Les fausses alertes indiquant que vous êtes infecté

[Malekal_morte]

Cette article est issu d'un post sur le forum malekal.com : http://forum.malekal.com/ftopic3129.php

 

Depuis quelques années, de nouvelles infections ont fait leur apparition, ces infections affichent diverses popups pour vous faire télécharger des antispywares, certaines de ces infections affichent aussi des alertes toujours pour vous faire télécharger des antispywares.

 

Par exemple, en parcourant le WEB, vous pouvez tomber sur ces popups :

 

Sur cette popup qui vous indique que votre ordinateur est infecté, il est proposé de télécharger les antispywares :

* WinAntivirusPro - Fiche Sunbelt

* AntivirusGold - Fiche Sunbelt

* VirusBlast - Fiche Sunbelt

 

Certaines infections sont connues pour ajouter une icône d'alerte en bas à droite de l'horloge. Souvent elles tentent de se faire passer pour des messages Windows.

 

Ces infections sont créées par les mêmes auteurs que ces "antispywares", le but est très simple, en vous faisant croire que vous êtes infecté et en vous ouvrant des popups afin de vous proposer de télécharger leurs antispywares, ils espèrent pouvoir vendre leurs antispywares et bien sûr gagner de l'argent.

 

Ces faux antispywares sont appelées rogues, vous trouverez une définition du mot rogue à partir de ce lien Qu'est ce qu'un rogue ainsi que des liens donnant une liste de ces rogues.

 

Les auteurs de ses infections redoublent d'ingéniosité pour vous faire croire que votre ordinateur est infecté.

 

Voici un exemple de procédé pour vous faire croire que votre ordinateur est infecté.

 

A notez que les captures d'écran ont été faites à partir d'un ordinateur sous GNU/Linux. Pour rappel, GNU/Linux est un système d'exploitation, les programmes Windows ne fonctionnent pas sous GNU/Linux et inversement (un peu comme Mac et PC). Les malwares étant des programmes, les infections Windows n'affectent pas GNU/Linux, donc une personne procédant à un scan en ligne antiviral sous GNU/Linux, il devrait y avoir 0 virus.

 

 

En cliquant sur un lien de ce site, on constate qu'un scan de l'ordinateur est effectué "Status : scanning your computer".

Ce dernier détecte déjà une vingtaine d'éléments infectés, ce qui est anormal pour un système GNU/Linux.

 

On constate que le scan est en train de scanner les fichiers dswave.dll et inetcplc.dll

Ce sont des fichiers .dll autrement dit des bibliothèques logicielles. Un petite recherche sur wikipedia.fr des bibliothèques logicielles, on peut y lire :

 

DLL signifie Dynamic Link Library, ou en français Bibliothèque de liens dynamiques, dans le cadre du Système d'exploitation Windows. Traditionnellement, le nom de ces fichiers se termine par l'extension « .dll ». Une DLL peut contenir du code ou des ressources qui sont alors rendus disponibles à d'autres applications.

 

Mince alors, les fichiers DLL ne sont que pour le système d'exploitation Windows, comment le scan en ligne a-t-il pu trouver des fichiers DLL alors que je ne fais pas de scan depuis Windows ?

D'ailleurs.. je n'ai rien installé de particulier, comment se fait-il que ce site ait accès à mes fichiers ?

 

Le scan en ligne a duré 10-20s, je sais que j'ai une machine rapide... mais tout de même!

 

Ce scan en ligne n'est en fait qu'une animation sur un site WEB... c'est pour cela, qu'il fonctionne quel que soit le système d'exploitation !

 

 

Si l'on poursuit, le fond d'écran du site se noirci. Une fenêtre avec un message sur fond rouge s'ouvre, notez le style Windows de cette fenêtre avec la croix en haut à droite comme si vous pouviez fermer cette fenêtre. C'est très typique de ces faux scans, le but étant de vous faire croire que le message vient de Windows.

 

Donc... Linux est infecté par des trojans.

