Comment Repérer les Faux Logiciels Antivirus Par l`équipe

Comment Repérer les Faux Logiciels Antivirus
Par l’équipe FortiGuard Labs de Fortinet.
Il y a quelques mois, un voisin était en train de chater avec moi au sujet d’un nouveau antivirus miracle
qu’il a obtenu d’un ami. Il m’expliquait que celui-ci fonctionnait très bien et qu’il détectait souvent un
grand nombre de virus sur son ordinateur. Son seul reproche était qu’il avait dû payer à chaque fois que
le logiciel éradiait des logiciels malveillants de son ordinateur.
J’ai failli ne pas avoir le courage de lui dire que ce fameux anti-virus auquel il faisait allusion était en fait,
ce qui est connu dans l’industrie de la sécurité comme un faux AV.
Il existe de nombreuses versions de faux AV actuellement sur Internet. Bien qu’il existe différentes
variantes, styles et noms, ils ont tous en commun certaines caracctéristiques, à savoir:
• Une interface graphique (GUI) en apparence professionnelle qui ressemble à un antivirus
légitime. Une fois le faux AV en cours d’éxécution sur le système informatique de l’utilisateur, il
lance le GUI et scanne l’ordinateur
• Une fois le scan terminé, le logiciel indique généralement que le système est infecté par un
logiciel malveillant
• Le faux AV demande alors le versement d’une somme d’argent pour “nettoyer” le système. Une
fois que l’utilisateur non averti saisit ses données de carte de crédit, il risque par la suite d’être
sujet à un vol d’identité
Comment un Faux AV procède ?
L’équipe FortiGuard Labs de Fortinet a analysé une nouvelle variante de faux AV : W32/FakeAV.RA!tr.
Ici, une fois le logiciel malveillant installé, l’utilisateur infecté reçoit un message d’avertissement qui
indique que le logiciel a découvert un logiciel espion ou spyware (Illustration 1). Quand l’utilisateur
clique sur ce message d’avertissement, une nouvelle fenêtre qui ressemble à un antivirus légitime
apparait, commence à “scanner” le système et affiche les infections détectées (Illustration 2).
Illustration 1
Illustration 2
Une fois la phase de détection terminée, une nouvelle fenêtre apparait avec le nombre d’infections que
le logiciel a découvert (Illustration 3). La fenêtre suggère à l’utilisateur de supprimer les menaces
détectées ou de “Continuer sans protection.” Le bon sens veut que l’utilisateur sélectionne “supprimer
les menaces.”
Illustration 3
Après avoir cliqué sur “Supprimer toutes les menaces maintenant,” une fenêtre apparait dans laquelle
l’utilisateur peut entrer ses données de carte de crédit (Illustration 4).
Illustration 4
Dans une variante de l’exemple du faux AV ci-dessus, l’utilisateur sélectionne l’option “Recommandée”
(Illustration 5), qui demande immédiatement à l’utilisateur de payer comme montré en Illustration 4.
Illustration 5
Cette version de faux AV affiche un message d’avertissement chaque fois que l’utilisateur tente de
lancer un programme (Illustration 6) et est particulièrement gênant, car ce faux AV empêche l’utilisateur
de lancer des applications sur son ordinateur. Le pire est que le faux AV, en plus de voler votre argent,
peut enregistrer les frappes de votre clavier, voler des documents, infecter d’autres fichiers et réseaux
et installer des logiciels malveillants supplémentaires.
Illustration 6
Comment avez-vous été infecté par un faux AV?
Il y a en fait un certain nombre de façons pour les faux AV de s’installer sur le système d’un utilisateur.
Cela peut venir d’une pièce jointe infectée dans un email, d’un lien dans un email ou d’une application
Web 2.0 comme, par exemple, un site de réseaux sociaux qui dirige l’utilisateur vers un site Internet
malveillant qui lui télécharge automatiquement le faux AV. Le logiciel peut également être téléchargé
sur un système par un logiciel malveillant (tel qu’un réseau de zombies ou botnet en anglais) qui se
trouve déjà sur le système de l’utilisateur.
Comment savoir que vous avez un faux AV sur votre ordinateur ?
La première chose que les utilisateurs devraient faire doit se faire AVANT que l’infection apparaisse. Si
ce n’est pas déjà fait, tous les utilisateurs d’ordinateurs devraient se familiariser avec la solution
antivirus qui est installée sur leur système. Connaitre le nom de l’éditeur d’antivirus sur votre système,
et, s’assurer que le logiciel soit à jour avec les dernières versions et correctifs. Si l’utilisateur ne dispose
pas d’un antivirus sur sa machine, il peut en télécharger un sur le site Internet d’un éditeur AV. Fortinet
en propose un gratuit qui peut être téléchargé ici: http://download.cnet.com/FortiClient-Lite/30002239_4-75532356.html?tag=mncol;1
Maintenant que l’utilisateur sait quel antivirus est sur son système, il devrait pouvoir assez facilement
vérifier si l’ordinateur a un faux AV, car la plupart du temps les faux éditeurs AV ne parviennent pas à
mettre le logo de la vraie entreprise AV dans les fenêtres pop-up. Si le logiciel affiche le logo dans la
fenêtre pop-up et que ce n’est pas celui d’une entreprise AV, alors c’est que c’est probablement un faux
AV. Si vous avez toujours un doute sur l’anti-virus installé sur votre système, l’autre indice qui devrait
vous aider à détecter s’il s’agit d’un faux AV, est si une fenêtre s’affiche à l’écran et vous demande de
communiquer vos données de carte de crédit. Aucun éditeur AV réputé ne fera payer un utilisateur pour
scanner son système s’il a déjà les dernières mises à jour installées sur sa machine.
