La présence de produits antivirus malveillants, également appelés scareware, sur un ordinateur Microsoft Windows n’est souvent que le symptôme le plus visible d’une infection plus grave et insidieuse à l’échelle du système. Pour comprendre pourquoi, il est utile de jeter un coup d’œil à certains des réseaux de distribution d’antivirus malveillants les plus populaires qui paient les gens pour colporter des scarewares aux côtés de menaces beaucoup plus invasives.
Les distributeurs ou « affiliés » qui s’inscrivent sur avprofit.com, par exemple, ont accès à un programme d’installation qui télécharge non seulement un antivirus malveillant, mais également ZeuS, un logiciel malveillant furtif spécialisé dans l’extraction d’informations d’identification bancaires en ligne à partir d’ordinateurs infectés. . ZeuS est le logiciel malveillant directement responsable d’avoir aidé les voleurs à voler des dizaines de millions de dollars à des petites et moyennes entreprises au cours de l’année écoulée.
Avprofit dit qu’il paiera environ 1 000 $ aux affiliés pour 1 000 fois qu’ils distribuent ce programme d’installation, soit environ 1 $ par installation. En règle générale, les affiliés intègrent ces installateurs sur des sites pornographiques ou les regroupent avec des programmes semés sur des services de partage de fichiers peer-to-peer. Le cauchemar de la victime commence lorsqu’elle répond au faux avertissement anti-virus de menaces supposées résidant sur le PC de la victime, en acceptant de télécharger et d’exécuter un outil d’analyse.
Ce qui est remarquable à propos de tout cet écosystème, c’est que dans de nombreux cas, les victimes qui font exécuter ce programme d’installation sur leurs systèmes finissent souvent par payer pour l’antivirus malveillant, en plus d’abandonner sans le savoir leurs mots de passe et de confier le contrôle complet de leur ordinateur au mauvais. les gars qui dirigent ce réseau de distribution.
Les statistiques des pages internes d’Avprofit suggèrent qu’en moyenne, environ 4 % des victimes tombent dans le piège de la ruse anti-virus malveillante et utilisent leurs informations de carte de crédit pour acheter le logiciel sans valeur. Par exemple, le 28 février, un affilié a généré quelque 1 482 installations, ce qui a entraîné 66 ventes et 1 650 $ de commissions. La veille, l’affilié a enregistré 1 323 installations, ce qui a entraîné 57 ventes pour un revenu quotidien de 1 425 $.
Une copie relativement récente du programme d’installation mis à la disposition des affiliés par avprofit.com a été envoyée à deux endroits : Joebox.orgqui effectue une analyse extrêmement détaillée, automatisée et gratuite des logiciels malveillants, et Virustotal.compour voir dans quelle mesure le programme d’installation a été détecté par divers outils antivirus actuellement disponibles sur le marché.
Selon Joebox.org, le programme d’installation a déposé un fichier avec cette signature de fichier uniquequi a également été signalé par un autre scanner de logiciels malveillants gratuit et automatisé — Expert en menaces — comme ZeuS, alias « Zbot ».
Virustotal a découvert que seulement 16 des 42 produits antivirus utilisés pour analyser le fichier d’installation l’ont détecté comme malveillant.
L’adresse e-mail répertoriée dans les enregistrements d’enregistrement du site Web pour avprofit.com est « [email protected] », la même adresse e-mail utilisée pour enregistrer updatekernel.com, le site que l’installateur d’AVprofit a contacté pour récupérer le cheval de Troie ZeuS. Cette adresse e-mail est également affiliée à un certain nombre de sites Web chargés d’aider les criminels à recruter des mules financières ici aux États-Unis et à l’étranger.