5 choses que vous ignoriez sur les faux antivirus

publié par Bogdan Botezatu, le 03 February 2011

Depuis environ trois ans, les faux antivirus sont devenus la principale activité des cybercriminels. Il n 'est pas étonnant que ces fausses applications connaissent un grand succès, étant donné que les cyber-escrocs se contentent de créer une interface attrayante, de concevoir un produit sans aucune fonctionnalité et de le vendre à un prix parfois supérieur à celui d 'un véritable logiciel.

Notons toutefois que leur présence accrue sur le marché a rendu les utilisateurs plus méfiants et qu’il est désormais plus difficile de convaincre ces derniers d’installer ce type de programmes. Parallèlement, de nombreux recours collectifs à grande échelle menés contre les éditeurs de faux antivirus les ont conduit à reconsidérer avec attention ce qu’ils promettent et ce qu’ils offrent réellement. Cet article constitue un récapitulatif des techniques les plus intéressantes utilisées par des logiciels antivirus pour se présenter comme des produits authentiques, ou, du moins, « de démonstration ».

1.      Le scénario « classique » de la simulation d’analyse

Certains faux antivirus ont compris qu’annoncer la présence d’infections imaginaires pourrait avoir de lourdes conséquences  s’ils étaient poursuivis en justice et ont opté pour une approche plus sûre. Au lieu de mentir aux utilisateurs en affirmant qu’ils sont infectés, ils déclarent qu’ils sont peut-être infectés et que le rapport est une « simulation d’analyse typique », un « aperçu » de ce que le logiciel est capable de réaliser, s’il est enregistré.

Des résultats d’analyse incertains. Plusieurs éléments indiquent qu’il ne s’agit pas d’une véritable analyse.

 

2.      Le faux antivirus aux fonctionnalités minimales

Tous les utilitaires « rogues » ne sont pas identiques bien qu’ils aient tous en commun le fait d’être gênants, dangereux et inefficaces, sans mentionner le fait qu’ils coûtent de l’argent ! Nous avons découvert en 2009 l’une des nombreuses versions de l’Antivirus XP, avec son interface, ses messages pop-up horripilants et ses rapports d’infection habituels. Cette variante se démarquait toutefois par la présence d’un fichier nommé « 1295395580.uvd ». Une étude plus attentive de ce fichier a révélé qu’il s’agissait d’une base de données de signatures avec une unique entrée.

Une base de données avec une seule entrée pour un « antivirus » particulièrement inefficace

À l’intérieur du fichier se trouve la signature MD5 correspondant au « virus EICAR », inoffensif et extrêmement populaire, un fichier de test dont la signature est reconnue par les éditeurs d’antivirus et qui permet aux utilisateurs de vérifier le fonctionnement de leur logiciel sans avoir à recourir à de véritables malwares. La version non enregistrée d’Antivirus XP ne détecte pas le fichier EICAR alors que la version enregistrée le détecte et le supprime. Il s’agit simplement d’un exemple de faux antivirus légèrement fonctionnel, bien que rudimentaire et totalement inutile.

 

3.      Le faux antivirus qui « emprunte » des éléments aux véritables logiciels de sécurité

Nous avons également fait la connaissance de la famille System Security, qui va encore plus loin. Non seulement elle convainc les utilisateurs d’acheter et d’installer son programme à l’aide de la bonne vieille méthode des fausses alertes et des messages d’avertissement apocalyptiques de la taille d’un écran d’ordinateur, mais elle utilise aussi certains composants appartenant à de véritables solutions antivirus d’éditeurs connus. L’échantillon que nous avons analysé contient bdc.exe, le scanner de la console de BitDefender que les cyber-escrocs ont « emprunté » à la suite de logiciels BitDefender.

N’en déduisez pas que ce faux antivirus utilisera le scanner de la console pour désinfecter votre ordinateur. Si le scanner accompagne le faux antivirus, c’est uniquement pour compliquer la détection et la suppression de ce dernier par les éditeurs d’antivirus, qui seront gênés par le fichier légitime susceptible d’entraîner de nombreux faux positifs. Et à chaque minute de gagnée par le faux antivirus, de nouveaux utilisateurs tombent dans le piège de cette arnaque et finissent par acheter un logiciel inutile.

Mêler de faux antivirus avec de véritables logiciels ralentit les tâches d’analyse et de désinfection des éditeurs antivirus

 

4.      De faux antivirus imitant de véritables logiciels

Tous les faux logiciels antivirus trompent les utilisateurs. Plus l’utilisateur est convaincu d’avoir affaire à une véritable solution antivirus, plus il est probable qu’il décide d’acheter la solution. Mi-mai 2010, nous signalions l’existence de Bytedefender, un faux antivirus imitant BitDefender Internet Security 2010. Ce logiciel rogue pouvait être téléchargé sur des domaines dont le nom ressemblait à « bitdefender », sur des sites dont la mise page rappelait celle du site officiel de BitDefender. BitDefender n’est pas le seul antivirus imité par cette famille de faux antivirus, puisque nous avons détecté d’autres « clones » des principaux éditeurs d’antivirus du monde entier.

De faux logiciels conçus pour tromper, exploitant l’identité visuelle d’autres produits.

 

5.      Le désinstalleur d’antivirus

La plupart des logiciels antivirus modifient les paramètres de sécurité du système d’une manière ou d’une autre, que ce soit en bloquant l’accès au Gestionnaire des tâches, à l’Éditeur du Registre ou en désactivant le Pare-Feu Windows. Certains reçoivent même l’instruction de tuer une liste de processus associés aux solutions antivirus, s’ils sont détectés sur le système, mais il est possible que les mécanismes d’auto-protection des véritables solutions antivirus les en empêchent. La seule possibilité de succès implique de convaincre l’utilisateur de supprimer manuellement l’antivirus avant d’installer le faux antivirus.

Exemple d’un faux antivirus tentant de convaincre les utilisateurs de supprimer une véritable solution antivirus

 

Il s’agit d’une étape essentielle avant l’installation des fichiers du faux antivirus, puisque ceux-ci sont plus faciles à détecter par une véritable solution antivirus que les programmes d’installation polymorphes ou de qualité commerciale utilisés par ce type de malwares.

 

À noter : les faux antivirus tentent de convaincre les utilisateurs de les installer à de nombreuses reprises. En outre, certaines de ces infections sont extrêmement difficiles à supprimer, sont envahissantes, tenaces, et finiront par vous coûter beaucoup d’argent. Si vous avez besoin d’une solution antivirus, n’installez pas le premier logiciel apparaissant sur votre écran pour vous proposer de résoudre tous vos problèmes. Consultez l’avis d’un organisme de test indépendant tel qu’AV Comparatives. Pour vous aider à faire votre choix, nous vous proposons une version d’essai de 40 jours de BitDefender Internet Security afin de vous protéger pendant que vous prenez votre décision.

Bogdan Botezatu

Bogdan ne croit que ce qu'il peut démonter en petites pièces et inspecter minutieusement. Sa passion pour l'écriture et son obsession du détail font partie des ses plus grandes qualités.