Assiste.com
FakeVimes
Dernière mise à jour : 2018-10-12T14:52 - 12.10.2018
29.09.2014 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour
FakeVimes - Matrice permettant de fabriquer une invraisemblable quantité de faux antivirus (crapwares, fake, scareware).
FakeVimes
FakeVimes est la matrice d'une famille de faux antivirus se ressemblant tous, à quelques changements prêt de l'un à l'autre (petites variantes des couleurs, petites variantes de mise en page). Des éléments de l'interface graphique de Windows, du Contrôle d'accès de Windows (UAC), de l'outil Microsoft Windows Defender, de l'outil Windows Security Center, du Genuine Microsoft Software service etc. ... sont utilisés pour rendre ces tromperies apparemment crédibles et donner une apparence respectable à ces escroqueries. Dans la fenêtre de ces crapwares, il y a même un lien vers les clauses "Vie privée" du site de Microsoft, laissant croire à un utilisateur peu averti de la face obscure du Web, que le logiciel est de Microsoft (la plupart des variantes ont un nom commençant par Windows) ! Ces crapuleries arrivent dans l'ordinateur de l'utilisateur par divers mécanismes dont, essentiellement, les trois suivants :
- Des logiciels piégés, utilisés en cheval de Troie, tels des codecs piégés ou des lecteurs vidéo piégés, etc. ... Un téléchargeur - downloader est injecté, en charge utile, dans le logiciel utilisé en cheval de Troie, voire la malveillance est téléchargée directement, sans passer par un cheval de Troie. Les sites pornographiques, qui prétendent qu'un codec spécifique ou un lecteur vidéo spécifique doit être téléchargé, pour permettre à l'utilisateur, fébrile, de visionner quelque chose, pullulent de ces ressources piégées transformées en cheval de Troie. Lorsque l'utilisateur installe le codec ou le lecteur vidéo, etc. ... la charge utile cachée dans le logiciel est lâchée et activée. Le cheval de Troie, libéré de sa charge utile, continue sa vie saine et normale de son côté, et le downloader, appelé TrojanDownloader:Win32/FakeVimes, va prendre en charge, silencieusement, le téléchargement, l'installation du faux antivirus [WM-Field: Nom raw].
- Des publicités trompeuses faisant croire à une infection. L'utilisateur croit, en cliquant sur un message lui disant qu'un problème a été identifié sur son ordinateur, ou qu'un virus a été détecté, lancer une analyse et l'éradication du problème, comme il peut être fait avec tant d'outils crédibles et de confiance, d'analyse gratuite en ligne d'un fichier ou d'analyse gratuite en ligne de l'ordinateur. Le faux antivirus [WM-Field: Nom raw] est téléchargé, installé et lancé.
- Des sites piégés (des sites opérés par des cybercriminels ou des sites Internet lambda piégés à l'insu de leurs Webmasters, par les cybercriminels, suite à l'exploitation d'une faille de sécurité sur leurs serveurs). Ces sites piégés vont contenir, dans chacune de leurs pages visitées, des mécanismes de recherche et d'exploitation de faille de sécurité sur les machines des utilisateurs. La faille trouvée va permettre d'implanter le downloader, appelé TrojanDownloader:Win32/FakeVimes, qui, à son tour, va prendre en charge, silencieusement, le téléchargement, l'installation et le lancement du faux antivirus [WM-Field: Nom raw].
La crapthèque contiend 198 crapwares à base de FakeVimes au 24.03.2015. En voici quelques uns :
Que se passe-t-il avec [WM-Field: Nom raw] ?
