Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


FakeVimes

Dernière mise à jour : 2016-12-03T00:00 - 03.12.2016 - 00h00
29.09.2014 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour

FakeVimes - Matrice permettant de fabriquer une invraisemblable quantité de faux antivirus (crapwares, fake, scareware).

FakeVimes

FakeVimesFakeVimesFakeVimes

FakeVimes est la matrice d'une famille de faux antivirus se ressemblant tous, à quelques changements prêt de l'un à l'autre (petites variantes des couleurs, petites variantes de mise en page). Des éléments de l'interface graphique de Windows, du Contrôle d'accès de Windows (UAC), de l'outil Microsoft Windows Defender, de l'outil Windows Security Center, du Genuine Microsoft Software service etc. ... sont utilisés pour rendre ces tromperies apparemment crédibles et donner une apparence respectable à ces escroqueries. Dans la fenêtre de ces crapwares, il y a même un lien vers les clauses "Vie privée" du site de Microsoft, laissant croire à un utilisateur peu averti de la face obscure du Web, que le logiciel est de Microsoft (la plupart des variantes ont un nom commençant par Windows) ! Ces crapuleries arrivent dans l'ordinateur de l'utilisateur par divers mécanismes dont, essentiellement, les trois suivants :
  • Des logiciels piégés, utilisés en cheval de Troie, tels des codecs piégés ou des lecteurs vidéo piégés, etc. ... Un téléchargeur - downloader est injecté, en charge utile, dans le logiciel utilisé en cheval de Troie, voire la malveillance est téléchargée directement, sans passer par un cheval de Troie. Les sites pornographiques, qui prétendent qu'un codec spécifique ou un lecteur vidéo spécifique doit être téléchargé, pour permettre à l'utilisateur, fébrile, de visionner quelque chose, pullulent de ces ressources piégées transformées en cheval de Troie. Lorsque l'utilisateur installe le codec ou le lecteur vidéo, etc. ... la charge utile cachée dans le logiciel est lâchée et activée. Le cheval de Troie, libéré de sa charge utile, continue sa vie saine et normale de son côté, et le downloader, appelé TrojanDownloader:Win32/FakeVimes, va prendre en charge, silencieusement, le téléchargement, l'installation du faux antivirus [WM-Field: Nom raw].
  • Des publicités trompeuses faisant croire à une infection. L'utilisateur croit, en cliquant sur un message lui disant qu'un problème a été identifié sur son ordinateur, ou qu'un virus a été détecté, lancer une analyse et l'éradication du problème, comme il peut être fait avec tant d'outils crédibles et de confiance, d'analyse gratuite en ligne d'un fichier ou d'analyse gratuite en ligne de l'ordinateur. Le faux antivirus [WM-Field: Nom raw] est téléchargé, installé et lancé.
  • Des sites piégés (des sites opérés par des cybercriminels ou des sites Internet lambda piégés à l'insu de leurs Webmasters, par les cybercriminels, suite à l'exploitation d'une faille de sécurité sur leurs serveurs). Ces sites piégés vont contenir, dans chacune de leurs pages visitées, des mécanismes de recherche et d'exploitation de faille de sécurité sur les machines des utilisateurs. La faille trouvée va permettre d'implanter le downloader, appelé TrojanDownloader:Win32/FakeVimes, qui, à son tour, va prendre en charge, silencieusement, le téléchargement, l'installation et le lancement du faux antivirus [WM-Field: Nom raw].

La crapthèque contiend 198 crapwares à base de FakeVimes au 24.03.2015. En voici quelques uns :

Que se passe-t-il avec [WM-Field: Nom raw] ?

