Les fausses alertes peuvent être un vrai problème

Michael Vana savait qu'il se passait quelque chose quand il a vu le pop-up de "Antivirus 2009" au milieu de son écran. L'ancien technicien en avionique de Northwest Airlines a deviné que l'avertissement terrible d'une infection du système était faux, mais quand il a cliqué sur le X pour fermer la fenêtre, il s'est développé pour remplir son écran. Pour s'en débarrasser, il a dû fermer son PC.

Ça vous dit quelque chose? Des trucs sales comme ceux-ci, conçus pour vous installer et acheter de faux produits antivirus, sont plus communs que jamais. (Pour obtenir des conseils sur la façon de procéder si vous avez installé un faux antivirus sur votre PC, voir «Antivirus 2009: Comment faire pour supprimer le faux logiciel AV».) Mais si vous reconnaissez ces fausses alertes, vous pourriez ne pas savoir que le faux avertissement pourrait être une alerte rouge sur une infection malware sous-jacente bot. Connaître la différence est la clé.

«Ce n'est même plus quelque chose que vous clignez», explique Christopher Boyd, directeur principal de la recherche sur les logiciels malveillants pour la société de sécurité des communications FaceTime Communications.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

L'augmentation de ces pop-ups est due à plus d'escrocs cherchant de l'argent facile avec des programmes d'affiliation louches, qui paient une part énorme des profits … jusqu'à 90 pour cent - pour toute personne qui, par erreur, boit de l'argent pour un faux programme, indépendamment de ce qui l'a incité à payer. Souvent, l'incitation vient d'un site Web malveillant qui utilise des astuces JavaScript pour lancer un tas de pop-ups, ou même redimensionner la fenêtre du navigateur du spectateur, pour créer quelque chose qui ressemble à un véritable scan antivirus.

Vous pourriez atteindre un site en utilisant un mauvais lien de recherche, comme celui que Boyd a cliqué pour un jeu Batman en ligne gratuit. Il a été redirigé vers un site qui a repris son navigateur pour afficher un faux scan AV, qui a ensuite trouvé des infections critiques (fictives) qui pourraient être corrigées en achetant le programme antivirus escroc.

Si un site détourne simplement votre navigateur, vous Ne vous inquiétez pas trop: les fenêtres pop-up ou les fausses fenêtres du scanner ne causent pas de dommages durables, explique Boyd. Vous pouvez être empêché de fermer la fenêtre, comme l'a été Michael Vana, mais vous pouvez généralement afficher le Gestionnaire des tâches Windows avec Ctrl-Alt-Suppr et fermer votre navigateur de cette façon. Parfois, il suffit d'appuyer sur Alt-F4 pour l'éteindre.

"Pour ce faire, [le faux site] utilise du vrai code, et n'exploite généralement pas de trou", explique Boyd. Tant que vous n'avez pas pan-ic et installez le programme poussé, aucun mal réel

Bot-Based Fake Antivirus

Malheureusement, l'autre moyen que vous pourriez en-contre un faux programme antivirus est bien pire.

Joe Stewart, directeur de la recherche sur les logiciels malveillants chez SecureWorks, une société de services de sécurité pour les entreprises, suit les codes malveillants des robots pour gagner sa vie. Les criminels utilisent des ordinateurs infectés par le bot, parfois rassemblés dans d'énormes réseaux (appelés botnets) d'une centaine de milliers de systèmes, pour envoyer du spam à travers le monde. Mais ils utilisent également des bots pour télécharger des programmes antivirus malveillants et d'autres logiciels malveillants sur le PC d'une victime.

«C'est une façon éprouvée de monétiser un botnet», explique Stewart. «À peu près n'importe qui avec un botnet déjà déployé regarde potentiellement cela comme un moyen de gagner plus d'argent.»

Selon Stewart, les escrocs gagnent cet argent soit en demandant à quelqu'un de télécharger une soi-disant version d'essai de l'AV. -d'opter une technique de vente de logiciels légitime - ou en installant ce logiciel en coulisses avec un bot.

Une fois installé, le voyou utilise généralement des techniques très aggravantes, comme changer l'arrière-plan du bureau de Windows pour avertir d'un infection supposée et affichant d'autres avertissements constants, pour vous pousser à acheter la version complète du logiciel.

Vous risquez de ne pas télécharger un AV malveillant en réponse à une fenêtre contextuelle du navigateur. Mais lorsqu'on vous demande de le télécharger par un contrôleur malveillant, un robot caché ne vous donnera jamais la chance d'appliquer votre bon sens.

Si vous suivez les précautions de sécurité de base, telles que la mise à jour de votre logiciel antivirus et la prudence avec les pièces jointes et les téléchargements, vous pouvez réduire considérablement les risques d'infection par un bot ou un autre logiciel malveillant. Mais si vous voyez des fenêtres pop-up ou d'autres fausses alertes provenant d'AV non autorisés sur votre ordinateur, essayez de déterminer si elles proviennent d'un site ou d'un logiciel installé par un bot (ou par quelqu'un d'autre qui utilise le PC)

Possibilités infinies

Il existe de nombreuses variantes de la fausse escroquerie logicielle, et les tactiques des escrocs varient, donc il n'y a pas d'indicateur universel que l'on soit présent. Mais attention aux avertissements qui persistent après le redémarrage de votre PC, surtout si vous les voyez avant d'ouvrir votre navigateur. Voir une icône d'avertissement inconnue dans votre barre d'état système est un autre mauvais signe, en particulier si vous ne pouvez pas cliquer sur le bouton droit et le faire disparaître. Et si votre fond d'écran a changé, vous êtes définitivement infecté par l'antivirus, dit Boyd.

Quant à la source de cette foutaise, voici un indice. Une variété que Stewart a examinée, alors appelée "Antivirus XP 2008", vérifierait d'abord la configuration du système du PC pour voir si elle était située dans un pays avec beaucoup de Russes ethniques. Il examinera également Internet Explorer de l'utilisateur pour les visites de la version russe de Google. S'il rencontrait une telle preuve, l'installateur quitterait immédiatement sans affecter la victime potentielle. Selon Stewart, c'est "assez pour garantir que les utilisateurs russophones ne verront jamais une installation d'Antivirus XP 2008". Mais les utilisateurs d'Internet en dehors de l'ancien bloc de l'Est feraient mieux de se méfier.