Clubic, Google et WebMediaplayer

[Contact75]

Les infections (il suffit de lire par ex, les forums Malekal) avec le programme webmediaplayer sont suffisament courantes pour ne pas y revenir, mais il est déplorable que ce type de programme apparaisse dans les premiers liens à travers une recherche Google.



Evidemment les gens iront télécharger sur les premiers sites référencés puisque Google fonctionne au ranking, donc au nombre de pages vues, ce qui pourrait rassurer. Idem pour le lien affiché comme "commercial"

___________________________________________________________________

Le premier lien amène sur le site (ne pas cliquer)

Http://www.Web-MediaPlayer.com/Radio_TV

Je passe sur les scripts du site, mais le plus intéressant, c'est que celui ci est.. en Français, est assez bien présenté avec moult descriptif etc, ce qui tend à rassurer.

Néanmoins... Le site est Russe.

Son propriétaire "déclaré" est :

Alexej Rostaslavovitch

Demeurant à :

Ascheoulov pereulok,
d.9
107045 MOSCOW - Russia -
phone: +7.22334455


Ce site Russe,bien sûr, n'a strictement rien à voir avec celui de l'auteur du programme qui est à :

http://www.azertysite.new.fr/
_____________________________________________________

Clubic

Bien connu, ce site est un des hauts lieu du téléchargement, car considéré comme "safe", et de plus les visiteurs peuvent y deposer des commentaires.
Nez en moins....


Sur le premier lien on y trouve.... Le lien Google Qui mène donc au site Russe ! (merci les affiliations)

Le deuxième lien est le bon, on ne risque rien.
En lisant les critiques les utilisateurs restent cependant persuadés qu'il s'agit du programme russe infecté (idem du reste sur d'autres forums) de quoi salir la réputation de Web MediaPlayer et de son auteur.

Voir :http://www.clubic.com/r/webmediaplayer/
_________________________________________________________

Ce qu'il y a de pernicieux, c'est que comme nombre de ces faux sites (plusieurs milliers) le programme que l'on récupère au téléchargement, est une véritable plaie pour les anti-virus et autres qui mettent à mal leur réputation

Celui-ci du reste est un très bon test pour http://www.virustotal.com afin de voir la réactivité des éditeurs pour les bases de définition de virus, et surtout quel anti-virus en heuristique à la capacité de détecter les souches et variantes.



Je n'ai pas effectué de longs tests récents, mais entre le 28 Aout et le 19 septembre 2007 les infections étaient:

Troyen : Trojan.MailSkinner
NaviPromo : Adware.NaviPromo

Jusque là ca va...

Le problème étant qu'entre ces 2 dates, il y a eu 27 variantes avec incrémentation d'une lettre (c'est comme cela que les éditeurs les définissaient)

Par ex : Adware.NaviPromo.BYC

et le lendemain ou parfois dans les heures qui suivaient : Adware.NaviPromo.BYD

J'ai malheureusement perdu une partie de mes archives, car j'ai testé ce site pendant 4 mois, mais sur le site virustotal :

Au 19 septembre
Seul Bitdefender le détecte en version "J" et un antispyware en ligne du nom d''Ikarus"

Ensuite E-Safe, Sophos, Webwasher-Gateway, détectent un "worm" ou une menace (c'est déja cela)
Panda, lui trouve juste "application web media player" (ce qui ne veut rien dire)

Antivir, KAV, n'ont rien....

Par contre ces 2 éditeurs étaient assez réactifs pour les incorporer dans leur base de définition de virus quelques heures plus tard
Antivir par la suite en heuristic trouvaient une infection mais avec la référence Adware.NaviPromo.BYD

Avast pendant les 4 mois ne m'a jamais rien trouvé...

Lundi, donc le 10 Mars 2008, voyant encore des infections un peu partout sur divers sites, je l'ai téléchargé, mais je n'ai eu aucune réaction sur le site virustotal... J'essaierai en fin de semaine avec la version récupérée ce lundi
Il se peut, et cela arrivait, que la "Vraie" version soit mise en ligne de temps à autre.

