Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

BrotherSoft - Site de téléchargement

BrotherSoft est, entre autre, un site de téléchargement dont le comportement est suspect (repacking, PUPs, monétisation, etc. …)

BrotherSoft est un site de téléchargement et vente de logiciels, et d'informations. BrotherSoft utilise un Téléchargeur (Downloader).

Sur le site BrotherSoft, on peut lire, sur chaque page, ce petit paragraphe trompeur et mensonger :

The program you want to download will be downloaded through Brothersoft Downloader, making the download process much faster, showing a progress bar and ensuring the program is virus-free

Le programme que vous souhaitez télécharger sera téléchargé en utilisant le Téléchargeur de Brothersoft, rendant le processus de téléchargement plus rapide, montrant une barre de progression et assurant que le programme est exempt de virus.

BrotherSoft ne donne aucun lien alternatif de téléchargement depuis le site officiel du logiciel et, pire encore, aucun lien vers le site de l'éditeur du logiciel. Vous êtes arrivé sur BrotherSoft et vous y restez, un point, c'est tout.

Le site malicieux de téléchargement BrotherSoft utilise, systématiquement, et sans possibilité de faire autrement, un Downloader qui est celui de betterinstaller.com, c'est à dire le Downloader et Adware et Malveillance (Malware) SOMOTO (version SOMOTO_AUTO-2 au 09.05.2015).

Brothesoft - Downloader - Repack
Brothesoft - Downloader - Repack
BrotherSoft - BrotherSoft - Les sites de téléchargement et leurs pratiques

Sites de téléchargement - Des philanthropes âpres aux gains

Les sites de téléchargement ne sont pas des philanthropes. Ce sont des sites cherchant à gagner de l'argent facilement, sur votre dos et sur le dos des développeurs (de logiciels, de musiques, de vidéos, etc. ...). Ce sont des sites de monétisation.

  • Vous croyez que le téléchargement est gratuit, mais non ! Vous êtes leur produit !
  • Vous croyez que leur service est gratuit, mais non ! Vous êtes leur service !

Pour se faire de l'argent, les sites de téléchargement ont deux moyens essentiels (outre la publicité dont est couverte leurs sites Internet) :

  • Utiliser un téléchargeur (un downloader) piégé au lieu de vous permettre de télécharger directement ce que vous recherchez.
  • Utiliser un installeur piégé.

Ils agissent dans trois domaines principaux :

  • La publicité (adwares)
  • Des modifications persistantes dans votre ordinateur (Hijack)
  • Vous conduire à tester / utiliser des logiciels non sollicités (PUPs, etc.) et finir par les acheter

Ce qu'ils font :

  • Vous délivrer de la publicité durant votre téléchargement en utilisant un downloader comportant un adware. Chaque publicité affichée et, surtout, cliquée, leur rapporte de l'argent.
  • Vous délivrer de la publicité après votre téléchargement en implantant un adware persistant, impossible à éradiquer de manière simple par l'utilisateur.
    • L'adware peut être celui du site de téléchargement et chaque publicité affichée et, surtout, cliquée, leur rapporte de l'argent.
    • L'adware peut être celui d'un tiers (une régie publicitaire agressive...) et chaque implantation réussie de l'adware leur rapporte de l'argent (la régie paye le site de téléchargement).
  • Modifier votre réglage d'un moteur de recherche préféré au profit d'un autre moteur de recherche, souvent un moteur de recherche menteur. Cette modification persistante, appelée Hijack, est impossible à éradiquer de manière simple par l'utilisateur. Chaque modification réussie de votre moteur de recherche leur rapporte de l'argent.
  • Modifier la page de démarrage de vos navigateurs Web au profit d'un autre site. Cette modification persistante, appelée Hijack, est impossible à éradiquer de manière simple par l'utilisateur. Chaque modification réussie de votre page de démarrage leur rapporte de l'argent.
  • Implanter une barre d'outils (Absolument toutes les barres d'outils sont malveillantes. Elles servent à modifier les résultats de recherche au profit de leurs auteurs (faire mentir les moteurs traditionnels) et à espionner tous vos centres d'intérêt, faits et gestes (pudiquement appelé Tracking)). Chaque implantation réussie de la barre d'outils leur rapporte de l'argent.
  • Implanter des logiciels qui n'ont rien à voir avec ce que vous cherchez à télécharger, des PUPs, afin de vous conduire à les tester et les acheter. Chaque PUP dont l'implantation est réussie leur rapporte de l'argent. Chaque PUP dont vous passeriez commande (un ordre d'achat) leur rapporte aussi de l'argent.

