Détection PUP/PUP.Optional/LPI : Potentially Unwanted Program

PUP est l’acronyme de Potentially Unwanted Program soit donc logiciels potentiellement indésirables (LPI). Ce sont des programmes qui peuvent être non désirés mais qui peuvent tout de même être installé par l’utilisateur. Dans ces détections sont classées les adwares commerciaux ou barre d’outils qui sont bundles avec des programmes : souvent ces derniers modifient la page de démarrage et recherche afin d’augmenter le tracking, voir pour certains ouvrir des popups de publicités pour rémunérer l’éditeur.

Le schéma général est de proposer un programme gratuit et en contre-partie une barre d’outils ou un adware.  Le fond du problème est que ces éditeurs ont en général des politiques assez aggressives voir trompeuses afin d’installer le plus possibles ces programmes (et donc gagner plus d’argent), l’utilisateur se laissent berner et installent ces programmes sans trop savoir ce qu’il en retourne, soit ils gagnent des popups de publicité, soit ils gagnent un packs complet de logiciels (barre d’outils, comparateur d’achats) qui a terme concours à ralentir l’ordinateur.

Ces programmes potentiellement indésirables ne sont pas à sous-estimer – Microsoft, via son rapport SIR, positionnant la France, fin 2011, comme championne des PUPs/Adwares.

Ces programmes parasites/publicitaires touchent Windows et commencent à se propager sur MacOSX (voir http://www.malekal.com/2014/04/18/fr-virus-publicites-pups-adwares-sur-macos/)., le principe pour se propager reste le même

Les méthodes de propagation

sur les moteurs de recherche

La proposition est en général via des bannières de publicités ou depuis les liens sponsoriés sur les moteurs de recherche – ici des liens Eorezo/PCTuto et des liens inconnus :

ici le programme réclame un SMS pour pouvoir s’installer…

Les arnaques par SMS sont aussi proposés en résultats de liens commerciaux sur les moteurs de recherche : Faux sites d’affiliations : arnaque SMS
Arnaques par SMS

Ou des bannières de publicités, par exemple, ci-dessous, les programmes proposés proposeront aussi le programme parasite Babylon Toolbar :

Détection PUP/LPI : Potentially Unwanted Program

et donc aussi Google Adsense :

Les sites de téléchargements

ou des sites de téléchargements qui reprennent des programmes (en général gratuits ou libres) et qui les repacks pour y ajouter ces programmes additionnels et toucher de l’argent.
Cas de winportal.fr :

Adwares et winportal.fr

ou ci-dessous, le site koyotesoft.com qui installe les PUP Bandoo.

koyotesoft.com et bandoo

Toujours chez 01net – ce dernier refourgue une barre d’outils à l’installation de certains programmes – lire : http://www.malekal.com/2012/02/03/01net-bundle-bfm-tv-toolbar/01net bundle BFM TV Toolbar

et Softonic : http://www.malekal.com/2012/04/02/softonic-repack-de-logiciels-pups-lpis/
Le programme gratuit TDSSKiller repacké avec ajout de Bubble Dock et à la fin de l’installation une proposition pour la barre d’outils Imminent.
Softonic gagne de l’argent à chaque installation de ces logiciels additifs à partir d’un programme gratuit et donc le travail de développeurs.

Publicités incrustées lors des téléchargements

Une autre problématique lors de téléchargements sont les publicités incrustées avec de gros encarts « Télécharger » qui sautent yeux.
Une confusion est faite entre les boutons qui mènent au programme et ces publicités.
Les étourdis qui clics rapidement cliquent sur la publicité en croyant cliquer sur le bouton de téléchargement du site….
Les débutants eux, semblent avoir du mal à distinguer les publicités des boutons.
Exemple avec ce topic : http://forum.malekal.com/adwcleaner-virus-appl-installbrain-t44746.html

Exemple ci-dessous, en rouge les publicités qui mènent à des programmes parasites, en vert les boutons pour télécharger.

PUP_publicite_incrustree2 PUP_publicite_incrustree3
PUP_publicite_incrustree

 

Les sites de streaming

Autre cas des Faux plugins VLC qui imitent les barres jaunes ActiveX ou barres jaunes installation de plugins pour Firefox :

Faux Codecs VLC

Toujours sur les sites de streaming, on peux aussi avoir des sites qui réclament l’installation d’un lecteur vidéo pour soit disant visualiser les films (en général, y en a pas).

Faux_Player

Qvo6_DProtect_MediaPlayer

Des HD Player qui soit disant donne de meilleurs qualités..

MiseAjourPlayerHD

C’est notamment le cas du programme WebMediaPlayer : http://www.malekal.com/2011/11/06/webplayersearch-webplayersearch-com-complitly-pups-par-faux-codec/ et http://www.malekal.com/2013/03/03/webmediaplayer-bundle-service-x86-en-silence
De faux sites de streaming ou pour regarder la TV sont créés et prétexte l’installation de WebMediaPlayer pour visualiser le contenu.

