WinWebSec est la matrice d'une famille de faux antivirus se ressemblant tous à quelques détails près (charte des couleurs, noms, présentation). Né vers 2008, et en génère encore en 2015. Au 22.03.2015 il y a 76 faux antivirus identifiés dans la Crapthèque.

cr  01.01.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

WinWebSec (« WinWeb Security » - « Windows Web Security ») est la matrice servant à générer automatiquement toute une famille de faux antivirus se ressemblant tous à quelques détails près (charte des couleurs, noms des antivirus, présentation).

Une incroyable quantité de crapuleries, se ressemblant toutes, à vu le jour depuis au moins 2008. Il en sort encore de nouveaux en 2015.

Noms sous lesquels les vrais antivirus les signalesnt :

• Aliases: System Progressive Protection (other)

• Adware/AntiSpywarePro2009 (Panda)

• Adware/UltimateCleaner (Panda)

• Adware/Xpantivirus2008 (Panda)

• AntiSpyware Pro 2009 (other)

• AntiVirus2008 (Symantec)

• FakeAlert-AntiSpywarePro (McAfee)

• FakeAlert-WinwebSecurity.gen (McAfee)

• Live Security Platinum (other)

• Mal/FakeAV-AK (Sophos)

• MS Removal Tool (other)

• Security Tool (other)

• SecurityRisk.Downldr (Symantec)

• System Security (other)

• Security Shield (other)

• SecurityShieldFraud (Symantec)

• SystemSecurity2009 (other)

• Total Security (other)

• Troj/FakeVir-LB (Sophos)

• Trojan:Win32/Winwebsec (other)

• TrojanDropper:Win32/Winwebsec (other)

• W32/AntiVirus2008.AYO (Norman)

• Win32/Adware.SystemSecurity (ESET)

• Win32/Adware.WinWebSecurity (ESET)

• Winweb Security (other)

• Essential Cleaner (other)

• Personal Shield Pro (other)

• Security Shield 2012 (other)

• Security Sphere 2012 (other)

• Smart Protection 2012 (other)

• Security Shield 2012 (other)

• Smart Fortress 2012 (other)

• Win 8 Security System (other)

• Advanced PC Shield 2012 (other)

• Disk Antivirus Professional (other)

• AVASoft Professional Antivirus (other)

• System Doctor 2014 (other)

• Attentive Antivirus (other)

• Antiviral Factory 2013 (other)

• Antivirus Security Pro (other)

• Smart Guard Protection (other)

Au 22.03.2015, il y en a 76 d'identifiées dans la Crapthèque. En voici quelques unes :

La matrice (« WinWeb Security » - « Windows Web Security »)

Différents cybercriminels utilisent la matrice WinWebSec (« WinWeb Security » - « Windows Web Security ») d'où la très grande quantité de noms et de variantes de crapwares dérivés de cette matrice.

Le principe est simple : le générateur demande :

• Quel nom donner au faux antivirus

• Décrire quelle charte de couleurs utiliser

• Décrire quelle présentation (charte graphique) utiliser (taille des caractres, couleur, emplacements des menus, volets, etc.

• Personnaliser les textes et la langue

• Intervale de faux virus à déclarer lors de la fausse analyse

• Personnaliser les clauses, bas de page, mode de paiement, contacts, etc.

• Etc.

Il semble qu'un cybercriminel ait développé et mis en vente la matrice WinWebSec et que chacun de ses clients produise plusieurs variantes. Le comportement de ces crapwares en scarewares est habituel : après pénétration et activation, il y a une pseudo analyse simulée suivie de l'affichage incessant et harassant de faux résultats d'analyse alarmants. Ils prétendent qu'un certain nombre de virus, parfois des centaines, totalement imaginaires, ont été trouvés, jusqu'à ce que l'utilisateur naïf passe à l'acte d'achat et active le pseudo antivirus qui ne produit alors plus d'alertes.

Les alertes peuvent ressembler à des notifications normales de Microsoft Windows, sortant de la zone en bas à droite de la barre de tâches de Windows, près de l'horloge (zone appelée Systray). Plus grave, le crapware sert, simultanément, de cheval de Troie embarquant une ou des « charges utiles » (« charges actives ») de diverses natures selon l'intérêt de chacun des cybercriminels.

Les méthodes de pénétrations sont habituelles dont, par exemple :

• Sur un site de vidéo, une pseudo impossibilité de lire la vidéo mais, en cliquant sur un lien, vous y arriverez (résultat : vous installez le crapware et scareware) !

• Faux email soit disant contenant un message vocal, mais vrai piège :

  
  Pseudo message vocal et réel Crapware et Scareware que l'utilisateur installe, croyant ouvrir un message vocal.