LE PROBLEME :

Là on ne peut rappeler aux gens qu'il suffit de faire attention à ce qu'ils téléchargent, du moins de l'endroit (le site) où ils téléchargent, car il est facile de se faire avoir (cf Clubic) mais actuellement une petite parade existe quand meme ;
Une protection Host.

Avec par exemple :

Spywareblaster (pour le plus connu des petits programmes gratuits)

à
http://www.javacoolsoftware.com/

ou tout autre programme qui permet de bloquer l'accès aux sites "dangereux".

Pour information spywareblaster protète de ce site depuis un peu plus de 6 mois, ce qui veut dire que les protections hosts, ont pas mal de retard pour incorporer les sites dangereux dans leur base.

La vigilance reste de mise :-)


Addendum : L'auteur du programme Web MediaPlayer (le vrai), depuis un an n'actualise plus son site, et ne réponds pas non plus aux messages, depuis février 2007

[Rocky]

Moi ça me dépasse, comment se fait-il qu'un site Web connu pour héberger des logiciels diffusant des infections continue d'exister sans que l'hébergeur ne bouge le petit doigt? C'est quand même bizarre... Quand on voit l'effort déployé pour traquer une fermière qui a téléchargé le MP3 de "La fête au village" (humour), comment se fait-il qu'aucune mesure n'est prise contre ces sites et leurs auteurs? Enfin bon, la plupart de ces sites sont bloqués par Spybot je pense, puis je ne vois pas trop l'utilité de télécharger d'autres lecteurs multimédia vu que la plupart des gens ont Windows Media Player, Winamp etc.

[Malekal_morte]

Tu crois qu'ils ont mis le site en Russie pour quoi ?
Justement car ils savent qu'ils laissent faire ce genre de choses.

De ce que l'on m'a dit, ce serait une entreprise qui est d'ailleurs cela.. or, l'infection est très présente en France...
Les sites sont en français... donc... ce serait effectivement le cas.

[Rocky]

Prenons un exemple, il y a un gros trou, les gens risquent de tomber dedans. Il y a une certaine responsabilité des gens qui s'occupent autours du trou pour ne pas faire tomber les gens, dire "Attention". S'ils laissent le trou tel quel et que quelqu'un se blesse, la loi peut se retourner contre eux non?

- Google a le pouvoir de retirer certains liens.
- Clubic aussi je suppose.
- Sans compter que les FAI peuvent aussi mettre des limites, bien sûr c'est lourd à gerer s'ils devaient faire ça pour chaque site, mais dans le cas du Web Media Player, c'est assez connu.

C'est sûr, d'un pays à l'autre les lois sont très différentes, mais Internet étant international et visité de tous, il est peut être possible de faire des choses pour empêcher ça. En tout cas, ça donne du boulot aux éditeurs de logiciels de sécurité tout ça, ils ont tout intérêt à ce que ce genre de sites existe.

[Malekal_morte]

Prenons un exemple, il y a un gros trou, les gens risquent de tomber dedans. Il y a une certaine responsabilité des gens qui s'occupent autours du trou pour ne pas faire tomber les gens, dire "Attention". S'ils laissent le trou tel quel et que quelqu'un se blesse, la loi peut se retourner contre eux non ?

oui dans le meilleur des mondes..


Ensuite, c'est pas dit que un prog qui dit que de l'EULA, il ouvre des pubs, ce soit répréhensible.
N'oublie pas que cela utilise des régies de pubs, c'est régie de pubs sont utilisées par d'autres grosses sociétés.
Certaines ne veulent pas forcément se fâcher avec..
Il y a des $ en jeu dans tout cela... des interêts tout ça.

MailSkinner est marqué comme mauvais par Google, pourquoi les autres programmes non ?
Tout est sur la même IP, Google travaille avec SiteAdvisor de McAfee... t'inquiètes pas qu'ils sont au courants..
Ca fait bientôt 2 ans que ces programmes existent... s'il y avait une réel volonté de limiter leur téléchargement, ce serait fait.