Le downloader appelé TrojanDownloader:Win32/FakeVimes a téléchargé et installé le faux antivirus / faux antispywares / faux antitrojans / faux antimalwares / faux antiadwares (qualifié, globalement, par l'anglicisme rogue) [WM-Field: Nom raw]. Il est également inscrit dans la liste de démarrage de Windows afin de s'assurer d'être lancé automatiquement à chaque redémarrage de l'ordinateur. [WM-Field: Nom raw] lance alors une pseudo analyse de l'ordinateur (une analyse fictive - en réalité ce n'est qu'une image animée qui tente de faire croire à une analyse). Un nombre important de noms de fichiers, parfois réellement présents dans l'ordinateur afin que l'utilisateur soupçonneux puisse vérifier leur présence, va être affiché en prétendant qu'ils sont infestés par des noms de virus fantaisistes (fantaisie utilisée en argument commercial en prétendant, justement, que seul [WM-Field: Nom raw] est capable de détecter ce virus). Certaines variantes de la matrice FakeVimes affichent une imitation du Contrôle d'Accès Utilisateur (UAC) recommandant à l'utilisateur de se protéger en suivant un lien. Certaines variantes de la matrice FakeVimes prétendent détecter la présence d'un robot envoyant des spam, ce qui fait que l'internaute n'est plus une victime mais courre le risque juridique d'être poursuivi pour complicité passive car il n'a pas ou a mal protégé son ordinateur. Dans tous les cas, l'utilisateur prend peur mais, heureusement, pour corriger les pseudos problèmes, il suffit de cliquer sur un bouton de correction des erreurs. Simple ! L'utilisateur est alors immédiatement dirigé vers la procédure d'achat de la clé d'activation du crapware et scareware, sans période d'essai, afin d'éradiquer les menaces et problèmes (inexistants). Bien entendu, dès la clé achetée, plus aucune menace ne sera détectée et, pire que tout, l'utilisateur naïf et satisfait devient un zélateur du crapware ! Une telle démarche, trompeuse, relevant d'une forme d'ingénierie sociale ou d'abus de faiblesse, est une escroquerie. Si une plainte peut être déposée, la nature de la transaction (c'est l'utilisateur qui passe à l'acte d'achat) et la géolocalisation off-shore du cybercriminel, en dehors de toute zone de compétence d'une juridiction nationale, font que ces groupes maffieux sont quasiment intouchables.
Antivirus |
Résultat |
Mise à jour |
AVG |
Cryptic.JX |
20120802 |
AhnLab-V3 |
Win-Trojan/Agent.385536.AB |
20120802 |
AntiVir |
TR/Dldr.Agent.doal |
20120803 |
Avast |
Win32:Crypt-GHH [Drp] |
20120802 |
BitDefender |
Gen:Variant.Ursnif.8 |
20120803 |
Commtouch |
W32/MalwareF.IUYK |
20120803 |
Comodo |
TrojWare.Win32.PkdKrap.AO |
20120803 |
DrWeb |
Trojan.Fakealert.7869 |
20120803 |
ESET-NOD32 |
Win32/TrojanDownloader.FakeAlert.ALW |
20120802 |
Emsisoft |
Virus.Win32.Injector!IK |
20120803 |
F-Prot |
W32/MalwareF.IUYK |
20120803 |
F-Secure |
Gen:Variant.Ursnif.8 |
20120803 |
Fortinet |
W32/Krapt.AOA!tr |
20120803 |
GData |
Gen:Variant.Ursnif.8 |
20120803 |
Ikarus |
Virus.Win32.Injector |
20120803 |
Jiangmin |
TrojanDownloader.Agent.cksy |
20120802 |
K7AntiVirus |
Riskware |
20120802 |
Kaspersky |
Packed.Win32.Krap.ao |
20120803 |
McAfee |
Generic FakeAlert!hm |
20120803 |
McAfee-GW-Edition |
Generic FakeAlert!hm |
20120802 |
Microsoft |
Rogue:Win32/FakeVimes |
20120803 |
Norman |
W32/Crypt.AKRR |
