Comment Repérer les Faux Logiciels Antivirus ?

Par :
Equipe FortiGuard Labs de Fortinet

lun, 07/01/2013 - 13:20

Il y a quelques mois, un voisin était en train de chater avec moi au sujet d’un nouveau antivirus miracle qu’il a obtenu d’un ami. Il m’expliquait que celui-ci fonctionnait très bien et qu’il détectait souvent un grand nombre de virus sur son ordinateur. Son seul reproche était qu’il avait dû payer à chaque fois que le logiciel éradicait des logiciels malveillants de son ordinateur. Par l’équipe FortiGuard Labs de Fortinet.

J’ai failli ne pas avoir le courage de lui dire que ce fameux anti-virus auquel il faisait allusion était en fait, ce qui est connu dans l’industrie de la sécurité comme un faux AV.

Il existe de nombreuses versions de faux AV actuellement sur Internet. Bien qu’il existe différentes variantes, styles et noms, ils ont tous en commun certaines caractéristiques, à savoir:

  • Une interface graphique (GUI) en apparence professionnelle qui ressemble à un antivirus légitime. Une fois le faux AV en cours d’exécution sur le système informatique de l’utilisateur, il lance le GUI et scanne l’ordinateur
  • Une fois le scan terminé, le logiciel indique généralement que le système est infecté par un logiciel malveillant
  • Le faux AV demande alors le versement d’une somme d’argent pour “nettoyer” le système. Une fois que l’utilisateur non averti saisit ses données de carte de crédit, il risque par la suite d’être sujet à un vol d’identité

 

Comment un Faux AV procède ?

L’équipe FortiGuard Labs de Fortinet a analysé une nouvelle variante de faux AV : W32/FakeAV.RA!tr. Ici, une fois le logiciel malveillant installé, l’utilisateur infecté reçoit un message d’avertissement qui indique que le logiciel a découvert un logiciel espion ou spyware (Illustration 1). Quand l’utilisateur clique sur ce message d’avertissement, une nouvelle fenêtre qui ressemble à un antivirus légitime apparait, commence à “scanner” le système et affiche les infections détectées (Illustration 2).

Illustration 1

Illustration 2

Une fois la phase de détection terminée, une nouvelle fenêtre apparait avec le nombre d’infections que le logiciel a découvert (Illustration 3). La fenêtre suggère à l’utilisateur de supprimer les menaces détectées ou de “Continuer sans protection.” Le bon sens veut que l’utilisateur sélectionne “supprimer les menaces.”

Illustration 3

 

Après avoir cliqué sur “Supprimer toutes les menaces maintenant,” une fenêtre apparait dans laquelle l’utilisateur peut entrer ses données de carte de crédit (Illustration 4).

Illustration 4

 

Dans une variante de l’exemple du faux AV ci-dessus, l’utilisateur sélectionne l’option “Recommandée” (Illustration 5), qui demande immédiatement à l’utilisateur de payer comme montré en Illustration 4.

Illustration 5

 

Cette version de faux AV affiche un message d’avertissement chaque fois que l’utilisateur tente de lancer un programme (Illustration 6) et est particulièrement gênant, car ce faux AV empêche l’utilisateur de lancer des applications sur son ordinateur. Le pire est que le faux AV, en plus de voler votre argent, peut enregistrer les frappes de votre clavier, voler des documents, infecter d’autres fichiers et réseaux et installer des logiciels malveillants supplémentaires.

Illustration 6

 

Comment avez-vous été infecté par un faux AV?

Il y a en fait un certain nombre de façons pour les faux AV de s’installer sur le système d’un utilisateur. Cela peut venir d’une pièce jointe infectée dans un email, d’un lien dans un email ou d’une application  Web 2.0 comme, par exemple, un site de réseaux sociaux qui dirige l’utilisateur vers un site Internet malveillant qui lui télécharge automatiquement le faux AV. Le logiciel peut également être téléchargé sur un système par un logiciel malveillant (tel qu’un réseau de zombies ou botnet en anglais) qui se trouve déjà sur le système de l’utilisateur.

Comment savoir que vous avez un faux AV sur votre ordinateur ?

La première chose que les utilisateurs devraient faire doit se faire AVANT que l’infection apparaisse. Si ce n’est pas déjà fait, tous les utilisateurs d’ordinateurs devraient se familiariser avec la solution antivirus qui est installée sur leur système. Connaitre le nom de l’éditeur d’antivirus sur votre système, et, s’assurer que le logiciel soit à jour avec les dernières versions et correctifs. Si l’utilisateur ne dispose pas d’un antivirus sur sa machine, il peut en télécharger un sur le site Internet d’un éditeur AV. Fortinet en propose un gratuit qui peut être téléchargé ici: http://download.cnet.com/FortiClient-Lite/3000-2239_4-75532356.html?tag=mncol;1

Maintenant que l’utilisateur sait quel antivirus est sur son système, il devrait pouvoir assez facilement vérifier si l’ordinateur a un faux AV, car la plupart du temps les faux éditeurs AV ne parviennent pas à mettre le logo de la vraie entreprise AV dans les fenêtres pop-up. Si le logiciel affiche le logo dans la fenêtre pop-up et que ce n’est pas celui d’une entreprise AV, alors c’est que c’est probablement un faux AV. Si vous avez toujours un doute sur l’anti-virus installé sur votre système, l’autre indice qui devrait vous aider à détecter s’il s’agit d’un faux AV, est si une fenêtre s’affiche à l’écran et vous demande de communiquer vos données de carte de crédit. Aucun éditeur AV réputé ne fera payer un utilisateur pour scanner son système s’il a déjà les dernières mises à jour installées sur sa machine.