Il peut se passer des choses en coulisses, qui sait ?

Ca ne rapport pas que de l'argent aux auteurs du programmes, ne l'oubliez pas.
Voir le post que j'avais fait sur un échange de mail entre un webmaster FR d'un site qui propose en téléchargement MessengerSkinner + pubs. Tu lui dis que le prog installe un rootkit qui affiche des popups de pubs, il te rit au nez.
La vrai raison, ce sont les $ donc on fait la sourde oreille.

PS : ClubIC a retiré le lien, tout comme j'avais fait retirer le lien tout au début d'internetgamebox sur telecharger.com

[Rocky]

Et oui, le monde du business, il n'y a pas que des choses qui plaisent à tout le monde. Je trouve certaines pratiques sans scrupules : installer un rootkit pour afficher de la publicité forcée, alors là c'est fort quand même, car je défie un utilisateur moyen de le supprimer... Mais c'est vrai que si le contrat d'utilisation dit que de la publicité va être affichée, alors légalement il n'y a pas de possibilités de se plaindre... qui lit les licences des logiciels entièrement? Je me suis une fois amusé à lire entièrement le contrat de licence Windows XP, ou MSN, et bien normalement tout est dit :

licence de MSN, petit passage qui raconte à peu près : "Nous pouvons enregistrer vos conversations et les stocker, dans le cadre de poursuites judiciaires bla bla bla,..." en bref "On peut tout savoir sur vous". Et bien souvent les licences sont des plus difficiles à lire, j'ai fait ça en compagnie d'un étudiant en droit

[Malekal_morte]

Tous les moyens sont bons pour faire du $

[Contact75]

(...)Je me suis une fois amusé à lire entièrement le contrat de licence Windows XP, ou MSN, et bien normalement tout est dit :

licence de MSN, petit passage qui raconte à peu près : "Nous pouvons enregistrer vos conversations et les stocker, dans le cadre de poursuites judiciaires bla bla bla,..." en bref "On peut tout savoir sur vous". Et bien souvent les licences sont des plus difficiles à lire, j'ai fait ça en compagnie d'un étudiant en droit

Il faut savoir que des programmes comme MSN, mIRC, AIM, ICQ etc et meme les portails comme celui d' AOL, Yahoo! etc bénéficient de la technologie COMVERSE (Du reste ce sont eux qui gère les identifiants sur AOL, Yahoo etc), idem les messageries comme Hotmail etc
On les retrouve aussi dans les téléphones mobiles, s'occupant d'une partie logicielle de la messagerie (Bouygues par ex, ou à travers leur filiales ODIGO), dans le Blackeberry et dernièrement ils ont acheté la principale plateforme VOIP Francaise. On trouve leur trace aussi dans les Fun tones de France Telecom et Orange France
Je ne vais pas faire la liste mais elle est longue.

COMVERSE est une Sté dont le siège est dans un pays disons... "sensible" :-) en étroite relation avec son gouvernement d'origine et est très connue à traverses ses nombreuses filiales pour s'occuper des interceptions téléphoniques aux USA (Par ex)
Le FBI soupçonne cette société de mettre volontairement des failles logicielles et matérielles dans ce qu'ils vendent, ce qui leur permet d'écouter toute personne mis... sur écoute. Je n'ai pas l'article du NY Times mais ce lien parle de cette affaire :

http://archive.newsmax.com/archives/art ... 0443.shtml

Pour mIRC je m'étais aperçu que quelque chose clochait, quand sous ordi Amiga (hou ca fait quelques années) on avait décidé d'en faire une version pour cette ordi.
Déja les serveurs de mIRC étaient (sont ?) à Tel-Aviv, ensuite en demandant l'autorisation de bénéficier du code source (ce qu'ils promettaient à une époque pour diverses plates-forme) ils n'avaient pas voulu nous le donner et m'avait mis en relation avec un développeur US... Jusque là, pourquoi pas ? Mais en faisant quelques recherches le fameux développeur Amiga, bossait dans une base militaire US, et avait la double nationalité. Intriguant n'est ce pas ? :-)
Une fois la version livrée on s'était amusé entre nous à faire quelques tests pour s'amuser, et un analyseur de trames que l'un de nous possédait a révélé que celles ci balancait non seulement notre adresse Mac, mais aussi notre login et mot de passe de connexion au FAI au moment du lancement. Ensuite je suppose que les conversations étaient stockées sur les serveurs de mIRC.

