Assiste.com
cr 01.01.2012 r+ 22.10.2024 r- 22.10.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
Sommaire (montrer / masquer) |
---|
WinWebSec (« WinWeb Security » - « Windows Web Security ») est la matrice servant à générer automatiquement toute une famille de faux antivirus se ressemblant tous à quelques détails près (charte des couleurs, noms des antivirus, présentation).
Une incroyable quantité de crapuleries, se ressemblant toutes, à vu le jour depuis au moins 2008. Il en sort encore de nouveaux en 2015.
Noms sous lesquels les vrais antivirus les signalesnt :
Aliases: System Progressive Protection (other)
Adware/AntiSpywarePro2009 (Panda)
Adware/UltimateCleaner (Panda)
Adware/Xpantivirus2008 (Panda)
AntiSpyware Pro 2009 (other)
AntiVirus2008 (Symantec)
FakeAlert-AntiSpywarePro (McAfee)
FakeAlert-WinwebSecurity.gen (McAfee)
Live Security Platinum (other)
Mal/FakeAV-AK (Sophos)
MS Removal Tool (other)
Security Tool (other)
SecurityRisk.Downldr (Symantec)
System Security (other)
Security Shield (other)
SecurityShieldFraud (Symantec)
SystemSecurity2009 (other)
Total Security (other)
Troj/FakeVir-LB (Sophos)
Trojan:Win32/Winwebsec (other)
TrojanDropper:Win32/Winwebsec (other)
W32/AntiVirus2008.AYO (Norman)
Win32/Adware.SystemSecurity (ESET)
Win32/Adware.WinWebSecurity (ESET)
Winweb Security (other)
Essential Cleaner (other)
Personal Shield Pro (other)
Security Shield 2012 (other)
Security Sphere 2012 (other)
Smart Protection 2012 (other)
Security Shield 2012 (other)
Smart Fortress 2012 (other)
Win 8 Security System (other)
Advanced PC Shield 2012 (other)
Disk Antivirus Professional (other)
AVASoft Professional Antivirus (other)
System Doctor 2014 (other)
Attentive Antivirus (other)
Antiviral Factory 2013 (other)
Antivirus Security Pro (other)
Smart Guard Protection (other)
|
Au 22.03.2015, il y en a 76 d'identifiées dans la Crapthèque. En voici quelques unes :
|
La matrice (« WinWeb Security » - « Windows Web Security »)
Différents cybercriminels utilisent la matrice WinWebSec (« WinWeb Security » - « Windows Web Security ») d'où la très grande quantité de noms et de variantes de crapwares dérivés de cette matrice.
Le principe est simple : le générateur demande :
Quel nom donner au faux antivirus
Décrire quelle charte de couleurs utiliser
Décrire quelle présentation (charte graphique) utiliser (taille des caractres, couleur, emplacements des menus, volets, etc.
Personnaliser les textes et la langue
Intervale de faux virus à déclarer lors de la fausse analyse
Personnaliser les clauses, bas de page, mode de paiement, contacts, etc.
Etc.
Il semble qu'un cybercriminel ait développé et mis en vente la matrice WinWebSec et que chacun de ses clients produise plusieurs variantes. Le comportement de ces crapwares en scarewares est habituel : après pénétration et activation, il y a une pseudo analyse simulée suivie de l'affichage incessant et harassant de faux résultats d'analyse alarmants. Ils prétendent qu'un certain nombre de virus, parfois des centaines, totalement imaginaires, ont été trouvés, jusqu'à ce que l'utilisateur naïf passe à l'acte d'achat et active le pseudo antivirus qui ne produit alors plus d'alertes.
