Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée

FakeRean

Dernière mise à jour : 2017-04-28T00:00 - 28.04.2017
29.06.2015 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour

FakeRean - Matrice permettant de fabriquer une invraisemblable quantité de faux antivirus (crapwares, fake, scareware).

FakeReanFakeReanFakeRean

FakeRean est la matrice d'une famille de faux antivirus, faux antispywares, faux anti-malwares à partir de laquelle sont clonés une invraisemblable quantité de crapuleries, toutes identiques, dont seul le nom change selon un mode de variations bien établi.

Convention de nommage pour les années 2010, 2011, 2012 et 2013 :
Dans une première vague d'attaque, tous les clones sont nommés, pour les années 2010, 2011, 2012 et 2013, de la manière suivante :

  • Une abréviation d'une version de Windows (XP, Vista, Win 7, Win 8)
  • Un millésime (2010, 2011, 2012, 2013...).
    Il semble que FakeRean ait été créé dès 2004 ou qu'il soit une variante très proche de quelque chose de crée en 2004 car on a une date de compilation remontant au 04.08.2004 dans une crapulerie identifiée comme " FakeRean ". Partant de ce principe de nommage, Assiste avait anticipé et introduit dans la Crapthèque, en 2013, les versions probables pour les années 2014 et 2015, mais il semble que cette anticipation, que nous n'avons probablement pas été les seuls à faire, ait conduit le cybercriminel à une autre stratégie de nommage à partir de 2014.
  • Un nom (par exemple : Antimalware, Antispyware, Antivirus, Antimalware Pro, Antispyware Pro, Antivirus Pro, Cleaner, Cleaner Pro, etc. ...). Plus de 30 noms ont été repérés et il doit en exister d'autres.

Convention de nommage pour les années 2014 et 2015 :
Dans une seconde vague d'attaque, tous les clones sont nommés, pour les années 2014 et 2015, de deux manières différentes (l'année 2014 connaissant une baisse substantielle de cette attaque qui remonte en 2015) :

  • Première convention de nommage pour les années 2014 et 2015 :
    • Un préfixe prestigieux comme AVLab (un laboratoire très connu et de confiance dans l'analyse et la comparaison des solutions de sécurité - antivirus et anti-malwares) ou trompeur, comme AVBytes.
    • Une abréviation d'une version de Windows (XP, Vista, Win 7, Win 8 et, probablement, Win 10)
    • Un millésime (2014 (peu utilisé), 2015...).
    • Un nom ou une combinaison de noms utilisant les mots clé security, antivirus, internet, etc. ...

  • Seconde convention de nommage pour 2014 et 2015 :
    • Usurpation d'innombrables noms d'applications légitimes et d'objets Web populaires comme la pornographie, etc. ... Voir des exemples plus bas.

On obtient donc des noms comme :