Donc pour MSN, ben.. le FBI dans le cadre de la loi du Patriot Act peut faire ce qu'il veut grace à la technologie Comverse (et eux aussi du reste)

Ensuite pour en revenir aux infections, qui dit que certains rootkits ne sont pas balancés volontairement pour tests sous couvert d'agences de pubs ?
Une loi a failli passer en Allemagne récemment pour "infecter" les terroristes, pédophiles et autres délinquants, mais comme on a pu le voir aussi récemment avec les déclarations du FBI, cela permet aussi de faire de la surveillance tout azimuts et des citoyens "'ordinaires" ont été placés sous écoute logicielle (dans ce cas précis ils ont reporté la faute sur les FAI trop zélés)

Sinon amusez vous avec les réseaux sociaux.. faite des recherches par ex avec FaceBook en vous écartant de la petite histoire de l'étudiant qui a tout fait tout seul (allez quelques indices sous forme de mot clés pour google : Anita Jones, In-Q-TEL Facebook

Bref on est cerné tout en se rappelant que le premier cheval de Troie est Windows lui-même :-)

[Rocky]

, ça m'étonnerait qu'on puisse choper des conversations de grand intérêt (pour un gouvernement) sur MSN ou autres, personne de sensé utiliserait ces services pour communiquer des données confidentielles, tout au plus on peu intercepter des "kikoo", "je t'aime" et la panoplie de smiley débiles etc etc. :-)

J'ai eu des cours de cryptographie au cas où ça peux servir, si quelqu'un veut un tutorial...

[Contact75]

, ça m'étonnerait qu'on puisse choper des conversations de grand intérêt (pour un gouvernement) sur MSN ou autres, personne de sensé utiliserait ces services pour communiquer des données confidentielles, tout au plus on peu intercepter des "kikoo", "je t'aime" et la panoplie de smiley débiles etc etc. :-)

Il est évident que c'est ciblé mais tu oublies les video conférences :-) (certaines sociétés s'en servent bien que la plupart migrent sur Skype)

Du reste ils peuvent faire comme sur Hotmail, mettre des programmes sur les serveurs (les gens ne se posent pas la question du "pouquoi" est ce si long pour qu'un message arrive à destination ?) avec des recherches de mots clés.
Cela suffit

Quant aux personnes sensées, elles peuvent aussi penser à tort que vu le brouhaha générés par les ados de tous les pays, que dans ce capharnaum elles peuvent plus facilement se cacher.

Idem pour les memes du reste qui pensent passer par des proxies anonymes etc

[Rocky]

On s'est écarté un peu du sujet, il faudrait ouvrir une discussion sur la sécurité des informations confidentielles (cryptographie, mots de passe, cacher des fichiers etc). C'est encore un tout autre domaine de la sécurité informatique, qui n'a pas grand chose à voir avec les infections et les malwares etc, mais qui est tout aussi passionnant (et dont je peux expliquer pas mal de choses aussi).

[Contact75]

On s'est écarté un peu du sujet, il faudrait ouvrir une discussion sur la sécurité des informations confidentielles (cryptographie, mots de passe, cacher des fichiers etc). C'est encore un tout autre domaine de la sécurité informatique, qui n'a pas grand chose à voir avec les infections et les malwares etc, mais qui est tout aussi passionnant (et dont je peux expliquer pas mal de choses aussi).

Je ne pense pas que cela a sa place sur Malekal.com :-) Il y a déja forte à faire avec tout ce qui parait comme "vérolerie" et moyen de les combattre

Néanmoins cela suit une voie qui parfois se croise avec les infections. Dès lors qu'on s'interesse un peu à tout ce qui touche à la sécu informatique. Tout est public du reste et google, qui meme si il ne repertorie qu'à peine quelques % de ce qui est sur les réseaux permet néanmoins de s'informer, il suffit d'entrer les bons mots clés.

