Convention de nommage pour les années 2010, 2011, 2012 et 2013 :
Dans une première vague d'attaque, tous les clones sont nommés, pour les années 2010, 2011, 2012 et 2013, de la manière suivante :

• Une abréviation d'une version de Windows (XP, Vista, Win 7, Win 8)
• Un millésime (2010, 2011, 2012, 2013...).
  Il semble que FakeRean ait été créé dès 2004 ou qu'il soit une variante très proche de quelque chose de crée en 2004 car on a une date de compilation remontant au 04.08.2004 dans une crapulerie identifiée comme " FakeRean ". Partant de ce principe de nommage, Assiste avait anticipé et introduit dans la Crapthèque, en 2013, les versions probables pour les années 2014 et 2015, mais il semble que cette anticipation, que nous n'avons probablement pas été les seuls à faire, ait conduit le cybercriminel à une autre stratégie de nommage à partir de 2014.
• Un nom (par exemple : Antimalware, Antispyware, Antivirus, Antimalware Pro, Antispyware Pro, Antivirus Pro, Cleaner, Cleaner Pro, etc. ...). Plus de 30 noms ont été repérés et il doit en exister d'autres.

Convention de nommage pour les années 2014 et 2015 :
Dans une seconde vague d'attaque, tous les clones sont nommés, pour les années 2014 et 2015, de deux manières différentes (l'année 2014 connaissant une baisse substantielle de cette attaque qui remonte en 2015) :

• Première convention de nommage pour les années 2014 et 2015 :
  • Un préfixe prestigieux comme AVLab (un laboratoire très connu et de confiance dans l'analyse et la comparaison des solutions de sécurité - antivirus et anti-malwares) ou trompeur, comme AVBytes.
  • Une abréviation d'une version de Windows (XP, Vista, Win 7, Win 8 et, probablement, Win 10)
  • Un millésime (2014 (peu utilisé), 2015...).
    
  • Un nom ou une combinaison de noms utilisant les mots clé security, antivirus, internet, etc. ...
    
    
• Seconde convention de nommage pour 2014 et 2015 :
  
  • Usurpation d'innombrables noms d'applications légitimes et d'objets Web populaires comme la pornographie, etc. ... Voir des exemples plus bas.
    

On obtient donc des noms comme :

Cette vaste famille de crapuleries prétend analyser votre ordinateur à la recherche de menaces. Elle produit des quantités affolantes de fausses alertes (comportement des scarewares - logiciels crapuleux dont la vente repose sur la peur). Puis la crapulerie vous dit que pour éliminer les menaces et corriger les erreurs, il faut passer à la version complète, payante, de la crapulerie.

En réalité, la crapulerie n'a rien découvert du tout et n'a fait qu'afficher des menaces fictives, totalement imaginaires. La crapulerie n'est pas un antivirus ni un antispyware. C'est juste une coquille vide qui ressemble suffisamment à un antivirus ou un antispyware pour justifier de vous prélever de l'argent.

Certains noms ou logos, comme " Defender ", imitent illégalement les noms ou logos de produits Microsoft.

Même les pseudos noms d'éditeurs imitent des noms célèbres. On trouve, par exemple, un "Copyright EmiSoft Company" imitant la célèbre Emsisoft (remarquez l'inversion des lettres i et S).

Une fois que vous aurez payé pour avoir la licence complète de la crapulerie, elle n'en fera pas plus. Elle cessera simplement d'afficher ses détections imaginaires.

Par contre, certaines variantes de FakeRean vont arrêter des services de Windows, modifier vos réglages, tuer certains processus dont les processus de sécurité, bloquer l'accès à certains sites dont les sites de sécurité informatique et les sites des éditeurs d'antivirus et d'anti-malwares, etc. ...