Le downloader appelé TrojanDownloader:Win32/FakeVimes a téléchargé et installé le faux antivirus / faux antispywares / faux antitrojans / faux antimalwares / faux antiadwares (qualifié, globalement, par l'anglicisme rogue) [WM-Field: Nom raw]. Il est également inscrit dans la liste de démarrage de Windows afin de s'assurer d'être lancé automatiquement à chaque redémarrage de l'ordinateur. [WM-Field: Nom raw] lance alors une pseudo analyse de l'ordinateur (une analyse fictive - en réalité ce n'est qu'une image animée qui tente de faire croire à une analyse). Un nombre important de noms de fichiers, parfois réellement présents dans l'ordinateur afin que l'utilisateur soupçonneux puisse vérifier leur présence, va être affiché en prétendant qu'ils sont infestés par des noms de virus fantaisistes (fantaisie utilisée en argument commercial en prétendant, justement, que seul [WM-Field: Nom raw] est capable de détecter ce virus). Certaines variantes de la matrice FakeVimes affichent une imitation du Contrôle d'Accès Utilisateur (UAC) recommandant à l'utilisateur de se protéger en suivant un lien. Certaines variantes de la matrice FakeVimes prétendent détecter la présence d'un robot envoyant des spam, ce qui fait que l'internaute n'est plus une victime mais courre le risque juridique d'être poursuivi pour complicité passive car il n'a pas ou a mal protégé son ordinateur. Dans tous les cas, l'utilisateur prend peur mais, heureusement, pour corriger les pseudos problèmes, il suffit de cliquer sur un bouton de correction des erreurs. Simple ! L'utilisateur est alors immédiatement dirigé vers la procédure d'achat de la clé d'activation du crapware et scareware, sans période d'essai, afin d'éradiquer les menaces et problèmes (inexistants). Bien entendu, dès la clé achetée, plus aucune menace ne sera détectée et, pire que tout, l'utilisateur naïf et satisfait devient un zélateur du crapware ! Une telle démarche, trompeuse, relevant d'une forme d'ingénierie sociale ou d'abus de faiblesse, est une escroquerie. Si une plainte peut être déposée, la nature de la transaction (c'est l'utilisateur qui passe à l'acte d'achat) et la géolocalisation off-shore du cybercriminel, en dehors de toute zone de compétence d'une juridiction nationale, font que ces groupes maffieux sont quasiment intouchables.

Antivirus Résultat Mise à jour
AVG Cryptic.JX 20120802
AhnLab-V3 Win-Trojan/Agent.385536.AB 20120802
AntiVir TR/Dldr.Agent.doal 20120803
Avast Win32:Crypt-GHH [Drp] 20120802
BitDefender Gen:Variant.Ursnif.8 20120803
Commtouch W32/MalwareF.IUYK 20120803
Comodo TrojWare.Win32.PkdKrap.AO 20120803
DrWeb Trojan.Fakealert.7869 20120803
ESET-NOD32 Win32/TrojanDownloader.FakeAlert.ALW 20120802
Emsisoft Virus.Win32.Injector!IK 20120803
F-Prot W32/MalwareF.IUYK 20120803
F-Secure Gen:Variant.Ursnif.8 20120803
Fortinet W32/Krapt.AOA!tr 20120803
GData Gen:Variant.Ursnif.8 20120803
Ikarus Virus.Win32.Injector 20120803
Jiangmin TrojanDownloader.Agent.cksy 20120802
K7AntiVirus Riskware 20120802
Kaspersky Packed.Win32.Krap.ao 20120803
McAfee Generic FakeAlert!hm 20120803
McAfee-GW-Edition Generic FakeAlert!hm 20120802
Microsoft Rogue:Win32/FakeVimes 20120803
Norman W32/Crypt.AKRR 20120802
Panda Suspicious file 20120802
Sophos Mal/FakeAV-BW 20120803
Symantec Packed.Coravint!gen1 20120803
TheHacker Trojan/Downloader.Agent.doal 20120801
TrendMicro TROJ_FAKEAV.AVGJ 20120803
TrendMicro-HouseCall TROJ_FAKEAV.AVGJ 20120803
VBA32 BScope.Trojan.SB.0537 20120802
VIPRE VirTool.Win32.Obfuscator.io (v) 20120803
VirusBuster Trojan.DL.FakeVimes!1nI0NH1WA9g 20120802
eSafe Win32.GenericFakeAle 20120802
nProtect Trojan/W32.Agent.385536.AE 20120802
Antiy-AVL 20120803
ByteHero 20120802
CAT-QuickHeal 20120802
ClamAV 20120803
Rising 20120803
SUPERAntiSpyware 20120802
TotalDefense 20120802
ViRobot 20120802

