes les cinq minutes, c'est certainement une infection, alors que si c'est occasionnel, c'est certainement une publicité contenue sur le site WEB que vous visitez régulièrement (sites d'actualités etc..).

Pour pallier aux problèmes de publicités, je conseil pas un programme antipopup car la majorité des navigateurs en sont maintenant pourvus, de plus, le contenu publicitaire n'est pas toujours sous forme de popups (bannières, animations flashs etc..).
Pour ne plus recevoir de publicités, ainsi que les alertes des rogues, utilisez Firefox Sécurisé, en outre cela vous protègera de certains exploits de sites WEB.

Vous trouverez des informations supplémentaires sur ces publicités Flash Mystery, or how you get infected by *.SWF files de BISS (en anglais)
Voir aussi Discussions autour des Popup ErreurChasseur, PerformanceOptimizer, Malware-Scan,etc

Google Poisoning et sites hackés

Deux autres méthodes utilisés pour rediriger vers de fausses alertes, la première consiste à créer de multiples "faux" sites avec des mots clefs suceptibles d'être tapé sur Google et avec des thématiques différents (informatique, stars, automobile etc).
Lorsque l'internaute va effectuer une recherche sur Google, il a de grandes chances de tomber sur l'un de ces sites.. en cliquant sur le lien, il sera automatiquement redirigé vers une fausse page de scan faisant la promotion d'un rogue.

Le fait de créer de multiples faux sites afin d'être référencés sur Google se nomme Google Poisoning.

Vous trouverez plus d'informations sur la page : SEO empoisonnement : redirections recherche Google et une vidéo illustrative :


Une autre méthode consiste aussi à hacker des sites WEB (souvent des forums ou blogs) en en ajoutant un fichier .htaccess.

Si l'internaute arrive directement sur le site en question (favoris ou en tappant l'adresse du site sur son navigateur), aucune redirection ne sera effectuée.
Par contre, les internautes qui arriveront sur le site via un moteur de recherche seront eux redirigés.

Comme vous pouvez le voir, il existe divers méthodes pour rediriger les internautes vers de fausses pages de scans.
Ceci ajoute encore plus de confusions chez les internautes qui ne savent pas exactement ce qui se passe et croient bien souvent qu'ils sont infectés.
S'ensuit alors divers heures de scans avec divers antispywares qui rélèvent souvent pas grand chose.

A noter que les directions pour ces deux méthodes sont faites à partir de javascript, l'utilisation d'Internet Explorer ou Firefox avec la configuration par défaut ne change rien, vous êtes exposés.
Par contre, Firefox Sécurisé l'est beaucoup moins puisque le javascript est bloqué par NoScript.

Fausses alertes de sécurité pour vous infecter

Nous allons prendre comme exemple la remontée pour le rootkit TDSServ suivante : http://forum.malekal.com/viewtopic.php? ... 75#p125693

La page suivante fait la promotion du rogue Antivirus XP 2008.
Il s'avère qu'à l'heure où a été visitée la page le rogue Antivirux XP 2008 n'existe plus depuis plusieurs semaines.

Vous noterez sur la page, les couleurs, le logo Windows et la série de logo en bas pour faire professionnel et rassurer l'internaute qui tombe sur la page.
Certains vont même surement penser que c'est un antivirus Microsoft.

Image

Si l'on clic à droite sur le bouton "Download", un fichier setup.exe nous est proposé.
L'internaute pense alors télécharger le programme d'installation de ntivirus XP 2008, perdu, cela va installer le le rootkit TDSServ.

Image

A gauche, un bouton "Free Check" pour effectuer le scan de votre ordinateur...
Le soit-disant scan de votre ordinateur commence alors, pas de chance ici, le scan a été lancé sur un Firefox depuis une machine GNU/Linux.
On voit tout de même que le scan scanne des fichiers Windows.....

Il s'avère encore une fois que le scan n'est autre qu'une animation qui simule le scan de votre ordinateur.
Comment un scan peut se faire alors que vous n'avez accepté aucun fichier d'installation ?

Image

L'animation de scan est faite en Flash, d'ailleurs... l'extension NoScript bloque l'animation Flash (voir page Sécuriser le navigateur WEB Firefox).

Image

Les fausses pages de scan pour infecter votre ordinateur sont de plus en plus utilisés notamment pour les Faux codec Renos/Zlob : "you have a security problem" : codec.xxx.exe

Encore une fois, ne soyez pas crédule mais critique. Ne prenez pas pour agent comptant tout ce qu'on vous dit à l'écran. Dans le doute, n'acceptez aucun fichier et renseignez vous avant d'ouvrir tout fichier proposé

AntiMalware Defender et Dr. Guard en action :
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116843
Inscription : 10 sept. 2005 13:57

Re: Rogues et alertes de sécurité

par Malekal_morte »

Page revisitée et ajout du paragraphe : Fausses alertes de sécurité pour vous infecter
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116843
Inscription : 10 sept. 2005 13:57

Re: Les Rogues et alertes de sécurité

par Malekal_morte »

Les pages peuvent être aussi de fausses pages de Windows Update : https://www.malekal.com/2011/06/09/rogu ... ws-update/

Image

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116843
Inscription : 10 sept. 2005 13:57

Re: Les Rogues et alertes de sécurité

par Malekal_morte »

Les alertes de sécurité continuent pour pousser les arnaques téléphoniques qui visent à faire appeler un support pour vous vendre des logiciels de désinfection à des prix exhorbitants.

Les dossiers sur ces arnaques :

Arnaque de support téléphonique (site malekal)
Arnaque de support téléphonique (forum)


En vidéo, de fausses pages "Security Warning" :

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Rogues/Scareware & Programmes douteux »