Xylitol a publié un article très intéressant sur son blog concernant les faux antivirus, appelés couramment rogues. Sur sa demande, UnderNews relaie cet article après traduction Française et adaptation.
Xylitol est un internaute passionné de sécurité qui étudie les malwares. Il a déjà examiné une grande quantité d’échantillons de “FakeAV” et il est donc qualifié pour nous ne parler en détail.
Il a décidé de rédiger un article sur une étude concernant le rogue ‘BestAV.exe’.
Il explique qu’il a réussi s’infiltrer à l’intérieur du réseau et à découvert que c’est très bien organisé et que le groupe derrière BestAV est responsable de l’outil MS Removal Tool.
Le site principal est nommé BestAVSoft2 :
Whois du domaine :
Domain name: bestavsoft2.com
Registrant:
Ivan Shlesko (SROW-1714932)
audiodius@hotmail.com
ordinskaya 23
Kiev none
827123 UA
+3 80993362121
Administrative contact:
Ivan Shlesko (SRCO-2727745)
Ivan Shlesko
audiodius@hotmail.com
ordinskaya 23
Kiev none
827123 UA
+3 80993362121
Technical contact:
Vyacheslav Cherkashyn (SRCO-101023)
First Ukrainian Internet-Registrar LLC
info@forward.com.ua
134-4-100 Nab Pobeda
Dnepropetrovsk Dnepropetrovsk
49106 UA
+38 0563705242 fax:+38 0563705242
Domain servers in listed order:
ns3.prohosting.com.ua 213.186.192.137
netname.com.ua 91.207.44.31
Created: 02 Dec 2010 00:53:48:930 UTC
Expires: 01 Dec 2011 00:00:00:000 UTC
Last updated: 02 Dec 2010 00:53:48:930 UTC
Comme annoncé sur le blog de ScriptKiddieSec, c’est un service de FakeAV, ce qui explique pourquoi on voit une très grande quantité d’échantillons de rogues tels que MS Removal Tool chaque jour.
En effet, toute personne ayant de l’argent peut acheter ses propres copies de MS Removal Tool et faire de l’argent en infectant les internautes. Le fonctionnement du système s’effectue comme ce qui suit : 50% pour le client et 50% pour le propriétaire du site (l’équipe BestAV). On peut facilement imaginer l’énorme business que cela représente…
Les statistiques des utilisateurs de FakeAV :
Les statistiques ont été cachées ici, mais si vous voulez un exemple :
De l’argent facile…
Le téléchargement du rogue FakeAV :
Test du programme téléchargé :
La célèbre interface de MS Removal Tool :
Le faux portail de paiement mis en place :
Et les cybercriminels sont même aller jusqu’à inclure un système pour savoir quels antivirus détectent le logiciel malveillant :
Comme il est dit, ces gens là ont un très bon support dédié au cryptage du malware, afin de le rendre indétectable par les solutions de sécurité du marché :
Lien de téléchargement public du malware :
Le client peut crypter manuellement un malware via les services BestAV :
Une API dédié au cryptage est aussi disponible :
Les noms de domaines :
Le script de redirection :
Les pages d’information à propos des services, downtimes, etc :
Les conditions d’utilisations (et oui, ils ont osés en faire) :
Le service de support dédié aux clients :
Alors, quel est votre avis maintenant sur FakeAV ? N’est-il pas à la portée de tous ? Une fois encore, cela prouve que le business caché derrière la cybercriminalité est beaucoup plus important que l’on pourrait le croire…
Merci encore à Xylitol pour cette étude exclusive !
Excellent travail de la part de Xylitol, j’avoue que le back office de BestAV2 est hyper clair et franchement ça met à la portée du premier venu des outils d’arnaque. Les chiffres sont éloquents, je me demande si ils n’ont pas réfléchi ça en terme de Ecommerce plutôt qu’en terme de scareware…
Les commentaires sont fermés.