20120802 |
Panda |
Suspicious file |
20120802 |
Sophos |
Mal/FakeAV-BW |
20120803 |
Symantec |
Packed.Coravint!gen1 |
20120803 |
TheHacker |
Trojan/Downloader.Agent.doal |
20120801 |
TrendMicro |
TROJ_FAKEAV.AVGJ |
20120803 |
TrendMicro-HouseCall |
TROJ_FAKEAV.AVGJ |
20120803 |
VBA32 |
BScope.Trojan.SB.0537 |
20120802 |
VIPRE |
VirTool.Win32.Obfuscator.io (v) |
20120803 |
VirusBuster |
Trojan.DL.FakeVimes!1nI0NH1WA9g |
20120802 |
eSafe |
Win32.GenericFakeAle |
20120802 |
nProtect |
Trojan/W32.Agent.385536.AE |
20120802 |
Antiy-AVL |
|
20120803 |
ByteHero |
|
20120802 |
CAT-QuickHeal |
|
20120802 |
ClamAV |
|
20120803 |
Rising |
|
20120803 |
SUPERAntiSpyware |
|
20120802 |
TotalDefense |
|
20120802 |
ViRobot |
|
20120802 |
Antivirus |
Résultat |
Mise à jour |
AVG |
Generic19.MXQ |
20140314 |
Ad-Aware |
Trojan.Generic.KD.36836 |
20140315 |
Agnitum |
Trojan.LockScreen!QiSfRrOAk9o |
20140313 |
AhnLab-V3 |
Win-Trojan/Ransom.147456 |
20140315 |
AntiVir |
TR/Dropper.Gen |
20140315 |
Antiy-AVL |
Trojan[Ransom]/Win32.RedLine |
20140315 |
Avast |
Win32:FakeVimes [Trj] |
20140315 |
Baidu-International |
Trojan.Win32.Ransom.AYHL |
20140315 |
BitDefender |
Trojan.Generic.KD.36836 |
20140315 |
Bkav |
W32.FakeMicroAV.Adware |
20140315 |
CAT-QuickHeal |
(Suspicious) - DNAScan |
20140315 |
ClamAV |
Win.Trojan.36836 |
20140315 |
Commtouch |
W32/Risk.XIOE-9011 |
20140315 |
Comodo |
TrojWare.Win32.VB.~kwb |
20140315 |
DrWeb |
Trojan.Winlock.2398 |
20140315 |
ESET-NOD32 |
Win32/LockScreen.VT |
20140315 |
Emsisoft |
Trojan.Generic.KD.36836 (B) |
20140315 |
F-Prot |
W32/MalwareF.OJIJ |
20140315 |
F-Secure |
Trojan.Generic.KD.36836 |
20140315 |
Fortinet |
W32/VBInjector.AGB!tr |
20140315 |
GData |
Trojan.Generic.KD.36836 |
20140315 |
Ikarus |
Trojan-Ransom.Win32.PornoBlocker |
20140315 |
Jiangmin |
Trojan/RedLine.ab |
20140315 |
K7AntiVirus |
Riskware ( 9852e2f20 ) |
20140314 |
K7GW |
Trojan ( 001a15f21 ) |
20140314 |
Kaspersky |
Trojan-Ransom.Win32.RedLine.dz |
20140315 |
Kingsoft |
Win32.Malware.Heur_Generic.A.(kcloud) |
20140315 |
McAfee |
FakeAlert-PA |
20140315 |
McAfee-GW-Edition |
FakeAlert-PA |
20140315 |
MicroWorld-eScan |
Trojan.Generic.KD.36836 |
20140315 |
Microsoft |
Trojan:Win32/LockScreen.O |
20140315 |
NANO-Antivirus |
Trojan.Win32.Winlock.bfnjm |
20140315 |
Norman |
DLoader |
20140315 |
Panda |
Generic Malware |
20140315 |
Rising |
PE:Trojan.Win32.Generic.12437A9E!306412190 |
20140315 |
SUPERAntiSpyware |
Trojan.Agent/Gen-Falint |
20140315 |
Sophos |
Mal/Koobface-G |
20140315 |
Symantec |
Trojan.Usuge!gen3 |
20140315 |
TheHacker |
Trojan/VB.dk |
20140314 |
TotalDefense |
Win32/RansomFakeMSA.A |
20140315 |
TrendMicro |
TROJ_RANSOM.WR |
20140315 |
TrendMicro-HouseCall |
TROJ_RANSOM.WR |
20140315 |
VBA32 |
SScope.Trojan.VBRA.3587 |
20140314 |
VIPRE |
FraudTool.Win32.FakeVimes!VB (v) |
20140315 |
ViRobot |
Trojan.Win32.S.VB.147456.F |
20140315 |
nProtect |
Trojan/W32.Agent.147456.PR |
20140315 |
ByteHero |
|
20140315 |
CMC |
|
20140313 |
Malwarebytes |
|
20140315 |
Qihoo-360 |
|
20140302 |
Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir
Contre mesures
Derrière le rideau
Références
Ressources
Requêtes similaires
Historique des mises à jour de cette page
18.06.2013 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour de notre article antérieur (versions 1997-2007)