Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.01.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

WinWebSecWinWeb Security » - « Windows Web Security ») est la matrice servant à générer automatiquement toute une famille de faux antivirus se ressemblant tous à quelques détails près (charte des couleurs, noms des antivirus, présentation).

Une incroyable quantité de crapuleries, se ressemblant toutes, à vu le jour depuis au moins 2008. Il en sort encore de nouveaux en 2015.

Noms sous lesquels les vrais antivirus les signalesnt :

  • Aliases: System Progressive Protection (other)

  • Adware/AntiSpywarePro2009 (Panda)

  • Adware/UltimateCleaner (Panda)

  • Adware/Xpantivirus2008 (Panda)

  • AntiSpyware Pro 2009 (other)

  • AntiVirus2008 (Symantec)

  • FakeAlert-AntiSpywarePro (McAfee)

  • FakeAlert-WinwebSecurity.gen (McAfee)

  • Live Security Platinum (other)

  • Mal/FakeAV-AK (Sophos)

  • MS Removal Tool (other)

  • Security Tool (other)

  • SecurityRisk.Downldr (Symantec)

  • System Security (other)

  • Security Shield (other)

  • SecurityShieldFraud (Symantec)

  • SystemSecurity2009 (other)

  • Total Security (other)

  • Troj/FakeVir-LB (Sophos)

  • Trojan:Win32/Winwebsec (other)

  • TrojanDropper:Win32/Winwebsec (other)

  • W32/AntiVirus2008.AYO (Norman)

  • Win32/Adware.SystemSecurity (ESET)

  • Win32/Adware.WinWebSecurity (ESET)

  • Winweb Security (other)

  • Essential Cleaner (other)

  • Personal Shield Pro (other)

  • Security Shield 2012 (other)

  • Security Sphere 2012 (other)

  • Smart Protection 2012 (other)

  • Security Shield 2012 (other)

  • Smart Fortress 2012 (other)

  • Win 8 Security System (other)

  • Advanced PC Shield 2012 (other)

  • Disk Antivirus Professional (other)

  • AVASoft Professional Antivirus (other)

  • System Doctor 2014 (other)

  • Attentive Antivirus (other)

  • Antiviral Factory 2013 (other)

  • Antivirus Security Pro (other)

  • Smart Guard Protection (other)





La matrice (« WinWeb Security » - « Windows Web Security »)

Différents cybercriminels utilisent la matrice WinWebSecWinWeb Security » - « Windows Web Security ») d'où la très grande quantité de noms et de variantes de crapwares dérivés de cette matrice.

Le principe est simple : le générateur demande :

  • Quel nom donner au faux antivirus

  • Décrire quelle charte de couleurs utiliser

  • Décrire quelle présentation (charte graphique) utiliser (taille des caractres, couleur, emplacements des menus, volets, etc.

  • Personnaliser les textes et la langue

  • Intervale de faux virus à déclarer lors de la fausse analyse

  • Personnaliser les clauses, bas de page, mode de paiement, contacts, etc.

  • Etc.

Il semble qu'un cybercriminel ait développé et mis en vente la matrice WinWebSec et que chacun de ses clients produise plusieurs variantes. Le comportement de ces crapwares en scarewares est habituel : après pénétration et activation, il y a une pseudo analyse simulée suivie de l'affichage incessant et harassant de faux résultats d'analyse alarmants. Ils prétendent qu'un certain nombre de virus, parfois des centaines, totalement imaginaires, ont été trouvés, jusqu'à ce que l'utilisateur naïf passe à l'acte d'achat et active le pseudo antivirus qui ne produit alors plus d'alertes.

Les alertes peuvent ressembler à des notifications normales de Microsoft Windows, sortant de la zone en bas à droite de la barre de tâches de Windows, près de l'horloge (zone appelée Systray). Plus grave, le crapware sert, simultanément, de cheval de Troie embarquant une ou des « charges utiles » (« charges actives ») de diverses natures selon l'intérêt de chacun des cybercriminels.



Les méthodes de pénétrations sont habituelles dont, par exemple :

  • Sur un site de vidéo, une pseudo impossibilité de lire la vidéo mais, en cliquant sur un lien, vous y arriverez (résultat : vous installez le crapware et scareware) !

  • Faux email soit disant contenant un message vocal, mais vrai piège :

    Pseudo message vocal et réel crapware et scareware que l'utilisateur installe, croyant ouvrir un message vocal.
    Pseudo message vocal et réel Crapware et Scareware que l'utilisateur installe, croyant ouvrir un message vocal.



