Les rogues sont proposés en téléchargement suite à l'affichage de de fausses alertes indiquant que vous êtes infecté. Le but est clair, utilisez le social engineering pour vous faire peur, vous destabiliser en faisant croire que votre ordinateur est infecté afin de vous faire télécharger et surtout acheter ces rogues.
Ces de fausses alertes indiquant que vous êtes infecté. peuvent arriver de deux manières :
- Soit votre ordinateur est réellement infecté et des fenêtres intempestives d'alertes s'ouvrent.
- Soit un site WEB ouvre une popup de publicité d'alerte, votre ordinateur n'est pas infecté, la popup est ouverte par le site WEB.
Les infections qui ouvrent de fausses alertes de sécurité
Ces infections ont pour seul but de vous afficher des popups d'alertes pour vous faire télécharger et installer un rogue. Parfois, le rogue est compris dans l'infection et est donc installé à votre insu.
En règle général, le scan du rogue se lance tout seul, le rogue va détecter une multitude d'infections plus ou moins imaginaires mais TOUJOURS à l'isu du scan une fenêtre vous indiquera que vous devez payer pour nettoyer l'ordinateur.
Comme vous l'avez compris, le but est de vous faire acheter un faux antispyware en simulant des infections.
N'achetez pas ces soit disant antispywares, ce sont des coquilles vides
Les caractéristiques de ces infections sont en général :
- des bulles d'alertes en bas à droite à côté de l'horloge, ces bulles lancent des messages disant que votre ordinateur est infecté périodiquement :
- une modification du fond d'écran avec des messages disant que votre ordinateur est infecté. Ex :
- une modification de la page de démarrage pour vous rediriger vers des sites d'alertes et/ou sites de rogues
- ajout d'un composant dans le navigateur pour vous rediriger vers des sites affichant de fausses alertes indiquant que vous êtes infecté.
Ces infections se propagent de manières différentes :
- Le téléchargement et l'execution d'un faux codec. procédé très utilisé par la famille de rogues Renos.
- Faux cracks sur P2P ou via de Faux sites Web de Cracks
- Des exploits sur des sites WEB, l'infection est possible quand vous ne maintenez pas à jour vos logiciels (surtout le navigateur WEB), voir Pourquoi et comment je me fais infecter?
A noter le cas particulier de l'infection Magic.Control/Navipromo/egdaccess qui affiche des popups pour casinos, crasy girls mais aussi les rogues Spyware Secure ou SWS Antispyware 2007
Les publicités qui ouvrent des popups d'alerte
Les bannières de publicité peuvent proposer des programmes dits gratuits qui installent des adwares (composants publicité) qui à leur tour ouvrent des popups de publicité (voir Les Bannières/popups de publicités dangereuses sur la toile.
Depuis quelques mois, nous assistons à une recrudescence des popups d'alertes proposant des rogues quelque soit la thématique du site visité, alors qu'il y a un an, il fallait plutôt aller sur des sites de cracks ou pornographiques pour obtenir des popups d'alertes.
Les auteurs de rogues via des Applets Flash piégés ont réussi à rentrer dans les chaînes de régie publicitaire, il en ressort que "n'importe quel" site peut afficher ces popups.
Kaspersky détecte ces applets flashs piégés en Trojan-Downloader.SWF.Gida.a
Voici quelques une des popups que vous pouvez recevoir :
En faisant OK on arrive sur un site qui simule le scan de votre PC avec une barre de progressions, une liste de fichiers etc...
Ce sont des animations, le but étant de faire croire au scan réel de votre ordinateur et la détection de menaces pour vous faire télécharger le rogue.
Le schéma est toujours le même.
Quelques fausses pages du rogues WinXDefender :
Ici de fausses alertes sur Firefox qui reprennent la charte graphique de la protection Web de Firefox :
Une video sur Bluetack qui montre comment se passe la redirection.
Cliquez sur la bannière verte "Camtasia" pour lancer la vidéo : http://www.bluetack.co.uk/forums/index. ... st&p=85439
La consultation des sites WEB des rogues n'est pas dangereuse, vous pourrez voir qu'il existe des rogues de divers langues (anglais, allemand, espagnole, langue asiatique), de même les messages dans les popups d'alertes existent dans ces divers langues.
Le but est donc de visiter tous les internautes du monde entier selon leur provenance.
Les messages sont traduits informatiquement ce qui fait qu'ils peuvent comporter des incohérences ou fautes.
L'interface et charte graphique de ces rogues est souvent similaires, le but étant de décliner le nom pour proposer un soit disant nouveau produit, voir Captures des rogues famille WinAntivirusPro, seul le nom change.
La difficulté concernant ces popups d'alerte est de savoir si celles-ci proviennent du site WEB consulté ou d'une quelconque infection présente sur votre ordinateur et ce n'est parfois pas simple.