Comment vous en débarraser ?

Si un faux AV est sur le système, l’utilisateur devra scanner le système en utilisant son logiciel antivirus légitime. Si le faux AV empêche le logiciel AV légitime de se charger, alors l’utilisateur devra redémarrer son système en « mode échec » et puis scanner le système en utilisant un AV légitime. En outre, il est conseillé de faire un “scan hors ligne.” Cela signifie que l’ordinateur devra être scanné et nettoyé en dehors du système d’exploitation pour une résolution complète. Cela nécessite un redémarrage par l’Environnement de Pré-installation Windows (WinPE) pour éxécuter un utilitaire de scan, tel que l’outil de scan Windows Defender Offline.

L’outil de scan Windows Defender Offline est un fichier bootable Windows Imaging Format (WIM) gratuit et disponible en téléchargement, qui peut être stocké sur une clé USB ou DVD et inséré dans l’ordinateur infecté.

Que faire si vous leur avez donné votre numéro de carte de credit

Si vous pensez être victime d’une fraude de faux AV, sachez que vous n’êtes pas seul puisque le marché des faux AV représente un milliard de dollars par an. Certains gangs criminels ont été démantelés, mais d’autres sont encore actifs. La première chose que vous devriez faire si vous pensez avoir été victime d’un faux AV est d’appeler votre banque dès que possible et scruter vos relevés bancaires depuis le jour où vous avez entré votre numéro de carte de crédit dans l’application. Ensuite, demandez une nouvelle carte de crédit. Enfin, ce n’est pas parce qu’il n’y a aucune dépenses suspectes sur vos relevés bancaires que vous êtes en sécurité, les cybercriminels peuvent regrouper vos informations bancaires avecd’autres qu’ils ont collecté pour ensuite les vendre à d’autres organisations criminelles.

Quelques conseils supplémentaires:

  • Toujours mettre à jour votre logiciel antivirus à partir de sources pertinentes
  • Ne pas exécuter les applications provenant d’emails ou téléchargées d’Internet si vous n’êtes pas sûrs qu’elles soient saines
  •  Ne pas entrer vos informations bancaires sur un site Internet suspect
  • Toujours scanner votre système à l’aide de votre logiciel antivirus légitime

 

Exemple du faux AV W32/FakeAV.KL!tr

L’illustration A1 représente l’écran principal du W32/FakeAV.KL!tr, un logiciel complet antivirus d’apparence professionnelle incluant un menu et une fenêtre d’analyse. Même si votre ordinateur n’est pas infecté, il montrera que vous l’êtes par 14 menaces au miminum.

Illustration A1

 

Si vous voulez supprimer l’infection, en cliquant sur le bouton “Supprimer”, il vous sera demandé d’activer le faux AV comme le montre l’illustration A2.

Illustration A2

 

En sélectionnant “Oui”, vous serez redirigé vers une fenêtre qui vous demandera d’entrer vos informations bancaires comme montré dans l’illustration A3.

Illustration A3

 

Ou, si vous refusez d’activer votre compte, vous recevrez un message d’avertissement comme celui de l’illustration A4.

Illustration A4

 

Si vous ignorez ou oubliez ce Faux AV, une fenêtre pop-up constante vous le rappelera comme le montre l’illustration A5.

 

Illustration A5

Le W32/FakeAV.KL!tr et le W32/FakeAV.RA!tr peuvent avoir un affichage différent, mais ils font clairement la même chose. Ils montreront que vous êtes infectés et vous demanderont votre numéro de carte de crédit pour supprimer l’infection.

Autre exemple : W32/ FakeAV.RB!tr

Ce faux AV donne l’air de provenir de Microsoft Windows lui-même, avec le menu habituel sur la gauche et l’affichage habituel sur le côté droit de la fenêtre (Illustration B1). Il ne montre pas d’activité de scan mais alerte l’utilisateur que son ordinateur court un ou plusieurs risques d’infections.

Illustration B1

 

Si vous cliquez sur le bouton “Nettoyer Maintenant”, le logiciel vous dira que ce n’est qu’une version d’essai et que vous devez activer le Faux AV comme indiqué en illustration B2.

Illustration B2

 

Si vous voulez l’activer, il vous dirigera vers une nouvelle fenêtre et vous demandera les informations de votre carte bancaire (Cf. Illustration B3). Notez que, le logiciel antivirus et la sécurité de Microsoft peuvent être installés GRATUITEMENT.

Illustration B3

Si vous ignorez cette fenêtre, des messages d’avertissement apparaitront comme ceux montrés en illustration B4 et B5.

Illustration B4

Illustration B5

Par l’équipe FortiGuard Labs de Fortinet

A propos de l'auteur

Equipe FortiGuard Labs de Fortinet