Analyse d'une des innombrables variantes Winwebsec le 29.09.2013
Analyse
AntivirusRésultatMise à jour
AVGCryptic20130929
AgnitumTrojan.Badur!20130929
AhnLab-V3Trojan/Win32.Tepfer20130929
AntiVirTR/PSW.Fareit.ash20130929
Antiy-AVLTrojan/Win32.Badur.gen20130929
AvastWin32:Dropper-gen [Drp]20130929
ComodoTrojWare.Win32.Kryptik.BJF20130929
DrWebTrojan.Fakealert.3741220130929
ESET-NOD32a variant of Win32/Kryptik.BJHQ20130929
EmsisoftGen:Variant.Symmi.31703 (B)20130929
F-SecureGen:Variant.Symmi.3170320130929
FortinetW32/Kryptik.BDPK!tr20130929
GDataGen:Variant.Symmi.3170320130929
IkarusTrojan.Crypt20130929
K7AntiVirusTrojan20130927
K7GWTrojan20130927
KasperskyHEUR:Trojan.Win32.Generic20130929
KingsoftWin32.Troj.Undef.(kcloud)20130829
MalwarebytesTrojan.Agent.rfz20130929
McAfeeGeneric-FAMH!1D245BA6459120130929
McAfee-GW-EditionHeuristic.LooksLike.Win32.Suspicious.B20130929
MicroWorld-eScanGen:Variant.Symmi.3170320130929
MicrosoftRogue:Win32/Winwebsec20130929
NormanHlux.ZY20130929
PandaSuspicious file20130929
SUPERAntiSpywareTrojan.Agent/Gen-FakeSecurity20130929
SophosMal/FakeAV-OY20130930
VBA32Heur.Trojan.Hlux20130927
VIPRETrojan.Win32.Zbot.smb (v)20130929


Analyse de l'une des variantes de Winwebsec le 12.11.2013
Analyse
AntivirusRésultatMise à jour
AVGFakeAV_s.AOK20131112
AgnitumTrojan.Kryptik!6wf0wVv7XG820131112
AhnLab-V3Trojan/Win32.FakeSysDef20131112
AntiVirTR/Winwebsec.55365920131113
Antiy-AVLTrojan/Win32.Generic20131112
AvastWin32:Crypt-QAO [Trj]20131113
Baidu-InternationalTrojan.Win32.Kryptik.BLSK20131112
BitDefenderGen:Variant.Symmi.3276720131113
ComodoTrojWare.Win32.Kryptik.BLS20131113
DrWebTrojan.Fakealert.4316320131113
ESET-NOD32a variant of Win32/Kryptik.BLSK20131113
EmsisoftGen:Variant.Symmi.32767 (B)20131113
F-SecureGen:Variant.Symmi.3276720131113
FortinetW32/Cleaman.B!tr20131113
GDataGen:Variant.Symmi.3276720131113
IkarusTrojan.Win32.FakeAV20131113
JiangminTrojan/FakeSysDef.cbr20131113
KasperskyHEUR:Trojan.Win32.Generic20131113
KingsoftWin32.Troj.Generic.a.(kcloud)20130829
MalwarebytesTrojan.Ransom.ED20131113
McAfeeFakeAlert-FRJ!6BE6ED0EF6E620131113
McAfee-GW-EditionFakeAlert-FRJ!6BE6ED0EF6E620131113
MicroWorld-eScanGen:Variant.Symmi.3276720131113
MicrosoftRogue:Win32/Winwebsec20131113
NANO-AntivirusTrojan.Win32.Fakealert.cljrcq20131111
NormanKryptik.CCEM20131112
PandaTrj/Dtcontx.H20131112
SUPERAntiSpywareTrojan.Agent/Gen-Winwebsec20131113
SophosMal/FakeAV-KL20131113
SymantecPacked.Generic.44620131113
TheHackerTrojan/Kryptik.blsk20131112
TrendMicroTROJ_FAKEAV.SM0820131113
TrendMicro-HouseCallTROJ_FAKEAV.SM0820131113
VBA32BScope.Trojan.Hlux20131112
VIPRETrojan.Win32.Urausy.el (v)20131113


