Des publicités Google Adsense pour le malware Antivirus XP 2008

Par Xavier Poli, secuobs.com
Le 16/11/2008

---

Résumé : Des annonces publicitaires à destination du site antivirus-word-2009.com, hébergeant le malware Antivirus XP 2008, ont été diffusées à travers le réseau Google Adsense via l'achat de liens contextuels à l'aide du service Google Adwords par des personnes mal intentionnées. - Lire l'article



Le moteur de recherche Google est connu pour sa propension à nettoyer les résultats de ses recherches avec la suppression des éléments qui comportent des liens vers des sites jugés sensibles de par le fait qu’ils hébergent des codes malveillants destinés à compromettre la sécurité des ordinateurs de leurs visiteurs.

Cependant les utilisateurs des services de Google restent confrontés à certains risques et notamment ceux qui cliquent sur les annonces publicitaires contextuelles disponibles sur les différents services de Google ainsi que sur l’ensemble de son réseau de partenaires via le service Adsense ( lien ) soit une multitude de sites internet en tout genre. Il est ainsi possible pour un attaquant d’acheter des liens contextuels, via le service Google Adwords ( lien ) sur des requêtes spécifiques afin de rediriger les utilisateurs vers des codes malveillants.

Parmi ces annonces, différentes recherches ont permis de retrouver des liens vers le site « antivirus-word-2009.com » ( screenshot - lien ) qu’il n’est bien sur pas conseillé de visiter ; ces liens font la promotion de la fameuse solution de sécurité « Antivirus XP 2008 » (à ne pas confondre avec « XP Antivirus 2008 ») qui constituent au jour d’aujourd’hui l’une des menaces les plus sérieuses de l’année qui vient de s’écouler.

La robustesse de ce malware, à classer dans la catégorie des « rogue anti-malware programs » et autres « fake-antivirus », n’est plus à démontrer tant son éradication peut être une source de casse-têtes pour tout ceux qui ont eu la malchance de le rencontrer, même les utilisateurs les plus avertis. La solution la plus efficace reste souvent malheureusement le formatage et la réinstallation d’un système devenu instable notamment après le redémarrage ( BSoD - lien ).

Déjà répandu de façon intensive, le mode opératoire de celui-ci le confine au sein du cache des systèmes d’exploitation et consiste en l’apparition de boîtes de dialogue que l’on peut qualifier de « résistantes » pendant qu’il s’évertue à changer le fond d’écran de votre système d’exploitation pour quelque chose de souvent beaucoup plus voyant en ajoutant différentes icônes selon les variantes.

Ces boîtes alertent l’utilisateur de la présence d’un virus sur leur ordinateur et leur propose de télécharger une solution antivirale qui sera en mesure de les aider ; néanmoins faute de solution efficace, c’est une deuxième couche virale qui sera installée avec de multiples modifications de la base de registre. Cette seconde étape permettant au malware d’obtenir des capacités de mise à jour afin de lutter contre les solutions anti-[virales|malwares] « régulières » qui essaieraient de le contrer.

Ce qui est le plus étonnant dans la présence de ce type d’annonces au sein du système de publicité Adsense de Google, c’est que la campagne a été enregistrée auprès du service sous des intitulés assez évocateur pour qu’elle puisse être détectée par le même système de blacklists que celui qui permet qu’une requête portant sur les termes associés n’affiche aucun résultat malveillant lors de l’utilisation du service de recherche de Google.

On est donc en mesure de se poser des questions en ce qui concernent les différences qui concernent les traitements appliqués entre les deux services où l’un des deux est une source de revenu considérable pour Google. Ce dernier se serait cependant engagé dès à présent à prendre toutes les mesures nécessaires afin que la sûreté et la sécurité des utilisateurs de l’ensemble de ses services (dont les annonces) puissent être assurées avec la plus grande vigilance à l’avenir.

Tout en avouant dans le même temps être conscient de la violation caractérisée de la politique interne de la société en matière de sécurité que représente la diffusion récente de ces annonces à caractère malveillant ; la campagne précédemment citée aurait quant à elle était désactivée mais on ne peut être totalement assuré du fait que cela ne soit qu’un cas isolé.

Une étude pourtant réalisée par plusieurs membres de l'équipe sécurité de Google montrait en début d’année que 1,3% des résultats du moteur de recherche étaient infectés par des logiciels malveillants dont 0,6% du million de résultats le plus souvent renvoyé ( lien ) ; par ailleurs ce n’est pas la première fois que des liens malveillants sont insérés dans les services annexes de Google ( Liens malveillants sur le service Google Adwords - lien ).