XP Vista Win 7 Win 8 Win 10
2010 Antimalware XP Antimalware 2010 Vista Antimalware 2010 Win 7 Antimalware 2010
Antispyware XP Antispyware 2010 Vista Antispyware 2010 Win 7 Antispyware 2010
Antivirus XP Antivirus 2010 Vista Antivirus 2010 Win 7 Antivirus 2010
Cleaner XP Cleaner 2010 Vista Cleaner 2010 Win 7 Cleaner 2010
Antimalware Pro XP Antimalware Pro 2010 Vista Antimalware Pro 2010 Win 7 Antimalware Pro 2010
Antispyware Pro XP Antispyware Pro 2010 Vista Antispyware Pro 2010 Win 7 Antispyware Pro 2010
Antivirus Pro XP Antivirus Pro 2010 Vista Antivirus Pro 2010 Win 7 Antivirus Pro 2010
Cleaner Pro XP Cleaner Pro 2010 Vista Cleaner Pro 2010 Win 7 Cleaner Pro 2010
Et au moins une trentaine d'autres noms
XP Vista Win 7 Win 8 Win 10
2011 Antimalware XP Antimalware 2011 Vista Antimalware 2011 Win 7 Antimalware 2011
Antispyware XP Antispyware 2011 Vista Antispyware 2011 Win 7 Antispyware 2011
Antivirus XP Antivirus 2011 Vista Antivirus 2011 Win 7 Antivirus 2011
Cleaner XP Cleaner 2011 Vista Cleaner 2011 Win 7 Cleaner 2011
Antimalware Pro XP Antimalware Pro 2011 Vista Antimalware Pro 2011 Win 7 Antimalware Pro 2011
Antispyware Pro XP Antispyware Pro 2011 Vista Antispyware Pro 2011 Win 7 Antispyware Pro 2011
Antivirus Pro XP Antivirus Pro 2011 Vista Antivirus Pro 2011 Win 7 Antivirus Pro 2011
Cleaner Pro XP Cleaner Pro 2011 Vista Cleaner Pro 2011 Win 7 Cleaner Pro 2011
Et au moins une trentaine d'autres noms
XP Vista Win 7 Win 8 Win 10
2012 Antimalware XP Antimalware 2012 Vista Antimalware 2012 Win 7 Antimalware 2012 Win 8 Antimalware 2012
Antispyware XP Antispyware 2012 Vista Antispyware 2012 Win 7 Antispyware 2012 Win 8 Antispyware 2012
Antivirus XP Antivirus 2012 Vista Antivirus 2012 Win 7 Antivirus 2012 Win 8 Antivirus 2012
Cleaner XP Cleaner 2012 Vista Cleaner 2012 Win 7 Cleaner 2012 Win 8 Cleaner 2012
Antimalware Pro XP Antimalware Pro 2012 Vista Antimalware Pro 2012 Win 7 Antimalware Pro 2012 Win 8 Antimalware Pro 2012
Antispyware Pro XP Antispyware Pro 2012 Vista Antispyware Pro 2012 Win 7 Antispyware Pro 2012 Win 8 Antispyware Pro 2012
Antivirus Pro XP Antivirus Pro 2012 Vista Antivirus Pro 2012 Win 7 Antivirus Pro 2012 Win 8 Antivirus Pro 2012
Cleaner Pro XP Cleaner Pro 2012 Vista Cleaner Pro 2012 Win 7 Cleaner Pro 2012 Win 8 Cleaner Pro 2012
Et au moins une trentaine d'autres noms
XP Vista Win 7 Win 8 Win 10
2013 Antimalware XP Antimalware 2013 Vista Antimalware 2013 Win 7 Antimalware 2013 Win 8 Antimalware 2013
Antispyware XP Antispyware 2013 Vista Antispyware 2013 Win 7 Antispyware 2013 Win 8 Antispyware 2013
Antivirus XP Antivirus 2013 Vista Antivirus 2013 Win 7 Antivirus 2013 Win 8 Antivirus 2013
Cleaner XP Cleaner 2013 Vista Cleaner 2013 Win 7 Cleaner 2013 Win 8 Cleaner 2013
Antimalware Pro XP Antimalware Pro 2013 Vista Antimalware Pro 2013 Win 7 Antimalware Pro 2013 Win 8 Antimalware Pro 2013
Antispyware Pro XP Antispyware Pro 2013 Vista Antispyware Pro 2013 Win 7 Antispyware Pro 2013 Win 8 Antispyware Pro 2013
Antivirus Pro XP Antivirus Pro 2013 Vista Antivirus Pro 2013 Win 7 Antivirus Pro 2013 Win 8 Antivirus Pro 2013
Cleaner Pro XP Cleaner Pro 2013 Vista Cleaner Pro 2013 Win 7 Cleaner Pro 2013 Win 8 Cleaner Pro 2013
Et au moins une trentaine d'autres noms
XP Vista Win 7 Win 8 Win 10
2014
2015
AVLab security AVLab Security XP 2015 AVLab Security Vista 2015 AVLab Security Win 7 2015 AVLab Security Win 8 2015
AVLab security antivirus AVLab Security XP antivirus 2015 AVLab Security Vista antivirus 2015 AVLab Security Win 7 antivirus 2015 AVLab Security Win 8 antivirus 2015
AVLab internet security AVLab Internet Security XP 2015 AVLab Internet Security Vista 2015 AVLab Internet Security Win 7 2015 AVLab Internet Security Win 8 2015
AVLab antivirus AVLab Antivirus XP 2015 AVLab Antivirus Vista 2015 AVLab Antivirus Win 7 2015 AVLab Antivirus Win 8 2015
AVLab antivirus AVLab XP Antivirus 2015 AVLab Vista Antivirus 2015 AVLab Win 7 Antivirus 2015 AVLab Win 8 Antivirus 2015
AVbytes security AVBytes Security XP 2015 AVBytes Security Vista 2015 AVBytes Security Win 7 2015 AVBytes Security Win 8 2015
AVBytes security antivirus AVBytes Security XP antivirus 2015 AVBytes Security Vista antivirus 2015 AVBytes Security Win 7 antivirus 2015 AVBytes Security Win 8 antivirus 2015
AVBytes internet security AVBytes Internet Security XP 2015 AVBytes Internet Security Vista 2015 AVBytes Internet Security Win 7 2015 AVBytes Internet Security Win 8 2015
AVBytes antivirus AVBytes Antivirus XP 2015 AVBytes Antivirus Vista 2015 AVBytes Antivirus Win 7 2015 AVBytes Antivirus Win 8 2015
AVBytes antivirus AVBytes XP Antivirus 2015 AVBytes Vista Antivirus 2015 AVBytes Win 7 Antivirus 2015 AVBytes Win 8 Antivirus 2015
Et probablement d'autres noms pas encore repérés