 

 

En cliquant, sur la fenêtre, on nous propose d'installer WinAntivirus Best... ben oui, il faut bien nettoyer notre ordinateur qui est apparemment très très infecté.

Il est très difficile de se débarrasser de ce téléchargement, vous aurez beau cliquer n'importe où, la proposition de téléchargement reviendra.

Il est conseillé de fermer son navigateur !

 

 

Tiens que se passe-t-il si je fais scanner ce fichier sur virustotal ?

Eh bien pas joli, joli, infecté par Hoax.Win32.Renos, une petite recherche sur ce malware.. nous fait tomber sur cette page de chez Avira (l'éditeur de l'antivirus Antivir) : http://www.avira.com/fr/threats/section/fu...x.renos.ag.html

 

Ce malware semble lié aux fausses alertes de sécurité que nous avons vu au début de cet article !

 

 

 

 

Conclusion :

- Si le scan dure 30s, c'est un faux scan. Un scan antiviral dure au moins 1h

- Ne faites confiance qu'à des sites reconnus pour scanner votre ordinateur :

Vous trouverez une liste à partir de ce lien : Les scans en ligne

Vous pouvez vous aider de ce lien pour effectuer le scan : Scanner votre ordinateur en ligne avec un antivirus en ligne

- Si vous avez un doute avant de télécharger le premier antispyware venu, faites un scan en ligne pour confirmer l'infection.

 

Pour ne plus être embéter par les publicités, popups et surfer de manière sécurisé, nous vous conseillons vivement de surfer avec Firefox sécurisé, pour cela, aidez-vous de ces deux liens :

* Sécuriser Firefox

* Securiser Firefox

[JANGO-FEET]

salut, en fait ce que tu nous montre la c'est une nouvelle forme de publicitè pour attirer les gogos

mais c'est bien de le faire savoir sa evitera au forum securite d'etre debordè par des "au secour mon pc est infectè"

[Malekal_morte]

Merci

Malheureusement, ce n'est pas vraiment nouveau.

 

Les auteurs de ces faux spywares sont ancrés dans le WEB et utilisent toutes les niches pous tromper les internautes.

Ils utilisent bien sûr le SPAM (surtout sur les forums et blogs).

Mais aussi, ils sont très inscrutés sur les pubs de site WEB via les régie de pubs (les entreprisent qui s'occupent d'afficher les bandeaux/popup sur les sites de WEB).

 

Par exemple, c'est le cas sur l'hébergeur d'images ImageShack qui est très utilisé, celui-ci affiche régulièrement des popups "vous êtes infecté" pour faire télécharger ces faux antispyware, voir l'alerte : http://forum.zebulon.fr/index.php?showtopi...p;hl=imageshack

[Le sioux]

Bonsoir

Chouette topic

Assiste a changé sa page d accueil recemment et previent sur sa page de presentation

http://assiste.com.free.fr/

Cliquer sur les blancs, plus vrai que nature

Merci Pierre !

Bonsoir

Modifié le 12 avril 2007 par L'indien

[Malekal_morte]

lolol marrant !

 

Merci pour l'info !

[Maxan]

Très bon article Malekal, comme tous ceux de ton site d'ailleurs. Ces rogues peuvent être bien piégeur pour une personne qui n'est pas avertie. Continue à faire du bon boulot

 

Maxan

[fifi29]

bonsoir a tous , je peut confirmer car je suis tomber dans le panneau , il y a plus d'un an. c'était pour acheter winpro antivirus à40€ à la place de80€ environ.et j'avais du coup acheter un faux si l'on peur dire , et j'ai eu beaucoup de mal à m'en débarrasser à l'époque. maintenant je fait très attention aux achats sur internet.allez a ++++

[Malekal_morte]

Suites aux bannières piégés qui ouvrent des alertes de sécurités pour vous faire télécharger installer des rogues (faux antispywares).

Je fais remonter ce sujet qui est d'actualité.

 

Voir Comment s'infecter en voulant jouer... sur Miniclip pour plus d'informations.