Analyse de l'une des variantes de Winwebsec le 29.10.2013
Analyse
AntivirusRésultatMise à jour
AVGFakeAV_s.AOW20131029
AgnitumTrojan.Kryptik!oG3r+1UjD7w20131029
AhnLab-V3Trojan/Win32.FakeAV20131029
AntiVirTR/Winwebsec.56079220131030
Antiy-AVLTrojan/Win32.Generic20131029
AvastWin32:Crypt-QAG [Trj]20131030
Baidu-InternationalTrojan.Win32.Kryptik.BLWE20131029
BitDefenderGen:Variant.Symmi.3276720131030
CommtouchW32/Trojan.ZHJV-380220131030
ComodoTrojWare.Win32.Kryptik.BLW20131029
DrWebTrojan.Fakealert.4316320131030
ESET-NOD32a variant of Win32/Kryptik.BLWE20131030
EmsisoftGen:Variant.Symmi.32767 (B)20131030
F-SecureGen:Variant.Symmi.3276720131030
FortinetW32/Kryptik.BKOO!tr20131030
GDataGen:Variant.Symmi.3276720131030
IkarusTrojan.Win32.Urausy20131029
JiangminTrojan/FakeSysDef.cao20131029
KasperskyHEUR:Trojan.Win32.Generic20131030
KingsoftWin32.Troj.Generic.a.(kcloud)20130829
MalwarebytesTrojan.Ransom.ED20131029
McAfeeFakeAlert-FRJ!A663B9BEF83120131030
McAfee-GW-EditionHeuristic.LooksLike.Win32.Suspicious.E20131029
MicroWorld-eScanGen:Variant.Graftor.11716920131028
MicrosoftRogue:Win32/Winwebsec20131029
NormanFakeAlert.DPFR20131029
PandaTrj/Dtcontx.H20131029
SUPERAntiSpywareTrojan.Agent/Gen-FakeAlert20131030
SophosMal/FakeAV-KL20131030
TheHackerTrojan/Kryptik.blwe20131029
TrendMicroTROJ_FAKEAV.SM0820131030
TrendMicro-HouseCallTROJ_FAKEAV.SM0820131030
VBA32BScope.Trojan.Hlux20131029
VIPRETrojan.Win32.Urausy.el (v)20131030


Analyse d'une variante WinWebSec (WinWebSecurity)
AntivirusRésultatMise à jour
AVGGeneric_r.WQ20140130
Ad-AwareTrojan.Generic.KD.20672120140130
AgnitumTrojan.Winwebsec!Po0lcZqdgUw20140130
AhnLab-V3Trojan/Win32.FakeAV20140130
AntiVirTR/Winwebsec.A.414620140130
AvastWin32:MalOb-GE [Cryp]20140130
Baidu-InternationalTrojan.Win32.Generic.AH20140130
BitDefenderTrojan.Generic.KD.20672120140130
BkavHW32.CDB.28ee20140125
CAT-QuickHealRogue.Winwebsec (Not a Virus)20140130
ClamAVWin.Trojan.Fakeav-1895620140130
CommtouchW32/FakeAlert.NP.gen!Eldorado20140130
ComodoTrojWare.Win32.Kryptik.NEA20140130
DrWebTrojan.Fakealert.2066720140130
ESET-NOD32a variant of Win32/Kryptik.NEE20140130
EmsisoftTrojan.Generic.KD.206721 (B)20140130
F-ProtW32/FakeAlert.NP.gen!Eldorado20140130
F-SecureTrojan.Generic.KD.20672120140130
FortinetW32/PackFakeAV.KL!tr20140130
GDataTrojan.Generic.KD.20672120140130
IkarusTrojan.SuspectCRC20140130
JiangminTrojan/Generic.fdbs20140130
K7AntiVirusSpyware ( 0040e5e81 )20140130
K7GWSpyware ( 0040e5e81 )20140130
KasperskyHEUR:Hoax.Win32.ExpProc.a20140130
KingsoftWin32.Troj.Undef.(kcloud)20130829
MalwarebytesRogue.SecurityShield20140130
McAfeeFakeAlert-SecurityTool.bt20140130
McAfee-GW-EditionFakeAlert-SecurityTool.bt20140130
MicroWorld-eScanTrojan.Generic.KD.20672120140130
MicrosoftRogue:Win32/Winwebsec20140130
NANO-AntivirusTrojan.Win32.FakeAVKL.cdpgf20140130
NormanFakeAV.ADQX20140130
PandaTrj/Resdec.c20140130
Qihoo-360HEUR/Malware.QVM20.Gen20140122
RisingPE:Trojan.Win32.Generic.12889FFA!31094373820140130
SophosMal/FakeAV-KL20140130
SymantecTrojan.ADH20140130
TheHackerTrojan/Kryptik.nee20140128
TotalDefenseWin32/FraudSecurityTool.O!generi20140130
TrendMicroTROJ_FAKEAV.SM2820140130
TrendMicro-HouseCallTROJ_FAKEAV.SM2820140130
VBA32BScope.Trojan.Winwebsec.161320140130
VIPREFraudTool.Win32.MSRemovalTool.ek!a (v)20140130
nProtectTrojan.Generic.KD.20672120140130
Antiy-AVL20140130
ByteHero20140121
CMC20140122
SUPERAntiSpyware20140130
ViRobot20140130



  • WinWebSec (WinWeb Security - Windows Web Security)