Le marché lucratif des faux antivirus

Date : 06 Janvier 2009

Dans une série de deux articles publiés en octobre 2008, la société SecureWorks montre que la vente de faux antivirus peut être un marché très lucratif.

Le principe des "faux antivirus"

Ce type d'escroquerie existe depuis plusieurs années. Elle peut se produire de la manière suivante. En navigant sur Internet un internaute déclenche une fenêtre "Popup" qui l'avertit que son poste semble infecté, et lui propose de lancer un diagnostic plus poussé en téléchargeant un outil gratuit. Cet outil est en fait un cheval de Troie qui :

  • infecte le poste,
  • confirme à l'internaute que plusieurs dizaines de fichiers suspects ont été trouvés lors de l'analyse poussée (ce qui n'est pas vrai),
  • et propose un anti-virus (payant) pour désinfecter le poste.

Le scénario d'infection peut varier, mais le résultat est toujours le même : l'internaute se voit proposer d'acheter un antivirus pour désinfecter son poste. S'il ne le fait pas, son poste se comporte de façon erratique, et de multiples messages lui rappellent qu'il devrait acheter cet antivirus pour mettre fin à cette nuisance. L'antivirus en question est en fait un faux antivirus qui a pour effet principal de mettre fin aux messages d'avertissement et aux comportements erratiques en supprimant le cheval de Troie précédemment installé.

Ce phénomène de faux antivirus s'est largement amplifié durant l'année 2008. L'US-CERT a d'ailleurs émis en septembre 2008 un message d'avertissement spécifique du fait de l'ampleur de ce type d'escroquerie. Microsoft a d'ailleurs ajouté en novembre 2008 certains de ces faux antivirus (en particulier celui étudié par SecureWork dont nous parlons ci-après) dans la liste des malwares éradiqués par l'outil "Malicious Software Removal Tool" (MSRT : outil gratuit couplé à "Windows Update" qui désinfecte le poste des malwares les plus courants), et désinfecté ainsi plus de 1 400 000 ordinateurs infectés par ces faux antivirus.


Un marché apparemment lucratif

SecureWork a mené une étude sur l'un de ses faux antivirus, baptisé "Antivirus XP 2008". Il s'agit de la version 2008 d'une longue lignée de faux antivirus édités sous le label "Pandora Software". Depuis cette étude, une nouvelle version baptisée "AntiMalware 2009" semble exister.

Ce que montre SecureWork c'est que ce logiciel a quelques fonctions qui peuvent l'assimiler à un produit antivirus :

  • il dispose d'une interface d'administration complète,
  • il sait détecter quelques virus très connus,
  • et permet de modifier quelques paramètres de sécurité de Windows : par exemple éditer les clés "CurrentVersionRun" de la base de registre ou la liste des BHO installés dans Internet Explorer.

SecureWork pense que ces fonctions minimales pourraient être utilisées en cas de procès pour réfuter l'affirmation selon laquelle "Antivirus XP 2008" serait un faux antivirus.

SecureWork explique aussi la façon dont "Antivirus XP 2008" est distribué. Il a en effet identifié un site russe baptisé "Bakasoftware.com" qui propose à ses visiteurs de devenir membres du réseau de distribution de "Antivirus XP 2008". Il faut néanmoins pouvoir lire le russe et être parrainé par une personne déjà membre du réseau. Le site explique que chaque membre est rétribué en fonction du nombre d'exemplaires de l'antivirus qu'il réussira à "vendre", avec un taux de rémunération variant (en fonction des volumes vendus) de 58 à 90 % du montant de chaque vente. Les statistiques affichées sur "bakasofware.com" (et confirmées par des données volées par un hacker russe qui s'est infiltré sur ce site) donne des exemples des revenus que peuvent espérer les membres du réseau. Il indique ainsi que le meilleur vendeur a réussi à gagner  près de 146 000 US dollars en vendant près de 3000 exemplaires du logiciel en une dizaine de jours (chaque exemplaire est vendu 50 US dollars, et 2% des 150 000 victimes ont accepté d'acheter le logiciel après s'être fait infecté). Bien sûr, pour réaliser de tels scores de ventes, tous les moyens sont permis : infection via des botnets, via des sites web piégés, etc…

Ces chiffres sont extrêmes (meilleur vendeur, commission de l'ordre de 90 %), mais ils sont aussi probablement tentants pour des escrocs.

 

Une pratique répandue

Bakasoftware n'est pas un cas unique et d'autres sociétés, ailleurs dans le monde, utilisent le même type d'escroqueries. A la demande du FTC (Federal Trade Commission, organisme créé par le gouvernement américain pour la protection des consommateurs), la justice américaine a ainsi ordonné le 10/12/2008 la suspension des activités de deux sociétés américaines qui diffusaient le même type de faux antivirus.

 

Pour plus d'information

Les analyses de SecureWorks :

Précedent Précedent Suivant Suivant Imprimer Imprimer