Faux Antispywares : les rogues
Modérateurs: Modérateurs, Equipe de désinfection
1 message
• Page 1 sur 1
Faux Antispywares : les rogues
de Malekal_morte » 21 Déc 2008 16:38
Les rogues sont de faux anti-spywares créés pour faire de l'argent.
Ils se répandent à travers des infections virales ou via des popups de pubs ou fausses alertes lorsque vous surfez.
Les rogues peuvent être installés dans un pack d'infection, le faux anti-spyware se met en route et vous indique les menaces détectées, ces dernières sont tout simplement imaginaires, pour supprimer ces infections imaginaires, vous devez payer la version commerciale. Les rogues sont donc des arnaques.
Le fausses alertes (voir le sujet Les fausses alertes indiquant que vous êtes infectés, modifient votre fond d'écran en ajoutant un message d'alerte, l'utilisateur ne peut plus modifier le fond d'écran, ajoute une icône d'alerte souvent à côté de l'horloge accompagné de messages.
Ces alertes vous harcèlent afin de vous faire acheter la version "commerciale"
Les rogues sont proposés en téléchargement suite à l'affichage de de fausses alertes indiquant que vous êtes infectés. Le but est clair, utilisez le social engineering pour vous faire peur, vous déstabiliser en faisant croire que votre ordinateur est infecté afin de vous faire télécharger et surtout acheter ces rogues.
Les caractéristiques de ces infections sont en général :
* des bulles d'alertes en bas à droite à côté de l'horloge, ces bulles lancent des messages disant que votre ordinateur est infecté périodiquement :
* une modification du fond d'écran avec des messages disant que votre ordinateur est infecté. Ex :
* une modification de la page de démarrage pour vous rediriger vers des sites d'alertes et/ou sites de rogues
* ajout d'un composant dans le navigateur pour vous rediriger vers des sites affichant de fausses alertes indiquant que vous êtes infecté. Ex :
Certains rogues ouvrent aussi des popups de mise à jour, popups d'intrusions sur le PC etc... pour paraître encore plus crédibles.
Ces infections se propagent de manières différentes :
Les rogues en vidéo sur une infection VideoAccess : http://secuboxlabs.fr/archives/computertoday.html
Les publicités qui ouvrent de fausses popups d'alerte
Les auteurs de malwares diffisent des bannières de publicités via de fausses régies de pub, ces fausses bannières de publicité peuvent se retrouver sur n'importe quel site, elles ont pour but d'ouvrir des popups d'alertes faisant la promotion de rogues.
L'internatue qui consulte son site habituel peut donc se retrouver du jour au lendemain avec une fausse alerte lui disant que son PC est infecté et lui conseiller de télécharger un rogue.
Les auteurs de rogues via des applets flashs piégés ont réussi à rentrer dans les chaînes de régie publicitaire, il en ressort que "n'importe quel" site peut afficher ces popups.
Kaspersky détecte ces applets flashs piégés en Trojan-Downloader.SWF.Gida.a
Voici quelques une des popups que vous pouvez recevoir :
En faisant OK on arrive sur un site qui simule le scan de votre PC avec une barre de progressions, une liste de fichiers etc...
Ce sont des animations, le but étant de faire croire au scan réel de votre ordinateur et la détection de menaces pour vous faire télécharger le rogue.
Le schéma est toujours le même.
Quelques fausses pages du rogues WinXDefender :
Une video sur Bluetack qui montre comment se passe la redirection.
Cliquez sur la bannière verte "Camtasia" pour lancer la vidéo : http://www.bluetack.co.uk/forums/index. ... st&p=85439
Comme vous pouvez le voir, le message est généralement identique, seul le nom du rogue change.
Vous trouverez une liste plus complète de ces rogues de la famille WinAntivirus à partir de lien Les rogues de la famille WinAntivirusPro.
La consultation des sites WEB des rogues n'est pas dangereuse, vous pourrez voir qu'il existe des rogues de divers langues (anglais, allemand, espagnole, langue asiatique), de même les messages dans les popups d'alertes existent dans ces divers langues.
Le but est donc de visiter tous les internautes du monde entier selon leur provenance.
Les messages sont traduits informatiquement ce qui fait qu'ils peuvent comporter des incohérences ou fautes.
L'interface et charte graphique de ces rogues est souvent similaires, le but étant de décliner le nom pour proposer un soit disant nouveau produit, voir Captures des rogues famille WinAntivirusPro, seul le nom change.
La difficulté concernant ces popups d'alerte est de savoir si celles-ci proviennent du site WEB consulté ou d'une quelconque infection présente sur votre ordinateur faisant la promotion de rogues et ce n'est parfois pas simple.
La fréquence peut être une bonne indication, si vous recevez beaucoup de popups, par exemple toutes les cinq minutes, c'est certainement une infection, alors que si c'est occasionnel, c'est certainement une publicité contenue sur le site WEB que vous visitez régulièrement (sites d'actualités etc..)...
Ils se répandent à travers des infections virales ou via des popups de pubs ou fausses alertes lorsque vous surfez.