Les alertes peuvent ressembler à des notifications normales de Microsoft Windows, sortant de la zone en bas à droite de la barre de tâches de Windows, près de l'horloge (zone appelée Systray). Plus grave, le crapware sert, simultanément, de cheval de Troie embarquant une ou des « charges utiles » (« charges actives ») de diverses natures selon l'intérêt de chacun des cybercriminels.
|
Les méthodes de pénétrations sont habituelles dont, par exemple :
|
Analyse d'une des innombrables variantes Winwebsec le 29.09.2013 Analyse | ||
---|---|---|
Antivirus | Résultat | Mise à jour |
AVG | Cryptic | 20130929 |
Agnitum | Trojan.Badur! | 20130929 |
AhnLab-V3 | Trojan/Win32.Tepfer | 20130929 |
AntiVir | TR/PSW.Fareit.ash | 20130929 |
Antiy-AVL | Trojan/Win32.Badur.gen | 20130929 |
Avast | Win32:Dropper-gen [Drp] | 20130929 |
Comodo | TrojWare.Win32.Kryptik.BJF | 20130929 |
DrWeb | Trojan.Fakealert.37412 | 20130929 |
ESET-NOD32 | a variant of Win32/Kryptik.BJHQ | 20130929 |
Emsisoft | Gen:Variant.Symmi.31703 (B) | 20130929 |
F-Secure | Gen:Variant.Symmi.31703 | 20130929 |
Fortinet | W32/Kryptik.BDPK!tr | 20130929 |
GData | Gen:Variant.Symmi.31703 | 20130929 |
Ikarus | Trojan.Crypt | 20130929 |
K7AntiVirus | Trojan | 20130927 |
K7GW | Trojan | 20130927 |
Kaspersky | HEUR:Trojan.Win32.Generic | 20130929 |
Kingsoft | Win32.Troj.Undef.(kcloud) | 20130829 |
Malwarebytes | Trojan.Agent.rfz | 20130929 |
McAfee | Generic-FAMH!1D245BA64591 | 20130929 |
McAfee-GW-Edition | Heuristic.LooksLike.Win32.Suspicious.B | 20130929 |
MicroWorld-eScan | Gen:Variant.Symmi.31703 | 20130929 |
Microsoft | Rogue:Win32/Winwebsec | 20130929 |
Norman | Hlux.ZY | 20130929 |
Panda | Suspicious file | 20130929 |
SUPERAntiSpyware | Trojan.Agent/Gen-FakeSecurity | 20130929 |
Sophos | Mal/FakeAV-OY | 20130930 |
VBA32 | Heur.Trojan.Hlux | 20130927 |
VIPRE | Trojan.Win32.Zbot.smb (v) | 20130929 |
Analyse de l'une des variantes de Winwebsec le 12.11.2013 Analyse | ||
---|---|---|
Antivirus | Résultat | Mise à jour |
AVG | FakeAV_s.AOK | 20131112 |
Agnitum | Trojan.Kryptik!6wf0wVv7XG8 | 20131112 |
AhnLab-V3 | Trojan/Win32.FakeSysDef | 20131112 |
AntiVir | TR/Winwebsec.553659 | 20131113 |
Antiy-AVL | Trojan/Win32.Generic | 20131112 |
Avast | Win32:Crypt-QAO [Trj] | 20131113 |
Baidu-International | Trojan.Win32.Kryptik.BLSK | 20131112 |
BitDefender | Gen:Variant.Symmi.32767 | 20131113 |
Comodo | TrojWare.Win32.Kryptik.BLS | 20131113 |
DrWeb | Trojan.Fakealert.43163 | 20131113 |
ESET-NOD32 | a variant of Win32/Kryptik.BLSK | 20131113 |
Emsisoft | Gen:Variant.Symmi.32767 (B) | 20131113 |
F-Secure | Gen:Variant.Symmi.32767 | 20131113 |