Ces crapuleries arrivent dans l'ordinateur de l'utilisateur par divers mécanismes dont, essentiellement, les trois suivants :

1. Des logiciels piégés, utilisés en cheval de Troie, tels des codecs piégés ou des lecteurs vidéo piégés, etc. ... Un téléchargeur - downloader est injecté, en charge utile, dans le logiciel utilisé en cheval de Troie, voire la malveillance est téléchargée directement, sans passer par un cheval de Troie. Les sites pornographiques, qui prétendent qu'un codec spécifique ou un lecteur vidéo spécifique doit être téléchargé, pour permettre à l'utilisateur, fébrile, de visionner quelque chose, pullulent de ces ressources piégées transformées en cheval de Troie. Lorsque l'utilisateur installe le codec ou le lecteur vidéo, etc. ... la charge utile cachée dans le logiciel est lâchée et activée. Le cheval de Troie, libéré de sa charge utile, continue sa vie saine et normale de son côté, et le downloader, appelé TrojanDownloader:Win32/FakeVimes, va prendre en charge, silencieusement, le téléchargement, l'installation du faux antivirus [WM-Field: Nom raw].
2. Des publicités trompeuses faisant croire à une infection. L'utilisateur croit, en cliquant sur un message lui disant qu'un problème a été identifié sur son ordinateur, ou qu'un virus a été détecté, lancer une analyse et l'éradication du problème, comme il peut être fait avec tant d'outils crédibles et de confiance, d'analyse gratuite en ligne d'un fichier ou d'analyse gratuite en ligne de l'ordinateur. Le faux antivirus [WM-Field: Nom raw] est téléchargé, installé et lancé.
3. Des sites piégés (des sites opérés par des cybercriminels ou des sites Internet lambda piégés à l'insu de leurs Webmasters, par les cybercriminels, suite à l'exploitation d'une faille de sécurité sur leurs serveurs). Ces sites piégés vont contenir, dans chacune de leurs pages visitées, des mécanismes de recherche et d'exploitation de faille de sécurité sur les machines des utilisateurs. La faille trouvée va permettre d'implanter le downloader, appelé TrojanDownloader:Win32/FakeVimes, qui, à son tour, va prendre en charge, silencieusement, le téléchargement, l'installation et le lancement du faux antivirus [WM-Field: Nom raw].

La Crapthèque contient, au 24.03.2015, plusieurs centaines de noms de crapwares (plus de 700) à base de FakeRean.

Exemples d'usurpation de divers noms attractifs.
L'utilisateur croit télécharger et installer quelque chose qui l'intéresse et, en réalité, il installe FakeRean :
(remarquez les doubles extensions, masquées par défaut par Windows - Corriger la visualisation des extensions masquées par Windows).

• Group_Sex_Orgy_194.mpeg.exe
• Lolita_Fuck_Movie_92.mpeg.exe
• Adobe Flash Player.exe
• Amateur_Porn_Movie_217.mpeg.exe
• Steam.exe (usurpation du nom de l'application résidente pour joueur en ligne)
• Big_Dick_Porn_Movie_163.mpeg.exe
• Latinas_Porn_Movie_114.mpeg.exe
• STDUViewerApp.exe (usurpation du nom de la très sérieuse application Scientific and technical documentation viewer)
• Anal_Porn_Movie_162.mpeg.exe
• SANDBOXIE.exe (usurpation du nom de la machine virtuelle utilisée en analyse comportementale des logiciels - un outil pour chercheurs en sécurité)
• vt-upload.exe (usurpation du nom d'un outil permettant d'envoyer aisément un fichier à l'analyse par le service multi-antivirus VirusTotal)
• sm.exe (usurpation du nom de l'installeur d'application de Goobzo, utilisant le script NSIS (Nullsoft Scriptable Install System) - Remarque, sm.exe " normal " est un installeur servant à la monétisation des logiciels et agissant en adware).
• Sirius Win 8 Protection 2014
• Microsoft Windows Operating System
• Cyberlink Corp. RemoteAgent
• EmiSoft (une faute typographique volontaire - un " typo " - usurpant le nom de l'anti-malwares Emsisoft)
• ibm.exe
• BestAntivirus2011.exe
• Installer Plugin.exe
• Arcsoft, Inc. UACTokenSvc
• skype_5.3.0.111.exe
• Firefox.exe
• Google_Chrome.exe
• Thief.exe (usurpation du nom d'un client open source de jeu d'échecs en ligne)
• Usurpation du nom d'une DLL quelconque - il existe des centaines de sites de téléchargement de DLLs, à cause du DLL Hell, à cause des nettoyeurs du Registre Windows et à cause de la terrible guerre des nettoyeurs du Registre Windows. Il existe des centaines de milliers de DLLs donc il y a matière à piéger des millions de victimes.
• Etc. Etc. Etc. ... et des milliers d'autres...