Cette vaste famille de crapuleries prétend analyser votre ordinateur à la recherche de menaces. Elle produit des quantités affolantes de fausses alertes (comportement des scarewares - logiciels crapuleux dont la vente repose sur la peur). Puis la crapulerie vous dit que pour éliminer les menaces et corriger les erreurs, il faut passer à la version complète, payante, de la crapulerie.

En réalité, la crapulerie n'a rien découvert du tout et n'a fait qu'afficher des menaces fictives, totalement imaginaires. La crapulerie n'est pas un antivirus ni un antispyware. C'est juste une coquille vide qui ressemble suffisamment à un antivirus ou un antispyware pour justifier de vous prélever de l'argent.

Certains noms ou logos, comme " Defender ", imitent illégalement les noms ou logos de produits Microsoft.

Même les pseudos noms d'éditeurs imitent des noms célèbres. On trouve, par exemple, un "Copyright EmiSoft Company" imitant la célèbre Emsisoft (remarquez l'inversion des lettres i et S).

Une fois que vous aurez payé pour avoir la licence complète de la crapulerie, elle n'en fera pas plus. Elle cessera simplement d'afficher ses détections imaginaires.

Par contre, certaines variantes de FakeRean vont arrêter des services de Windows, modifier vos réglages, tuer certains processus dont les processus de sécurité, bloquer l'accès à certains sites dont les sites de sécurité informatique et les sites des éditeurs d'antivirus et d'anti-malwares, etc. ...

Ces crapuleries arrivent dans l'ordinateur de l'utilisateur par divers mécanismes dont, essentiellement, les trois suivants :