Les downloaders comme les installeurs sont du code qui s'exécute dans votre ordinateur. S'ils peuvent faire tout ce qui est décrit ci-dessus, ils peuvent faire n'importe quoi d'autre. Le pire est qu'ils le font à votre demande ! Et, de temps en temps, c'est toute autre chose qui est implantée à votre insu, comme des spywares, des backdoors, des outils de tracking, de zombification ou n'importe quoi de malveillant.

Les downloaders comme les installeurs communiquent avec un serveur, par la force des choses. De l'information remonte vers les serveurs, sans que l'internaute n'en soit informé, sans qu'il sache quelles informations sont volées, collectées et envoyées, et sans qu'il puisse s'y opposer.

Un downloader, comme un installeur, camoufle totalement à l'utilisateur les actions exécutées durant la phase de téléchargement et installation.

Les sites suivants, au moins, utilisent à plus ou moins grande échelle des downloaders piégés et malveillants, et/ou des installeurs piégés et malveillants. Ces sites ne doivent jamais être utilisés :

L'utilisation d'un Téléchargeur (Downloader) piégé est très proche, dans l'esprit, de l'utilisation d'un installeur piégé (Repack). Les sites de téléchargement ne se privent d'ailleurs pas d'utiliser les deux, Téléchargeur (Downloader) piégé puis Installeur piégé (Repack).

Circuit normal de la distribution de logiciels, sans sponsor ni repack
Circuit normal de la distribution de logiciels, sans sponsor ni repack

Circuit biaisé de la distribution de logiciels, avec repack de l'installeur et qui peut être précédé, sur un site de téléchargement, d'une autre malveillance, le Downloader.
Circuit biaisé de la distribution de logiciels, avec repack de l'installeur et qui peut être précédé, sur un site de téléchargement, d'une autre malveillance, le Downloader.

En 2011 / 2012, suite essentiellement au scandale du C|Net (Download.com), les internautes ont fait pression sur les éditeurs. Les éditeurs, comme s'ils n'étaient pas informés, ont alors brassé de l'air et se sont offusqués, à grands coups d'articles cherchant à se dédouaner et se blanchir, de l'usage, par les grands sites de téléchargement qu'ils utilisent, non seulement d'un Téléchargeur (Downloader), sans prévenir leurs utilisateurs, mais, également, de la modification de leurs logiciels par l'usage d'un installeur autre que le leur (technique du Repacking), à leur insu, truffé d'adwares, de barres d'outils (toolbar), de Hijackers, d'inscriptions de Moteurs de recherches menteurs, etc. ...

Résultat des courses : les grands sites de téléchargement font un bras d'honneur aux internautes et aux éditeurs de logiciels ! Ils continuent à utiliser un Téléchargeur (Downloader), sous leurs gros boutons " Télécharger ", bien visible et sur lequel tout le monde se précipite. Quelques-uns ont simplement ajouté, très discrètement, très petit, quasiment invisible et sans explication sur sa présence, un lien appelé " Lien direct " ou " Direct Download Link ", etc. ... qui ne veux rien dire à personne et disparaît petit à petit, jusqu'au prochain gros scandale.