Laissons le reste à ceux spécialisés dans ce domaine comme http://www.miscmag.com/fr/
(pour ne citer que les plus sérieux)

[Contact75]

Http://www.Web-MediaPlayer.com/Radio_TV

Addendum du 8 Avril

J'ai récupéré quelques versions du fichier "webmediaplayer" car je trouvais curieux que le site http://www.virustotal.com ne trouve rien à chaque scan.
J'en profite pour ajouter que la situation "google"et "clubic" sont identiques au premier message

J'ai donc installé "la chose" pour étudier son comportement (enfin le minimum)

Après test d'installation (rien de suspect) et lancement (c'est là que arrivent les problèmes) j'ai bloqué une appli suspecte du nom de bvcg.exe qui voulait modifier la base de registre et qui va se loger dans

C:\Documents and settings\xxxxx\local Settings\Application Data

Le fichier .exe n'est pas tout seul et il est accompagné de quelques fichiers .dat dont un qui grossit au fil des secondes et minutes




Rien de suspect dans la base de registre (ce qui est normal puisque j'ai bloqué la seconde appli)

J'ai désinstallé le programme (enfin essayé autrement, car il m'a planté RuvoUinstaller) j'ai fini avec d'autres outils et nettoyé le registre des quelques traces laissées uniquement par WebMediaplayer (en fait lui est sain)

Mais... A l'origine, la désinstallation ne touche pas à ce qu'il y a dans Application Data et le fichier .exe continue sa petite vie tout seul, et essaie toujours ses tentatives de modifier la base de registre et de communiquer à l'exterieur (dont curieusement sur une adresse -j'ai tracé - qui pointe sur LDLC COM à LYON (la sté bien connue d'informatique)

J'ai regardé les quelques processes en cours... Ca n'a pas plus :-) Il m'a désactivé la suite de sécurité, et planté quelques programmes d'analyses. J'ai noté qu'il aime bien le Kernel32.dll et lance tout un tas de commande (elles sont en mémoire pour une taille de 32 Mo) qui font grossir les .dat

Voila ce que cela racontait avant que les outils sysinternals ne plantent :

GetModuleHandleA, WinExec, WriteFileGather, GetComputerNameA, ReadConsoleA, LockResource, GetFileSize, GlobalGetAtomNameA, InitializeCriticalSection, MapViewOfFile, CallNamedPipeW, SetLastError, GetCompressedFileSizeA, GetTimeFormatA, SetConsoleCursorInfo, WaitForSingleObjectEx, GetThreadLocale, FlushConsoleInputBuffer, LocalCompact, EnumResourceLanguagesA, GetCalendarInfoA, GetStdHandle, GetConsoleMode, GetPriorityClass, SetConsoleWindowInfo, FindClose, SetSystemPowerState, WritePrivateProfileStringW, GlobalGetAtomNameW, SetTapeParameters, GetTempPathW, GetFullPathNameW, SetConsoleMode, IsBadCodePtr, DeleteCriticalSection, GlobalAddAtomW, GetCurrentProcessId, PeekNamedPipe, SetLocalTime, EnumTimeFormatsW, CloseHandle, GetSystemTime, OpenFileMappingA, SetSystemTimeAdjustment, GetTapeStatus, CompareStringA, SleepEx, GlobalReAlloc, GetLongPathNameA, RequestWakeupLatency, GetSystemTimeAdjustment, SetThreadPriorityBoost, CreateDirectoryW, WaitForMultipleObjects, SetConsoleTitleW, GetPrivateProfileSectionNamesA, GetNumberFormatA, GetBinaryTypeW, SetCommConfig, lstrcatW, HeapCompact, HeapSize, GetFullPathNameA, AddAtomW, OpenEventA, SetStdHandle, lstrcatA, GetLogicalDriveStringsA, WriteConsoleInputW, QueryDosDeviceA, IsBadStringPtrW, LCMapStringA, Heap32Next, GetLocalTime, CreateRemoteThread, BuildCommDCBW, GlobalFindAtomA,