  1. Des logiciels piégés, utilisés en cheval de Troie, tels des codecs piégés ou des lecteurs vidéo piégés, etc. ... Un téléchargeur - downloader est injecté, en charge utile, dans le logiciel utilisé en cheval de Troie, voire la malveillance est téléchargée directement, sans passer par un cheval de Troie. Les sites pornographiques, qui prétendent qu'un codec spécifique ou un lecteur vidéo spécifique doit être téléchargé, pour permettre à l'utilisateur, fébrile, de visionner quelque chose, pullulent de ces ressources piégées transformées en cheval de Troie. Lorsque l'utilisateur installe le codec ou le lecteur vidéo, etc. ... la charge utile cachée dans le logiciel est lâchée et activée. Le cheval de Troie, libéré de sa charge utile, continue sa vie saine et normale de son côté, et le downloader, appelé TrojanDownloader:Win32/FakeVimes, va prendre en charge, silencieusement, le téléchargement, l'installation du faux antivirus [WM-Field: Nom raw].
  2. Des publicités trompeuses faisant croire à une infection. L'utilisateur croit, en cliquant sur un message lui disant qu'un problème a été identifié sur son ordinateur, ou qu'un virus a été détecté, lancer une analyse et l'éradication du problème, comme il peut être fait avec tant d'outils crédibles et de confiance, d'analyse gratuite en ligne d'un fichier ou d'analyse gratuite en ligne de l'ordinateur. Le faux antivirus [WM-Field: Nom raw] est téléchargé, installé et lancé.
  3. Des sites piégés (des sites opérés par des cybercriminels ou des sites Internet lambda piégés à l'insu de leurs Webmasters, par les cybercriminels, suite à l'exploitation d'une faille de sécurité sur leurs serveurs). Ces sites piégés vont contenir, dans chacune de leurs pages visitées, des mécanismes de recherche et d'exploitation de faille de sécurité sur les machines des utilisateurs. La faille trouvée va permettre d'implanter le downloader, appelé TrojanDownloader:Win32/FakeVimes, qui, à son tour, va prendre en charge, silencieusement, le téléchargement, l'installation et le lancement du faux antivirus [WM-Field: Nom raw].

La Crapthèque contient, au 24.03.2015, plusieurs centaines de noms de crapwares (plus de 700) à base de FakeRean.

Exemples d'usurpation de divers noms attractifs.
L'utilisateur croit télécharger et installer quelque chose qui l'intéresse et, en réalité, il installe FakeRean :
(remarquez les doubles extensions, masquées par défaut par Windows - Corriger la visualisation des extensions masquées par Windows).

  • Group_Sex_Orgy_194.mpeg.exe
  • Lolita_Fuck_Movie_92.mpeg.exe
  • Adobe Flash Player.exe
  • Amateur_Porn_Movie_217.mpeg.exe
  • Steam.exe (usurpation du nom de l'application résidente pour joueur en ligne)
  • Big_Dick_Porn_Movie_163.mpeg.exe
  • Latinas_Porn_Movie_114.mpeg.exe
  • STDUViewerApp.exe (usurpation du nom de la très sérieuse application Scientific and technical documentation viewer)
  • Anal_Porn_Movie_162.mpeg.exe
  • SANDBOXIE.exe (usurpation du nom de la machine virtuelle utilisée en analyse comportementale des logiciels - un outil pour chercheurs en sécurité)
  • vt-upload.exe (usurpation du nom d'un outil permettant d'envoyer aisément un fichier à l'analyse par le service multi-antivirus VirusTotal)
  • sm.exe (usurpation du nom de l'installeur d'application de Goobzo, utilisant le script NSIS (Nullsoft Scriptable Install System) - Remarque, sm.exe " normal " est un installeur servant à la monétisation des logiciels et agissant en adware).
  • Sirius Win 8 Protection 2014
  • Microsoft Windows Operating System
  • Cyberlink Corp. RemoteAgent
  • EmiSoft (une faute typographique volontaire - un " typo " - usurpant le nom de l'anti-malwares Emsisoft)
  • ibm.exe
  • BestAntivirus2011.exe
  • Installer Plugin.exe
  • Arcsoft, Inc. UACTokenSvc
  • skype_5.3.0.111.exe
  • Firefox.exe
  • Google_Chrome.exe
  • Thief.exe (usurpation du nom d'un client open source de jeu d'échecs en ligne)
  • Usurpation du nom d'une DLL quelconque - il existe des centaines de sites de téléchargement de DLLs, à cause du DLL Hell, à cause des nettoyeurs du Registre Windows et à cause de la terrible guerre des nettoyeurs du Registre Windows. Il existe des centaines de milliers de DLLs donc il y a matière à piéger des millions de victimes.
  • Etc. Etc. Etc. ... et des milliers d'autres...