Les fausses mises à jour Flash / Java / Navigateur WEB

Plus récemment, de fausses mises à jour Flash et Java sont proposés, généralement, sur les sites de streaming.
Ces fausses publicités sont regroupées sur la page suivante : http://www.malekal.com/2012/12/10/en-how-ads-can-sucks/

en vidéo :

Les mises à jour Flash et Java sont à éviter lorsqu’elles sont proposées par un site WEB (même si ce dernier targue qu’il faut les faire pour visualiser ses vidéos – ce sont à coup sûr des arnaques) en vous balançant un exécutable.
Il faut faire les mises à jour depuis les sites officiels :

Ci-dessous, une capture d’écran d’une fausse page (funnygamel.com) qui reprend la page officielle de mise à jour Flash.
Plus d’informations : http://www.malekal.com/2013/07/21/publicites-malicieuses-fausse-mise-a-jour-flash/

Fausse_mise_a_jour_Flash

On a la même chose avec de fausses propositions de mises à jour pour les navigateurs WEB : Internet Explorer, Google Chrome et Mozilla Firefox :fake_ie_update
fake_ffox_update_videosaver_toolbar

fake_ffox_update_pricepeep_toolbar

et surtout PUP.DomalQ qui reprend carrément les vrais pages de mises à jour Flash et Java et navigateurs WEB – Plus d’informations : http://www.malekal.com/2013/12/03/nation-zoom-et-fausses-mises-a-jour-java-pup-domaiq/
Là il est particulièrement difficile pour l’internaute de faire la différence entre le vrai et le faux (à part si l’on connait un peu le fonctionnement des domaines).

DomaIq_fausse_miseajour_navigateur3

PUP_flash

PUP.DomalQ_fake_java

mais aussi les mises à jour de pilotes

PUP_maj_drivers

 

A la désinstallation des programmes parasites

Même lorsque vous désinstallez un de ces programmes parasites (ici Bubble Dock), on vous propose d’en installer d’autres.

Bien sûr les propositions sont précochées :

BubbleDock_desinstallation

En vidéo :

et sur tablette/mobile ?

Les tablettes/mobiles étant des périphériques émergeants, un marché existe, du coup, les mêmes procédés sont utilisés pour refourguer des nettoyeurs et prochainement des programmes qui modifieront les paramètres des navigateurs WEB, afficheront des publicités comme sur PC.

Voici des exemples de publicités pourries sur tablette/mobile : http://www.malekal.com/2014/01/04/publicites-pourries-sur-tablettesmobile/

Ci-dessous, une publicité qui affiche une fausse popup disant que la mémoire de la tablette est saturée :

Screenshot_2013-12-24-16-06-32

Quelques conseils lors des téléchargements

Quelques conseils pour les télécharger :

  • Evitez les résultats commerciaux des moteurs de recherche
  • Evitez certains sites de téléchargement comme telecharger.com/01net.com ou Softonic – Préférez Clubic ou commentcamarche.bet
  • Lorsque vous êtes sur un site de téléchargement, attention aux gros encarts Download/Telecharger
  • Evitez de télécharger les programmes proposés sur les publicités.
  • Evitez tous les programmes proposés sur les sites de streaming
  • Durant l’installation, n’allez pas trop vite et décochez bien toutes les cases, si c’est trop compliqué, fermez le programme d’installation et téléchargez le programme sur un autre site (plutôt clubic.com ou commentcamarche.net)

Vous trouverez une liste des programmes parasites sur la page suivante : http://forum.malekal.com/desinfection-pups-programmes-parasites-t44500.html

Si les éditeurs d’antivirus estiment que des procédés discutables sont utilisés pour faire installer ces programmes, alors le programme sera classé en PUP : Potentially Unwanted Program.

Notez que ces programmes se désinstallent correctement pour la majorité d’entre eux. Pas besoin de passer 50 antispywares, une simple désinstallation suffit. Dans le cas des détections présentes, il faut les prendre plus à titre informatique que pour ayant but d’éradiquer le programme.

Selon l’éditeur d’antivirus, les détections PUP ne sont pas activées par défaut ou lors de détection via un scanne, les éléments PUP ne sont pas cochés, c’est à l’utilisateur de cocher s’il ne souhaite pas garder le programme ou s’il ne sait pas d’où le programme vient afin de le faire supprimer par l’antivirus.

Survol rapide des PUP/LPI pour Avast!, AVG, Malwarebyte Anti-Malware. et Antivir.

Attention cela ne protège pas à 100% – loin de là, se reporter à la page suivante pour avoir quelques exemples de ce que peux donner l’activation de ces détections : http://www.malekal.com/2013/04/10/antivirus-gratuits-et-programmes-parasites-pups-lpis/

Suppression des PUPs / LPIs

Se reporter à la page : http://forum.malekal.com/desinfection-pups-programmes-parasites-t44500.html

Attention aux faux blogs de sécurité, lorsqu’un internaute tombe sur ces faux blogs en tapant le nom d’un programme parasite sur Google, il pense arriver sur une procédure de désinfection, or des antispywares comme SpyHunter, YAC etc sont proposés en téléchargement en étant passé pour des fix spécifiques à l’infection rencontrée.

