Symantec publie une étude sur les faux antivirus

Par Ludovic Blin, secuobs.com
Le 21/10/2009

---

Résumé : L’éditeur américain Symantec a publié une étude complète sur les faux logiciels de sécurité, couvrant la période allant de juillet 2008 à juin 2009. - Lire l'article



Les faux logiciels de sécurité sont considérés par tous les éditeurs d’antivirus comme une menace montante. En effet, cette technique est de plus en plus utilisée par les cybercriminels pour générer de l’argent directement à partir des nombreux postes utilisateurs infectés par des malwares.

L’éditeur américain Symantec a récemment rendu publique une étude sur ce phénomène, réalisée à partir de nombreuses sources de données. En effet, plus de 240 000 sondes sont installées dans le monde, ainsi que 130 millions de produits installés chez les clients de la société. Par ailleurs 2,5 millions de comptes de messageries leurres sont utilisés, et les services anti-spam de la société gèrent plus de 8 milliards de messages par jour. Enfin, le réseau de honeypots avancé WOMBAT (Worldwide Observatory of Malicious Behaviour Attacks and Threats), qui a notamment été présenté à SSTIC 2009 par Marc Dacier, directeur du laboratoire de recherche européen de Symantec ( lien ), a également été mis à contribution.

Durant la période étudiée, les chercheurs ont relevé 43 millions d’essais d’installation de plus de 250 faux antivirus différents. Le plus répandu de ces malwares se révèle être Spyware Guard 2008, suivi de Antivirus 2008 et Antivirus 2009. Pour leur distribution, ces logiciels malveillant font appel à un système d’affiliation avec un partage des sommes payées par les utilisateurs. Notons que les affiliés les plus performants peuvent se voir reverser plusieurs milliers de dollars par jour.

Fait intéressant, à partir d’une capture d’écran du site de distribution de faux antivirus TrafficConverter.biz, on remarque que sur une journée, le rapport entre installations de malwares et utilisateurs ayant payé est d’environ 2%.

Les affiliés usent de diverses techniques de distribution. Ils font ainsi appel au spam, aux techniques de « blackhat SEO » (post automatique de liens sur tout type de site), au « drive-by-download » (installation automatique lors de la visite d’un site web via une faille de sécurité), et utilisent même des bannières publicitaires.

Les organisateurs de ce genre de fraude n’hésitent pas quant à eux à enregistrer des centaines de domaines sur de courtes périodes, principalement auprès de registrars ne vérifiant pas les informations fournies, ou protégeant les coordonnées des propriétaires des domaines. Ceux-ci pointent ensuite vers un nombre beaucoup plus faible d’adresses IP, physiquement situées dans des pays différents, et hébergeant souvent également des sites légitimes.

Contrairement à d’autres activités cybercriminelles, la distribution de ces faux logiciels de sécurité ne semble donc pas faire appel à des techniques de type « fast flux ».

L’étude : lien