09.01.2015 - Analyse d'une variante de FakeRean
Developer metadata
Copyright
Copyright EmiSoft Company
(usurpation, par TYPO, du nom de l'application légitime Emsisoft anti-malwares)
Publisher EmiSoft
File version 1.1.0
Description Google Company

Compilation timestamp 2014-12-16 09:25:21
Cette compilation de fin 2014 pour une distribution en 2015 indique que le cybercriminel possède le code source de cette crapulerie et qu'il s'agit donc de la même clique.

Antivirus Résultat Mise à jour
ALYac Trojan.GenericKD.2030861 20150109
AVG Generic6.DEC 20150109
AVware FraudTool.Win32.FakeRean 20150109
Ad-Aware Trojan.GenericKD.2030861 20150109
Agnitum Backdoor.Androm!evdGcmbZit8 20150108
AhnLab-V3 Trojan/Win32.XPack 20150109
Antiy-AVL Trojan[Backdoor]/Win32.Androm 20150109
Avast Win32:Adware-gen [Adw] 20150109
Avira TR/FakeRean.A.54 20150109
Baidu-International Backdoor.Win32.Androm.aKnk 20150109
BitDefender Trojan.GenericKD.2030861 20150109
Bkav HW32.Packed.72E8 20150109
CAT-QuickHeal Rogue.FakeRean.A6 20150109
Comodo Backdoor.Win32.Androm.~FPYS 20150109
DrWeb Trojan.Siggen6.23549 20150109
ESET-NOD32 Win32/Adware.XPAntiSpyware.AH 20150109
Emsisoft Trojan.GenericKD.2030861 (B) 20150109
F-Secure Trojan.GenericKD.2030861 20150109
Fortinet Riskware/XPAntiSpyware 20150109
GData Trojan.GenericKD.2030861 20150109
Ikarus PUA.XPAntiSpyware 20150109
Jiangmin Backdoor/Androm.gac 20150109
K7AntiVirus Adware ( 004a88581 ) 20150109
K7GW Adware ( 004a88581 ) 20150109
Kaspersky Backdoor.Win32.Androm.frvm 20150109
Malwarebytes Rogue.Braviax 20150109
McAfee FakeRean-FAF!0BFBD3837093 20150109
McAfee-GW-Edition BehavesLike.Win32.Vundo.mc 20150109
MicroWorld-eScan Trojan.GenericKD.2030861 20150109
Microsoft Rogue:Win32/FakeRean 20150109
NANO-Antivirus Trojan.Win32.Androm.dkodnj 20150109
Panda Trj/Genetic.gen 20150109
Qihoo-360 Win32/Trojan.3ad 20150109
Rising PE:Trojan.Win32.Generic.17D389FB!399739387 20150108
Sophos Mal/Generic-S 20150109
Symantec Trojan.FakeAV 20150109
TotalDefense Win32/FakeRean.LMaUdbD 20150109
TrendMicro TROJ_FAKEAV.CVP 20150109
TrendMicro-HouseCall TROJ_FAKEAV.CVP 20150109
VBA32 Backdoor.Androm 20150109
VIPRE FraudTool.Win32.FakeRean 20150109
ViRobot Trojan.Win32.S.Agent.87040.MZ[h] 20150109
Zillya Backdoor.Androm.Win32.14020 20150108
nProtect Trojan.GenericKD.2030861 20150109
AegisLab 20150109
ByteHero 20150109
CMC 20150109
ClamAV 20150109
Cyren 20150109
F-Prot 20150109
Kingsoft 20150109
Norman 20150109
SUPERAntiSpyware 20150109
Tencent 20150110
TheHacker 20150106
Zoner 20150107

Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir

Sécurité informatique - Contre-mesuresSécurité informatique - Contre-mesuresSécurité informatique - Contre-mesures

Derrière le rideauDerrière le rideauDerrière le rideau

RéférencesRéférences" Références "

RessourcesRessources" Ressources "

 Requêtes similairesRequêtes similaires" Requêtes similaires "