BrotherSoft - BrotherSoft - Les sites de téléchargement et leurs pratiques
09.05.2015 - Analyse de Site de téléchargement Brothersoft (tous les téléchargements sont effectués depuis le domaine betterinstaller.com)
Web site category
Dr.Web : known infection source/not recommended site
Websense ThreatSeeker : potentially unwanted software
Final URL after redirects : https://downloadcdn.betterinstaller.com/installers
AntivirusRésultatMise à jour
AutoShunMalicious site
Dr.WebMalicious site
EmsisoftMalware site
FortinetMalware site
Google SafebrowsingMalicious site
Yandex SafebrowsingMalware site
BrotherSoft - BrotherSoft - Mauvaise réputation
25.02.2015 - Analyse de téléchargeur de Brothersoft
Developer metadata
File version 1.2.0.0
Description Powered by BetterInstaller
AntivirusRésultatMise à jour
AVware BetterInstaller (fs) 20150225
Agnitum PUA.Somoto! 20150224
Avast Win32:PUP-gen [PUP] 20150225
Avira APPL/Somoto.Gen2 20150225
Cyren W32/SomotoBetterInstaller.A!Eldorado 20150225
DrWeb Adware.Somoto.8 20150225
ESET-NOD32 a variant of Win32/Somoto.A potentially unwanted 20150225
F-Prot W32/SomotoBetterInstaller.A!Eldorado 20150225
Fortinet Riskware/Somoto 20150225
GData Win32.Application.Somoto.K 20150225
K7GW Trojan ( 0044a8481 ) 20150225
Kaspersky not-a-virus:AdWare.Win32.BetterInternet.gea 20150225
Malwarebytes PUP.Optional.Somoto 20150225
McAfee Artemis!D79B88BAB323 20150225
NANO-Antivirus Riskware.Win32.BetterInternet.dajrhs 20150225
Sophos Somoto BetterInstaller 20150225
VIPRE BetterInstaller (fs) 20150225
BrotherSoft - BrotherSoft - Analyse du téléchargeur utilisé
24.02.2015 - Analyse d'un fichier créé silencieusement lors de l'exécution du téléchargeur de Brothersoft
Aucune information complémentaire
AntivirusRésultatMise à jour
ALYac Win32.Neshta.A 20150224
AVG Worm/Delf.FF 20150224
AVware Virus.Win32.Neshta.a (v) 20150224
Ad-Aware Win32.Neshta.A 20150224
Agnitum Win32.Neshta.A 20150223
AhnLab-V3 Win32/Neshta 20150224
Antiy-AVL Virus/Win32.Neshta.a 20150224
Avast Win32:Apanas [Trj] 20150224
Avira W32/Neshta.A 20150224
Baidu-International Virus.Win32.Neshta.$a 20150224
BitDefender Win32.Neshta.A 20150224
Bkav W32.NeshtaB.PE 20150213
CAT-QuickHeal W32.Neshta.C8 20150224
CMC Virus.Win32.Neshta!O 20150223
ClamAV W32.Neshuta.A 20150224
Comodo Win32.Neshta.A 20150224
Cyren W32/HLLP.41472 20150224
DrWeb Win32.HLLP.Neshta 20150224
ESET-NOD32 Win32/Neshta.A 20150224
Emsisoft Win32.Neshta.A (B) 20150224
F-Prot W32/HLLP.41472 20150224
F-Secure Win32.Neshta.A 20150224
Fortinet W32/Neshta.A 20150224
GData Win32.Neshta.A 20150224
Ikarus Virus.Win32.Neshta 20150224
Jiangmin Virus.Neshta.a 20150223
K7AntiVirus Virus ( 700000131 ) 20150224
K7GW Virus ( 700000131 ) 20150224
Kaspersky Virus.Win32.Neshta.a 20150224
Kingsoft Win32.Troj.Neshta.c.(kcloud) 20150224
McAfee W32/HLLP.41472.e 20150224
McAfee-GW-Edition BehavesLike.Win32.HLLP.dc 20150224
MicroWorld-eScan Win32.Neshta.A 20150224
Microsoft Virus:Win32/Neshta.A 20150224
NANO-Antivirus Virus.Win32.Neshta.cdby 20150224
Norman Neshta.C 20150224
Panda W32/Neshta.A 20150224
Qihoo-360 Malware.Radar02.Gen 20150224
Rising PE:Win32.Netsha.a!411233 20150223
Sophos W32/Bloat-A 20150224
Symantec W32.Neshuta 20150224
Tencent Virus.Win32.Neshta.a 20150224
TheHacker W32/Netshta.gen 20150222
TotalDefense Win32/Neshta.A 20150224
TrendMicro PE_NESHTA.A 20150224
TrendMicro-HouseCall PE_NESHTA.A 20150224
VBA32 Virus.Win32.Neshta.a 20150224
VIPRE Virus.Win32.Neshta.a (v) 20150224
ViRobot Win32.Neshta.B[h] 20150224
Zillya Virus.Neshta.Win32.1 20150223
nProtect Virus/W32.Neshta 20150224
BrotherSoft - BrotherSoft - Analyse d'un fichier caché créé par le téléchargeur de BrotherSoft
  1. Lorsqu'il s'agit de télécharger un logiciel, toujours rechercher ce téléchargement sur/depuis le site officiel de l'auteur/éditeur de ce logiciel et nulle part ailleurs.
  2. Lorsque vous croyez avoir téléchargé un programme, même après l'avoir fait analyser par un antivirus ou un service multiantivirus, regardez (dans l'explorateur de Windows propriétés du fichier téléchargé) la taille de ce fichier avant d'en lancer l'exécution. Un antivirus, par exemple, pèse au minimum 40 à 100 MO (méga-octets). Si votre téléchargement ne pèse qu'environ 1 à 2 MO, ce que vous avez téléchargé n'est qu'un Téléchargeur (Downloader), en aucun cas le logiciel recherché.
  3. Téléchargements depuis Assiste.com. Ne passez jamais par un intermédiaire. Tous les téléchargements, sur Assiste.com, pointent vers les sites des éditeurs originaux ou les miroirs officiels indiqués par les éditeurs. Lorsque les téléchargements de logiciels qui retiennent notre attention ne sont officiellement disponibles que sur des sites aux pratiques suspectes, nous assurons nous-mêmes un miroir propre (téléchargement depuis Assiste.com).
BrotherSoft - Mesures préventives