L’internaute installe et scanne avec cet anspyware qui va détecter des éléments (au moins des cookies), mais il faudra payer pour désinfecter.
L’internaute voyant que SpyHunter, YAC et autres détectent des choses va penser qu’il va pouvoir désinfecter son PC, or ce n’est pas forcément le cas, puisque les internautes ne savent en général pas lire un rapport de détections.
La seule manière de le savoir et de désinfecter et pour cela, il faut payer.

C’est donc limite une arnaque, voir la page sur les faux blogs de sécurité et affiliations : faux-blogs-securite-spyhunter-spyware-doctor-t12847.html

Se prémunir des PUPs/LPIs

WOT

WOT peux s’avérer être une extension assez utile pour identifier les sites de téléchargements trompeurs : http://www.malekal.com/2011/01/09/wot-web-of-trust/
Plus globalement, dans le cas de Firefox, se reporter à la page : Sécuriser le navigateur WEB Firefox

HOSTS Anti-PUPs/Adwares

HOSTS Anti-PUPs/Adware modifie votre fichier HOSTS afin de vous protéger des sites distribuant les PUPs/LPIs et Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

HOSTS Anti-PUPs/Adwares

Activer les détections PUPs sur les antivirus

Attention l’activation des détections PUPs est loin de protéger à 100% – cela ne résoud pas la problématique, il faut voir cela comme une assitance !

Avast!

Exemple avec les faux plugins VLC- où Avast! ne bronche pas.

Détection PUP et AvastActivons la détection des logiciels indésirables. Pour cela, ouvrez l’interface d’Avast! Déroulez le menu des Protections résidentes.
Allez dans dans le menu Paramètres.
Cliquez sur le menu à gauche Protections Actives.
Sur l’agent de fichiers, cliquez sur l’icone roue crantée.
Onglet à gauche sensibilité.
Cochez l’option Rechercher les logiciels potentiellemen indésirables (LPis).

Répétez l’opération pour l’agent WEB (roue crantée sur l’agent WEB et onglet sensibilité - Cochez l’option Rechercher les logiciels potentiellemen indésirables (LPis).)

Avastv9_agentsLPI

Avast! détecte maintenant le faux plugin en Win32:Zango [PUP]

Détection PUP et Avast

Détection PUP et Avast

Notez qu’Avast!, depuis sa version 8 inclue un nettoyeur de navigateur WEB qui peux permettre de supprimer les programmes parasites.

Plus d’informations dans le tutorial Avast! : http://www.malekal.com/2010/11/12/tutorial-sur-lantivirus-avast-v5/

Avast_V8_Nettoyage_navigateurs3

AVG

Pour activer les détections des programmes potentiellement dangereux.
Cliquez sur le menu Options et Options avancées.

AVG_2013_options_avancees

Déroulez le menu Protection de l’ordinateur puis Antivirus.
Activer « Signaler le jeu amélioré de programmes potentiellement dangereux »

AVG_2013_options_avancees_PUPs2

Répétez l’opération pour la partie Protection WEB => Bouclier WEB => Paramètres Avancés puis cochezl ‘option « Signaler le jeu amélioré de programmes potentiellement dangereux »

AVG_2013_options_avancees_PUPs

Malwarebyte Anti-Malware

Les détections des PUP/LPI sont activées par défaut, mais ces dernières ne sont pas cochées lors des détections. C’est à l’utilisateur de sujet si le programme est le bienvenue sur son ordinateur et de le supprimer en cas de doute.
Plus d’informations sur la configuration de Malwarebyte Anti-Malware : Tutoriel Malwarebyte Anti-Malware.

Détection PUP et Malwarebyte

Antivir

Cliquez en haut à droite sur Configuration, déroulez ensuite Général et catégories de menaces et cocher les catégories adéquates (Logiciels frauduleux).
Plus d’informations sur la configuration d’Antivir : Tutoriel Antivir.

Détection PUP et Antivir

Conclusion

Les programmes potentiellement indésirables sont de plus en plus présents sur les forums de désinfection puisque que les éditeurs sont de plus en plus aggressifs afin d’installer un maximum de ces logiciels sur les PC et donc gagner un maximum d’argent.
Je vous conseille donc d’activer les détections PUP/LPI, surtout si vous êtes plusieurs utilisateurs sur le PC (surtout avec les ados), cela peux limiter la casse, néanmoins la meilleur protection reste la vigilance, n’installez pas les programmes proposés (surtout par des publicités), dans le cas d’un téléchargement, visez plutôt les sites connus (Clubic, Commentcamarche etc).
Évitezles barres d’outils qui ralentissent l’ordinateur (lire : Les toolbars c’est pas obligatoire!) – N’acceptez aucune installation d’aucune barre d’outils ou logiciels additionnels contenu dans celui que vous comptez installer.

Éventuellement faire un scan sur Pjjoint – ce dernier énumère ce genre de programmes que vous pouvez désinstaller manuellement : http://pjjoint.malekal.com/presentation.php

Pour mieux comprendre les détections des antivirus, vous pouvez aussi vous reporter à la page : Index des menaces et programmes malveillants/Malwares

voici un site contre les Adwares et PUPs : http://www.stoppublicites.fr

banniere_stoppublicites