Fortinet | W32/Cleaman.B!tr | 20131113 |
GData | Gen:Variant.Symmi.32767 | 20131113 |
Ikarus | Trojan.Win32.FakeAV | 20131113 |
Jiangmin | Trojan/FakeSysDef.cbr | 20131113 |
Kaspersky | HEUR:Trojan.Win32.Generic | 20131113 |
Kingsoft | Win32.Troj.Generic.a.(kcloud) | 20130829 |
Malwarebytes | Trojan.Ransom.ED | 20131113 |
McAfee | FakeAlert-FRJ!6BE6ED0EF6E6 | 20131113 |
McAfee-GW-Edition | FakeAlert-FRJ!6BE6ED0EF6E6 | 20131113 |
MicroWorld-eScan | Gen:Variant.Symmi.32767 | 20131113 |
Microsoft | Rogue:Win32/Winwebsec | 20131113 |
NANO-Antivirus | Trojan.Win32.Fakealert.cljrcq | 20131111 |
Norman | Kryptik.CCEM | 20131112 |
Panda | Trj/Dtcontx.H | 20131112 |
SUPERAntiSpyware | Trojan.Agent/Gen-Winwebsec | 20131113 |
Sophos | Mal/FakeAV-KL | 20131113 |
Symantec | Packed.Generic.446 | 20131113 |
TheHacker | Trojan/Kryptik.blsk | 20131112 |
TrendMicro | TROJ_FAKEAV.SM08 | 20131113 |
TrendMicro-HouseCall | TROJ_FAKEAV.SM08 | 20131113 |
VBA32 | BScope.Trojan.Hlux | 20131112 |
VIPRE | Trojan.Win32.Urausy.el (v) | 20131113 |
Analyse de l'une des variantes de Winwebsec le 29.10.2013 Analyse | ||
---|---|---|
Antivirus | Résultat | Mise à jour |
AVG | FakeAV_s.AOW | 20131029 |
Agnitum | Trojan.Kryptik!oG3r+1UjD7w | 20131029 |
AhnLab-V3 | Trojan/Win32.FakeAV | 20131029 |
AntiVir | TR/Winwebsec.560792 | 20131030 |
Antiy-AVL | Trojan/Win32.Generic | 20131029 |
Avast | Win32:Crypt-QAG [Trj] | 20131030 |
Baidu-International | Trojan.Win32.Kryptik.BLWE | 20131029 |
BitDefender | Gen:Variant.Symmi.32767 | 20131030 |
Commtouch | W32/Trojan.ZHJV-3802 | 20131030 |
Comodo | TrojWare.Win32.Kryptik.BLW | 20131029 |
DrWeb | Trojan.Fakealert.43163 | 20131030 |
ESET-NOD32 | a variant of Win32/Kryptik.BLWE | 20131030 |
Emsisoft | Gen:Variant.Symmi.32767 (B) | 20131030 |
F-Secure | Gen:Variant.Symmi.32767 | 20131030 |
Fortinet | W32/Kryptik.BKOO!tr | 20131030 |
GData | Gen:Variant.Symmi.32767 | 20131030 |
Ikarus | Trojan.Win32.Urausy | 20131029 |
Jiangmin | Trojan/FakeSysDef.cao | 20131029 |
Kaspersky | HEUR:Trojan.Win32.Generic | 20131030 |
Kingsoft | Win32.Troj.Generic.a.(kcloud) | 20130829 |
Malwarebytes | Trojan.Ransom.ED | 20131029 |
McAfee | FakeAlert-FRJ!A663B9BEF831 | 20131030 |
McAfee-GW-Edition | Heuristic.LooksLike.Win32.Suspicious.E | 20131029 |
MicroWorld-eScan | Gen:Variant.Graftor.117169 | 20131028 |
Microsoft | Rogue:Win32/Winwebsec | 20131029 |
Norman | FakeAlert.DPFR | 20131029 |
Panda | Trj/Dtcontx.H | 20131029 |
SUPERAntiSpyware | Trojan.Agent/Gen-FakeAlert | 20131030 |
Sophos | Mal/FakeAV-KL | 20131030 |
TheHacker | Trojan/Kryptik.blwe | 20131029 |
TrendMicro | TROJ_FAKEAV.SM08 | 20131030 |