La fréquence peut être une bonne indication, si vous recevez beaucoup de popups, par exemple toutes les cinq minutes, c'est certainement une infection, alors que si c'est occasionnel, c'est certainement une publicité contenue sur le site WEB que vous visitez régulièrement (sites d'actualités etc..).
Pour pallier aux problèmes de publicités, je conseil pas un programme antipopup car la majorité des navigateurs en sont maintenant pourvus, de plus, le contenu publicitaire n'est pas toujours sous forme de popups (bannières, animations flashs etc..).
Pour ne plus recevoir de publicités, ainsi que les alertes des rogues, utilisez Firefox Sécurisé, en outre cela vous protègera de certains exploits de sites WEB.
Vous trouverez des informations supplémentaires sur ces publicités Flash Mystery, or how you get infected by *.SWF files de BISS (en anglais)
Voir aussi Discussions autour des Popup ErreurChasseur, PerformanceOptimizer, Malware-Scan,etc
Google Poisoning et sites hackés
Deux autres méthodes utilisés pour rediriger vers de fausses alertes, la première consiste à créer de multiples "faux" sites avec des mots clefs suceptibles d'être tapé sur Google et avec des thématiques différents (informatique, stars, automobile etc).
Lorsque l'internaute va effectuer une recherche sur Google, il a de grandes chances de tomber sur l'un de ces sites.. en cliquant sur le lien, il sera automatiquement redirigé vers une fausse page de scan faisant la promotion d'un rogue.
Le fait de créer de multiples faux sites afin d'être référencés sur Google se nomme Google Poisoning.
Vous trouverez plus d'informations sur la page : SEO empoisonnement : redirections recherche Google et une vidéo illustrative :
Une autre méthode consiste aussi à hacker des sites WEB (souvent des forums ou blogs) en en ajoutant un fichier .htaccess.
Si l'internaute arrive directement sur le site en question (favoris ou en tappant l'adresse du site sur son navigateur), aucune redirection ne sera effectuée.
Par contre, les internautes qui arriveront sur le site via un moteur de recherche seront eux redirigés.
Comme vous pouvez le voir, il existe divers méthodes pour rediriger les internautes vers de fausses pages de scans.
Ceci ajoute encore plus de confusions chez les internautes qui ne savent pas exactement ce qui se passe et croient bien souvent qu'ils sont infectés.
S'ensuit alors divers heures de scans avec divers antispywares qui rélèvent souvent pas grand chose.
A noter que les directions pour ces deux méthodes sont faites à partir de javascript, l'utilisation d'Internet Explorer ou Firefox avec la configuration par défaut ne change rien, vous êtes exposés.
Par contre, Firefox Sécurisé l'est beaucoup moins puisque le javascript est bloqué par NoScript.
Fausses alertes de sécurité pour vous infecter
Nous allons prendre comme exemple la remontée pour le rootkit TDSServ suivante : http://forum.malekal.com/viewtopic.php? ... 75#p125693
La page suivante fait la promotion du rogue Antivirus XP 2008.
Il s'avère qu'à l'heure où a été visitée la page le rogue Antivirux XP 2008 n'existe plus depuis plusieurs semaines.
Vous noterez sur la page, les couleurs, le logo Windows et la série de logo en bas pour faire professionnel et rassurer l'internaute qui tombe sur la page.
Certains vont même surement penser que c'est un antivirus Microsoft.
Si l'on clic à droite sur le bouton "Download", un fichier setup.exe nous est proposé.
L'internaute pense alors télécharger le programme d'installation de ntivirus XP 2008, perdu, cela va installer le le rootkit TDSServ.
A gauche, un bouton "Free Check" pour effectuer le scan de votre ordinateur...
Le soit-disant scan de votre ordinateur commence alors, pas de chance ici, le scan a été lancé sur un Firefox depuis une machine GNU/Linux.
On voit tout de même que le scan scanne des fichiers Windows.....
Il s'avère encore une fois que le scan n'est autre qu'une animation qui simule le scan de votre ordinateur.
Comment un scan peut se faire alors que vous n'avez accepté aucun fichier d'installation ?
L'animation de scan est faite en Flash, d'ailleurs... l'extension NoScript bloque l'animation Flash (voir page Sécuriser le navigateur WEB Firefox).
Les fausses pages de scan pour infecter votre ordinateur sont de plus en plus utilisés notamment pour les Faux codec Renos/Zlob : "you have a security problem" : codec.xxx.exe
Encore une fois, ne soyez pas crédule mais critique. Ne prenez pas pour agent comptant tout ce qu'on vous dit à l'écran. Dans le doute, n'acceptez aucun fichier et renseignez vous avant d'ouvrir tout fichier proposé
AntiMalware Defender et Dr. Guard en action :