On dirait la liste du kernel.
Je passe outre le reste car j'en ai 2 pages

J'ai trasmis à virustotal le fichier et la récolte n'a pas été fameuse

Fichier bvcgkg.exe reçu le 2008.04.08 19:23:34 (CET)

CAT-QuickHeal 9.50 2008.04.05 (Suspicious) - DNAScan
Prevx1 V2 2008.04.08 Heuristic: Suspicious Self Modifying EXE
Webwasher-Gateway 6.6.2 2008.04.08 Worm.Win32.Malware.gen!46 (suspicious)

Le DNAscan est utilisé pour la détection des ...malwares (curieux de le voir dans ce type de programme mais cet éditeur trouve la meme chose dans les vers MSN

Evidemment pour virer ce fichier (l'effacer) il faut tuer l'arbre des process le concernant.

Faudrait que j'essaie dans la sandbox et que je l'aisse le programme s'installer histoire de voir... Mais bon, toujours est-il que pour moi le comportement est suspect et qu'aucun antivirus parmi les tenors ne trouve quoi que ce soit (mais bon on sort de leur domaine là quand meme, et sur virustotal on n'a pas les suites complètes des éditeurs qui ont un module antiSpyware)

Les programmes classiques, spysweeper, MalwareBytes etc n'ont rien trouvé.

Interessant le log de MSN Fix

Fichiers suspects

/!\ ... C:\??????.exe

Ce fichier est une copie de bvcgkg.exe que j'avais mis de coté (il n'est pas nommé mais il a disparu de ma racine après le passage de MSN Fix et figure dans le fichier ZIP de MSN Fix

/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention

[C:\Firewall_Tests_ssts.zip] 99183D1F2CA5657BD7D397FEC931B8D5
[C:\install_CCleaner_.exe] 8FC53ABE269AE086E1B3164D0D55CA75
[C:\Web-MediaPlayer_setup.exe] 340FDB7BEDBA2F4347F4FAD6A492B169

- Le premier c'est normal, ce sont des fichiers Leak
- Le deuxième est ENCORE un programme que l'on trouve en premier lien sur Clubic et qui demande pour téléchargement un appel de 2 SMS (on peut heu.. arriver quand meme à le techarger :-) Je l'ai gardé pour tests.
- Le troisième est la dernière version du MediaPlayer récupérée hier soir sur le site Russe (du reste il devient difficile d'y aller si on a quelques programmes en complements qui modifient le Host ou qui via SpywareBlaser empechent l'accès)

Pour info le scan virustotal du WebMediaplayer :

[Contact75]

Tu crois qu'ils ont mis le site en Russie pour quoi ?
Justement car ils savent qu'ils laissent faire ce genre de choses.

De ce que l'on m'a dit, ce serait une entreprise qui est d'ailleurs cela.. or, l'infection est très présente en France...
Les sites sont en français... donc... ce serait effectivement le cas.

Heu elle serait pas Lyonnaise l'entreprise ? :-)

Tiens zut j'aurai du laisser tourner l'infection pour voir les autres adresses si il y en avait (je n'ai eu pendant qu'une heure que des tentatives d'ouvertures de ports)

[Malekal_morte]

CAT-QuickHeal 9.50 2008.04.05 (Suspicious) - DNAScan
Prevx1 V2 2008.04.08 Heuristic: Suspicious Self Modifying EXE
Webwasher-Gateway 6.6.2 2008.04.08 Worm.Win32.Malware.gen!46 (suspicious)

Le DNAscan est utilisé pour la détection des ...malwares (curieux de le voir dans ce type de programme mais cet éditeur trouve la meme chose dans les vers MSN

DNAScan est une détection heuristique.
Prevx1 aussi sur ton scan.

Celle de CAT-QuickHeal est assez sensible, mais la palme c'est eSafe et Prevx1... elles se réveillent souvent leurs détections...