TrendMicro-HouseCall | TROJ_FAKEAV.SM08 | 20131030 |
VBA32 | BScope.Trojan.Hlux | 20131029 |
VIPRE | Trojan.Win32.Urausy.el (v) | 20131030 |
Analyse d'une variante WinWebSec (WinWebSecurity) | ||
---|---|---|
Antivirus | Résultat | Mise à jour |
AVG | Generic_r.WQ | 20140130 |
Ad-Aware | Trojan.Generic.KD.206721 | 20140130 |
Agnitum | Trojan.Winwebsec!Po0lcZqdgUw | 20140130 |
AhnLab-V3 | Trojan/Win32.FakeAV | 20140130 |
AntiVir | TR/Winwebsec.A.4146 | 20140130 |
Avast | Win32:MalOb-GE [Cryp] | 20140130 |
Baidu-International | Trojan.Win32.Generic.AH | 20140130 |
BitDefender | Trojan.Generic.KD.206721 | 20140130 |
Bkav | HW32.CDB.28ee | 20140125 |
CAT-QuickHeal | Rogue.Winwebsec (Not a Virus) | 20140130 |
ClamAV | Win.Trojan.Fakeav-18956 | 20140130 |
Commtouch | W32/FakeAlert.NP.gen!Eldorado | 20140130 |
Comodo | TrojWare.Win32.Kryptik.NEA | 20140130 |
DrWeb | Trojan.Fakealert.20667 | 20140130 |
ESET-NOD32 | a variant of Win32/Kryptik.NEE | 20140130 |
Emsisoft | Trojan.Generic.KD.206721 (B) | 20140130 |
F-Prot | W32/FakeAlert.NP.gen!Eldorado | 20140130 |
F-Secure | Trojan.Generic.KD.206721 | 20140130 |
Fortinet | W32/PackFakeAV.KL!tr | 20140130 |
GData | Trojan.Generic.KD.206721 | 20140130 |
Ikarus | Trojan.SuspectCRC | 20140130 |
Jiangmin | Trojan/Generic.fdbs | 20140130 |
K7AntiVirus | Spyware ( 0040e5e81 ) | 20140130 |
K7GW | Spyware ( 0040e5e81 ) | 20140130 |
Kaspersky | HEUR:Hoax.Win32.ExpProc.a | 20140130 |
Kingsoft | Win32.Troj.Undef.(kcloud) | 20130829 |
Malwarebytes | Rogue.SecurityShield | 20140130 |
McAfee | FakeAlert-SecurityTool.bt | 20140130 |
McAfee-GW-Edition | FakeAlert-SecurityTool.bt | 20140130 |
MicroWorld-eScan | Trojan.Generic.KD.206721 | 20140130 |
Microsoft | Rogue:Win32/Winwebsec | 20140130 |
NANO-Antivirus | Trojan.Win32.FakeAVKL.cdpgf | 20140130 |
Norman | FakeAV.ADQX | 20140130 |
Panda | Trj/Resdec.c | 20140130 |
Qihoo-360 | HEUR/Malware.QVM20.Gen | 20140122 |
Rising | PE:Trojan.Win32.Generic.12889FFA!310943738 | 20140130 |
Sophos | Mal/FakeAV-KL | 20140130 |
Symantec | Trojan.ADH | 20140130 |
TheHacker | Trojan/Kryptik.nee | 20140128 |
TotalDefense | Win32/FraudSecurityTool.O!generi | 20140130 |
TrendMicro | TROJ_FAKEAV.SM28 | 20140130 |
TrendMicro-HouseCall | TROJ_FAKEAV.SM28 | 20140130 |
VBA32 | BScope.Trojan.Winwebsec.1613 | 20140130 |
VIPRE | FraudTool.Win32.MSRemovalTool.ek!a (v) | 20140130 |
nProtect | Trojan.Generic.KD.206721 | 20140130 |
Antiy-AVL | 20140130 | |
ByteHero | 20140121 | |
CMC | 20140122 | |
SUPERAntiSpyware | 20140130 | |
ViRobot | 20140130 |
|
WinWebSec (WinWeb Security - Windows Web Security)
Les encyclopédies |
---|