Antivirus Résultat Mise à jour
AVG Generic19.MXQ 20140314
Ad-Aware Trojan.Generic.KD.36836 20140315
Agnitum Trojan.LockScreen!QiSfRrOAk9o 20140313
AhnLab-V3 Win-Trojan/Ransom.147456 20140315
AntiVir TR/Dropper.Gen 20140315
Antiy-AVL Trojan[Ransom]/Win32.RedLine 20140315
Avast Win32:FakeVimes [Trj] 20140315
Baidu-International Trojan.Win32.Ransom.AYHL 20140315
BitDefender Trojan.Generic.KD.36836 20140315
Bkav W32.FakeMicroAV.Adware 20140315
CAT-QuickHeal (Suspicious) - DNAScan 20140315
ClamAV Win.Trojan.36836 20140315
Commtouch W32/Risk.XIOE-9011 20140315
Comodo TrojWare.Win32.VB.~kwb 20140315
DrWeb Trojan.Winlock.2398 20140315
ESET-NOD32 Win32/LockScreen.VT 20140315
Emsisoft Trojan.Generic.KD.36836 (B) 20140315
F-Prot W32/MalwareF.OJIJ 20140315
F-Secure Trojan.Generic.KD.36836 20140315
Fortinet W32/VBInjector.AGB!tr 20140315
GData Trojan.Generic.KD.36836 20140315
Ikarus Trojan-Ransom.Win32.PornoBlocker 20140315
Jiangmin Trojan/RedLine.ab 20140315
K7AntiVirus Riskware ( 9852e2f20 ) 20140314
K7GW Trojan ( 001a15f21 ) 20140314
Kaspersky Trojan-Ransom.Win32.RedLine.dz 20140315
Kingsoft Win32.Malware.Heur_Generic.A.(kcloud) 20140315
McAfee FakeAlert-PA 20140315
McAfee-GW-Edition FakeAlert-PA 20140315
MicroWorld-eScan Trojan.Generic.KD.36836 20140315
Microsoft Trojan:Win32/LockScreen.O 20140315
NANO-Antivirus Trojan.Win32.Winlock.bfnjm 20140315
Norman DLoader 20140315
Panda Generic Malware 20140315
Rising PE:Trojan.Win32.Generic.12437A9E!306412190 20140315
SUPERAntiSpyware Trojan.Agent/Gen-Falint 20140315
Sophos Mal/Koobface-G 20140315
Symantec Trojan.Usuge!gen3 20140315
TheHacker Trojan/VB.dk 20140314
TotalDefense Win32/RansomFakeMSA.A 20140315
TrendMicro TROJ_RANSOM.WR 20140315
TrendMicro-HouseCall TROJ_RANSOM.WR 20140315
VBA32 SScope.Trojan.VBRA.3587 20140314
VIPRE FraudTool.Win32.FakeVimes!VB (v) 20140315
ViRobot Trojan.Win32.S.VB.147456.F 20140315
nProtect Trojan/W32.Agent.147456.PR 20140315
ByteHero 20140315
CMC 20140313
Malwarebytes 20140315
Qihoo-360 20140302

Scurit informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirScurit informatique - Comment je me fais avoir - Comment ne pas me faire avoir

Contre mesuresContre mesures" Contre mesures "

Derrière le rideauDerrière le rideauDerrière le rideau

RéférencesRéférences" Références "

RessourcesRessources" Ressources "

 Requêtes similairesRequêtes similaires" Requêtes similaires "