Comment vous en débarraser ?
Si un faux AV est sur le système, l’utilisateur devra scanner le système en utilisant son logiciel antivirus
légitime. Si le faux AV empêche le logiciel AV légitime de se charger, alors l’utilisateur devra redémarrer
son système en « mode échec » et puis scanner le système en utilisant un AV légitime. En outre, il est
conseillé de faire un “scan hors ligne.” Cela signifie que l’ordinateur devra être scanné et nettoyé en
dehors du système d’exploitation pour une résolution complète. Cela nécessite un redémarrage par
l’Environnement de Pré-installation Windows (WinPE) pour éxécuter un utilitaire de scan, tel que l’outil
de scan Windows Defender Offline.
L’outil de scan Windows Defender Offline est un fichier bootable Windows Imaging Format (WIM)
gratuit et disponible en téléchargement, qui peut être stocké sur une clé USB ou DVD et inséré dans
l’ordinateur infecté.
Que faire si vous leur avez donné votre numéro de carte de credit
Si vous pensez être victime d’une fraude de faux AV, sachez que vous n’êtes pas seul puisque le marché
des faux AV représente un milliard de dollars par an. Certains gangs criminels ont été démantelés, mais
d’autres sont encore actifs. La première chose que vous devriez faire si vous pensez avoir été victime
d’un faux AV est d’appeler votre banque dès que possible et scruter vos relevés bancaires depuis le jour
où vous avez entré votre numéro de carte de crédit dans l’application. Ensuite, demandez une nouvelle
carte de crédit. Enfin, ce n’est pas parce qu’il n’y a aucune dépenses suspectes sur vos relevés bancaires
que vous êtes en sécurité, les cybercriminels peuvent regrouper vos informations bancaires avec
d’autres qu’ils ont collecté pour ensuite les vendre à d’autres organisations criminelles.
Quelques conseils supplémentaires:
•
•
•
•
Toujours mettre à jour votre logiciel antivirus à partir de sources pertinentes
Ne pas éxécuter les applications provenant d’emails ou téléchargées d’Internet si vous n’êtes
pas sûrs qu’elles soient saines
Ne pas entrer vos informations bancaires sur un site Internet suspect
Toujours scanner votre système à l’aide de votre logiciel antivirus légitime
Exemple du faux AV W32/FakeAV.KL!tr
L’illustration A1 représente l’écran principal du W32/FakeAV.KL!tr, un logiciel complet antivirus
d’apparence professionelle incluant un menu et une fenêtre d’analyse. Même si votre ordinateur n’est
pas infecté, il montrera que vous l’êtes par 14 menaces au miminum.
Illustration A1
Si vous voulez supprimer l’infection, en cliquant sur le bouton “Supprimer”, il vous sera demandé
d’activer le faux AV comme le montre l’illustration A2.
Illustration A2
En sélectionnant “Oui”, vous serez redirigé vers une fenêtre qui vous demandera d’entrer vos
informations bancaires comme montré dans l’illustration A3.
Illustration A3
Ou, si vous refusez d’activer votre compte, vous recevrez un message d’avertissement comme celui de
l’illustration A4.
Illustration A4
Si vous ignorez ou oubliez ce Faux AV, une fenêtre pop-up constante vous le rappelera comme le
montre l’illustration A5.
Illustration A5
Le W32/FakeAV.KL!tr et le W32/FakeAV.RA!tr peuvent avoir un affichage différent, mais ils font
clairement la même chose. Ils montreront que vous êtes infectés et vous demanderont votre numéro de
carte de crédit pour supprimer l’infection.
Autre exemple : W32/ FakeAV.RB!tr
Ce Faux AV donne l’air de provenir de Microsoft Windows lui-même, avec le menu habituel sur la
gauche et l’affichage habituel sur le côté droit de la fenêtre (Illustration B1). Il ne montre pas d’activité
de scan mais alerte l’utilisateur que son ordinateur court un ou plusieurs risques d’infections.
Illustration B1
Si vous cliquez sur le bouton “Nettoyer Maintenant”, le logiciel vous dira que ce n’est qu’une version
d’essai et que vous devez activer le Faux AV comme indiqué en illustration B2.
Illustration B2
Si vous voulez l’activer, il vous dirigirera vers une nouvelle fenêtre et vous demandera les informations
de votre carte bancaire (Cf. Illustration B3). Notez que, le logiciel antivirus et la sécurité de Microsoft
peuvent être installés GRATUITEMENT.
Illustration B3
Si vous ignorez cette fenêtre, des messages d’avertissement apparaitront comme ceux montrés en
illustration B4 et B5.
Illustration B4
Illustration B5