Diffusion d’adware via 01net

août 7th, 2012 | Posted by Cervoise in Français

Il y a quelques mois, une affaire a fait couler beaucoup d’encre (même si l’expression n’est pas des plus appropriées). Il s’agit de l’exécutable d’installation de notepad++ fourni par 01net qui, par la même occasion, installait une barre d’outil BFM TV (si quelqu’un possède un échantillon de cette installeur, je suis preneur).

Voici deux liens (site officiel de notepad++ et malekal.com) sur le sujet. Finalement, l’affaire s’est soldée par un retour arrière de 01net qui diffuse désormais l’installeur « original ». Cependant l’article précédent de ce blog fait état du même type de problèmes avec la version gratuite d’Avira. Ces cas ne sont pas isolés. La version de 7-zip fournie par nos amis de 01net propose aussi un adware.

Téléchargement de l’adware

Détaillons les différentes étapes de téléchargement afin d’en savoir plus. Sauf si elles interfèrent avec la navigation il sera fait abstraction du grand nombre de publicités qui se trouvent le site 01net.

La première étape consiste à se rendre sur la fiche du produit sur 01net :

Fiche de 7-zip

Fiche d’Avira

Lorsque l’on clique sur le bouton télécharger, un popup publicitaire apparaît :

Dans un même temps on est envoyé vers un site tiers, le domaine cdnus.ironcdn.com

Pour 7zip : http://cdnus.ironcdn.com/TeleCharger/7ZIP.exe
Pour Avira : http://cdnus.ironcdn.com/TeleCharger/Avira-Free-Antivirus-2012.exe

Que l’on accepte ou refuse le téléchargement la suite est la même, redirection vers une page indiquant que le téléchargement est en cours :

Fiche 7zip

Fiche Avira

Une autre redirection vers une page rappelant le soft que l’on vient de télécharger :

Fiche 7zip

Fiche Avira

Pour finir une page affichant le top des téléchargements actuels :

Analyse des pages visitées

Une rapide analyse des URLs du domaine 01net.com indique que le site est de confiance (sur la capture ci-dessus, ce sont Netcraft, WOT et Webputation qui sont utilisés). Un passage sur virustotal confirme cela.

Intéressons nous au domaine cdnus.ironcdn.com maintenant. Apparemment il est hébergé par Amazon et il semble récent. Netcraft et Webputation n’indique rien de spécifique (vert pour Netcraft et 90/100 pour Webputation), par contre WOT voit rouge.

La raison de ce score sur WOT est la présence du domaine sur MalwarePatrol.

Une analyse de ce même domaine sur virustotal retourne deux positifs (Sophos et Websense ThreatSeeker).

Si maintenant on analyse les liens proposant les exécutables on obtient respectivement 7 positifs pour 7zip et 6 pour Avira.

Analyse des fichiers

Commençons par une analyse antivirale des fichiers, sur virustotal, le fichier 7ZIP.exe retourne 18 résultats positifs, le fichier Avira-Free-Antivirus-2012.exe en retourne 15 (le 06/08/2012)

Analysons le comportement du côté utilisateur. Une première description de l’exécutable a été fait dans l’article précédent de ce blog. Cependant, même si l’exécutable est le même (même condensat MD/SHA1), le comportement de celui-ci a changé. L’installation s’effectue toujours en cinq étapes (même si l’exécutable n’en indique que 4). On devine qu’il est possible de modifier les étapes parce que les exécutables chargent le contenu de celles-ci directement sur le net.

Étape 1 sur 4

Étape 2 sur 4

Il est proposé d’installer Babylone en page d’accueil de son navigateur (cela fonctionne pour IE et Firefox mais visiblement pas pour Opera) et cela ajoute Babylon dans la liste des moteurs de recherche de Firefox.

Étape 2 sur 4 (encore et en anglais cette fois ci)

On nous propose l’installation d’un outil.

Étape 3 sur 4

L’outil télécharge le véritable exécutable d’installation.

Étape 4 sur 4

Le fichier est téléchargé (sur Windows 7 dans le répertoire C:/Users/username/Downloads) et il est proposé à l’utilisateur de l’exécuter.

Si l’on arrête l’installation, il est, bien sûr, demandé à l’utilisateur de confirmer. Si celui-ci confirme un raccourci est alors créé sur le bureau. De plus, si l’on tente d’arrêter l’installation lors du téléchargement, cela ne fait que réduire la fenêtre. Les raccourcis sont supprimés lorsque les téléchargements sont terminés.

Analysons les exécutables, en regardant les propriétés des fichiers on constate que les deux exécutables ont la même une taille (1 079 272 octets), une icône à l’image de 01net et qu’ils sont signés grâce au même certificat.

Je n’ai pas découvert d’autre produits fournit par 01net diffusant cet adware, par curiosité j’ai tenté http://cdnus.ironcdn.com/ et http://cdnus.ironcdn.com/TeleCharger qui retourne des erreurs ainsi que la recherche Google suivante : site:cdnus.ironcdn.com/TeleCharger/ mais sans résultat. Si quelqu’un trouve d’autres exemples, je suis preneur.

Une mise à jour de cet article est prévue, elle détaillera le fonctionnement des exécutables ainsi que la signature numérique utilisée.

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Time limit is exhausted. Please reload the CAPTCHA.