Réapparition de Protector Rogue

 



Réapparition de Protector Rogue


Comme décrit dans notre post récemment publié " [Vous devez être inscrit et connecté pour voir ce lien] " dans cette même section, il y a un bon nombre de possibilités par lesquelles les malwares peuvent finir par débarquer sur votre ordinateur.  Un des modes d’entrée les plus communs est par un troyen qui vous dupe à l’installer en se déguisant en plugin-in ou application utile:
[Vous devez être inscrit et connecté pour voir cette image]
Les logiciels de sécurité falsifiés sont un type de troyens qui prétendent être un logiciel anti-virus, et en ce moment, il y en a un qui, très ennuyeux, se répand sur Internet et ressemble beaucoup au Protector Rogue de 2012.
Le Protector Rogue doit son nom au fichier nommé protector-xxx.exe (x pouvant être des lettres quelconques).  Ce malware était très répandu jusqu’à son extinction au mois de septembre de l’année dernière.  Cette nouvelle version a le nom de fichier guard-xxx.exe et la valeur de registre GuardSoftware.
Comme les pirates informatiques tendent à être généralement paresseux, ils ont l’habitude de baser un nouveau malware sur d’anciennes versions, et GuardSoftware contient un bon nombre des composants de Protector.  En fait, malgré le nom modifié, même l’interface utilisateur graphique (IUG) conserve le design de Windows XP.
[Vous devez être inscrit et connecté pour voir cette image]
Cette interface non modifiée est un bon indice pour tout utilisateur de systèmes d’exploitation plus récents que XP.  Les auteurs de GuardSoftware ont quand même mis en place quelques nouveaux trucs, et c’est grâce à ceux-ci que le malware fonctionne.  La routine d’installation de GuardSoftware ou le dropper a une signature numérique valable, ce qui le rend plus digne de confiance au premier abord et lui permet de contourner certaines formes de détection heuristique.
[Vous devez être inscrit et connecté pour voir cette image]
En même temps, GuardSoftware se sert de techniques de hijacking que l’on n’a pas encore vues dans des logiciels falsifiés comparables.  Une fois installé, GuardSoftware redémarre votre ordinateur et puis bloque l’accès à votre bureau en vous montrant une fenêtre « Analyse en cours »
[Vous devez être inscrit et connecté pour voir cette image]
Cette fenêtre est censé duper les utilisateurs à faire confiance à GuardSoftware, et il y a même une option nommée « Désactiver » dans le menu.  Cette option débloque votre bureau, mais l’analyse ne sera pas terminée pour autant.  Celle-ci continuera en arrière-plan, et vous verrez sans cesse des fenêtre pop-up vous indiquant que votre ordinateur est infecté, tout ceci visant à vous persuader d’acheter la version complète de GuardSoftware, si vous saisissez les détails de votre carte de crédit dans une fenêtre qui ressemble à celle qui suit :
[Vous devez être inscrit et connecté pour voir cette image]
GuardSoftware est un des premiers logiciels falsifiés à se servir de ces blocages d’écran, qui étaient, dans le passé, réservés aux rançongiciels.  Dans le passé, Protector Rogue ne faisait qu’intimider les utilisateurs en montrant des messages terrifiants, tels que « VOTRE ORDINATEUR EST INFECTÉ » ou « PROTECTOR A TROUVÉ 136 VIRUS SUR VOTRE ORDINATEUR!!! ».  Il semble que ceux qui ont développé GuardSoftware ont reconnu que la plupart des utilisateurs d’ordinateurs ne sont plus si naïfs, de sorte qu’une approche plus raffinée est de mise.
Cette famille de logiciels falsifiés emploient un bon nombre de noms, tels que Windows Expert Console, Windows Cleaning Toolkit et Windows Active Hotspot. En bas, vous voyez quelques listes de hash SHA1 pour ces variantes :

•  FAAB416D4423F08337707D6FC15FA4ACA143D9BE
  
• 2966D9B0B7B27C1CA2FA46F93E26E82FBB7FE64C
  
• CB8B40EACC05C5D34396D70C9B9C1D931A780517