Les rogues peuvent être installés dans un pack d'infection, le faux anti-spyware se met en route et vous indique les menaces détectées, ces dernières sont tout simplement imaginaires, pour supprimer ces infections imaginaires, vous devez payer la version commerciale. Les rogues sont donc des arnaques.
Le fausses alertes (voir le sujet Les fausses alertes indiquant que vous êtes infectés, modifient votre fond d'écran en ajoutant un message d'alerte, l'utilisateur ne peut plus modifier le fond d'écran, ajoute une icône d'alerte souvent à côté de l'horloge accompagné de messages.
Ces alertes vous harcèlent afin de vous faire acheter la version "commerciale"
Les rogues sont proposés en téléchargement suite à l'affichage de de fausses alertes indiquant que vous êtes infectés. Le but est clair, utilisez le social engineering pour vous faire peur, vous déstabiliser en faisant croire que votre ordinateur est infecté afin de vous faire télécharger et surtout acheter ces rogues.
Les caractéristiques de ces infections sont en général :
* des bulles d'alertes en bas à droite à côté de l'horloge, ces bulles lancent des messages disant que votre ordinateur est infecté périodiquement :
* une modification du fond d'écran avec des messages disant que votre ordinateur est infecté. Ex :
* une modification de la page de démarrage pour vous rediriger vers des sites d'alertes et/ou sites de rogues
* ajout d'un composant dans le navigateur pour vous rediriger vers des sites affichant de fausses alertes indiquant que vous êtes infecté. Ex :
Certains rogues ouvrent aussi des popups de mise à jour, popups d'intrusions sur le PC etc... pour paraître encore plus crédibles.
Ces infections se propagent de manières différentes :
- Le téléchargement et l'execution d'un faux codec. procédé très utilisé par la famille de rogues Renos.
- Faux cracks sur P2P ou via de Faux sites Web de Cracks
- Des exploits sur des sites WEB, l'infection est possible quand vous ne maintenez pas à jour vos logiciels (surtout le navigateur WEB), voir Pourquoi et comment je me fais infecter ?
Les rogues en vidéo sur une infection VideoAccess : http://secuboxlabs.fr/archives/computertoday.html
Les publicités qui ouvrent de fausses popups d'alerte
Les auteurs de malwares diffisent des bannières de publicités via de fausses régies de pub, ces fausses bannières de publicité peuvent se retrouver sur n'importe quel site, elles ont pour but d'ouvrir des popups d'alertes faisant la promotion de rogues.
L'internatue qui consulte son site habituel peut donc se retrouver du jour au lendemain avec une fausse alerte lui disant que son PC est infecté et lui conseiller de télécharger un rogue.
Les auteurs de rogues via des applets flashs piégés ont réussi à rentrer dans les chaînes de régie publicitaire, il en ressort que "n'importe quel" site peut afficher ces popups.
Kaspersky détecte ces applets flashs piégés en Trojan-Downloader.SWF.Gida.a
Voici quelques une des popups que vous pouvez recevoir :
En faisant OK on arrive sur un site qui simule le scan de votre PC avec une barre de progressions, une liste de fichiers etc...
Ce sont des animations, le but étant de faire croire au scan réel de votre ordinateur et la détection de menaces pour vous faire télécharger le rogue.
Le schéma est toujours le même.
Quelques fausses pages du rogues WinXDefender :
Une video sur Bluetack qui montre comment se passe la redirection.
Cliquez sur la bannière verte "Camtasia" pour lancer la vidéo : http://www.bluetack.co.uk/forums/index. ... st&p=85439
Comme vous pouvez le voir, le message est généralement identique, seul le nom du rogue change.
Vous trouverez une liste plus complète de ces rogues de la famille WinAntivirus à partir de lien Les rogues de la famille WinAntivirusPro.
La consultation des sites WEB des rogues n'est pas dangereuse, vous pourrez voir qu'il existe des rogues de divers langues (anglais, allemand, espagnole, langue asiatique), de même les messages dans les popups d'alertes existent dans ces divers langues.
Le but est donc de visiter tous les internautes du monde entier selon leur provenance.
Les messages sont traduits informatiquement ce qui fait qu'ils peuvent comporter des incohérences ou fautes.
L'interface et charte graphique de ces rogues est souvent similaires, le but étant de décliner le nom pour proposer un soit disant nouveau produit, voir Captures des rogues famille WinAntivirusPro, seul le nom change.
La difficulté concernant ces popups d'alerte est de savoir si celles-ci proviennent du site WEB consulté ou d'une quelconque infection présente sur votre ordinateur faisant la promotion de rogues et ce n'est parfois pas simple.
La fréquence peut être une bonne indication, si vous recevez beaucoup de popups, par exemple toutes les cinq minutes, c'est certainement une infection, alors que si c'est occasionnel, c'est certainement une publicité contenue sur le site WEB que vous visitez régulièrement (sites d'actualités etc..)...
-
Malekal_morte - Equipe de désinfection
- Messages: 68
- Inscription: 03 Aoû 2007 21:01
1 message
• Page 1 sur 1
Retourner vers Prévention, actualité virale et procédures de désinfection
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités
Partenaires: | Assiste
PC | Informatique Carcassonne | Forum Informatique
| Micro-Astuce
| Oxygène
PC | Projet AntiMalware