Dossier (collection) : Téléchargements et installations piégés

Dossier : Téléchargements et installations piégés

Sponsoring, Remballe, Repacking

Sponsor
Remballe
Repack
Repacking
Repack de logiciels

Livraisons et ventes liées

Bundle
Bundling
Bundleware

Téléchargeurs piégés

Downloader
Téléchargeurs piégés (Trapped Downloader)

Installeurs piégés

Installeurs
Installeurs piégés (empoisonnés)
Installeurs - Qui se rémunère et quand
Installations personnalisées (recommandé)
Exemples de tentatives tordues d'installations

Sites de téléchargement

Sites de téléchargement

Sites relativement propres
Softpedia
Filehippo
MajorGeeks

Sites piégés (sponsor, remballe, repack, bundle)
01Net
Telecharger.com
C|Net (CNET)
Download.com
BrotherSoft
Softonic
Soft32
Softpicks
Softpicks.fr
Tuto4PC
Tucows
Software Informer
FileHorse
Snapfiles
Winstally
Etc.

Contre-mesures

Portables (logiciels portables - sans installeur)
Uncheky décoche les cases des installeurs piégés
Décontamination anti-malware
Mises à jour périodiques d'un PC sous Windows
Nettoyages périodiques d'un PC sous Windows
Protéger le navigateur, la navigation et la vie privée
Vérifier tous les plugins d'un seul clic




BrotherSoft - Ressources

Outils d'investigations pour chercheurs