Détection PUP/LPI : Potentially Unwanted Program

PUP est l’acronyme de Potentially Unwanted Program soit donc logiciels potentiellement indésirables (LPI). Ce sont des programmes qui peuvent être non désirés mais qui peuvent tout de même être installé par l’utilisateur. Dans ces détections sont classées les adwares commerciaux ou barre d’outils qui sont bundles avec des programmes : souvent ces derniers modifient la page de démarrage et recherche afin d’augmenter le tracking, voir pour certains ouvrir des popups de publicités pour rémunérer l’éditeur.

Le schéma général est de proposer un programme gratuit et en contre-partie une barre d’outils ou un adware.  Le fond du problème est que ces éditeurs ont en général des politiques assez aggressives voir trompeuses afin d’installer le plus possibles ces programmes (et donc gagner plus d’argent), l’utilisateur se laissent berner et installent ces programmes sans trop savoir ce qu’il en retourne, soit ils gagnent des popups de publicité, soit ils gagnent un packs complet de logiciels (barre d’outils, comparateur d’achats) qui a terme concours à ralentir l’ordinateur.

Ces programmes potentiellement indésirables ne sont pas à sous-estimer – Microsoft, via son rapport SIR, positionnant la France, fin 2011, comme championne des PUPs/Adwares.

Les méthodes de propagation

La proposition est en général via des bannières de publicités ou depuis les liens sponsoriés sur les moteurs de recherche – ici des liens Eorezo/PCTuto et des liens inconnus :

ici le programme réclame un SMS pour pouvoir s’installer…

Ou des bannières de publicités qui sont par exemple la promotion de Babylon Toolbar :

et donc aussi Google Adsense :

ou des sites de téléchargements qui reprennent des programmes (en général gratuits ou libres) et qui les repacks pour y ajouter ces programmes additionnels et toucher de l’argent.
Cas de winportal.fr :

ou ci-dessous, le site koyotesoft.com qui installe les PUP Bandoo.

ou des tutoriels qui installe un adware proposé par 01net – 01net touche un pourcentage à chaque installation réussie, c’est le système des affiliations :

Toujours chez 01net – ce dernier refourgue une barre d’outils à l’installation de certains programmes – lire : http://www.malekal.com/2012/02/03/01net-bundle-bfm-tv-toolbar/

et Softonic : http://www.malekal.com/2012/04/02/softonic-repack-de-logiciels-pups-lpis/
Le programme gratuit TDSSKiller repacké avec ajout de Bubble Dock et à la fin de l’installation une proposition pour la barre d’outils Imminent.
Softonic gagne de l’argent à chaque installation de ces logiciels additifs à partir d’un programme gratuit et donc le travail de développeurs.

 

Autre cas des Faux plugins VLC qui imitent les barres jaunes ActiveX ou barres jaunes installation de plugins pour Firefox :

Les arnaques par SMS sont aussi proposés en résultats de liens commerciaux sur les moteurs de recherche : Faux sites d’affiliations : arnaque SMS

 

En vidéo :

D’où l’importance des  sources de téléchargements – NE PAS TELECHARGER de programmes proposés en publicités ou liens sponsorisés sur les moteurs de recherche.

Faire attention aussi durant l’installation car les sites de téléchargement s’y mettent, lire : On te pourrit le net (et vos PC) – Acte 3 : le tour des sites de téléchargement

Sur les forums de désinfection, on retrouve souvent les mêmes programmes qui posent problème, à savoir :

• Faux plugins VLC : avec les packs ShoppertsReports, Zango, Hotbar, QuestScan etc
• Les programmes type Offerbox, SweetIM, FissaSearch
• Search Settings / Dealio Toolbar / PDFForge Toolbar
• WhiteSmoke / Bandoo / Fun4IM / searchqutb / Quick Web Player
• SearchQu / Bandoo
• Babylon Toolbar
• SoftwarePack/PowerPack – autre pack PUPs/LPis par faux pluggin VLC
• Les programmes Eorezo / PCTuto

Si les éditeurs d’antivirus estiment que des procédés discutables sont utilisés pour faire installer ces programmes, alors le programme sera classé en PUP : Potentially Unwanted Program.

Notez que ces programmes se désinstallent correctement pour la majorité d’entre eux. Pas besoin de passer 50 antispywares, une simple désinstallation suffit. Dans le cas des détections présentes, il faut les prendre plus à titre informatique que pour ayant but d’éradiquer le programme.

Selon l’éditeur d’antivirus, les détections PUP ne sont pas activées par défaut ou lors de détection via un scanne, les éléments PUP ne sont pas cochés, c’est à l’utilisateur de cocher s’il ne souhaite pas garder le programme ou s’il ne sait pas d’où le programme vient afin de le faire supprimer par l’antivirus.

Survol rapide des PUP/LPI pour Avast!, AVG, Malwarebyte Anti-Malware. et Antivir.

Avast!

Exemple avec les faux plugins VLC- où Avast! ne bronche pas.

Activons la détection des logiciels indésirables. Pour cela, ouvrez l’interface d’Avast! Déroulez le menu des Protections résidentes.
Allez dans Agent des Fichiers. Cliquez à droite sur Réglages Experts

A gauche, dans la liste des onglets, cliquez sur Sensibilité.
Activez l’option Rechercher les logiciels potentiellement indésraibles (LPIs). Répétez l’opération pour l’agent WEB.

Notez que le réglages Sensibilité disponible par agent, l’est aussi sur le réglage des scans afin d’activer les détections des LPIs lors des scans à la demande.

Avast! détecte maintenant le faux plugin en Win32:Zango [PUP]

AVG

Pour activer les détections des programmes potentiellement dangereux. Cliquez sur le menu Outils et Options avancées.
Déroulez le menu Analyses et pour Analyse Complète et Analyse contextuelle.
Activer « Signaler les programmes potentiellement dangereux et les spywares » ainsi que « Signaler le jeu amélioré de programmes potentiellement dangereux »

Répétez l’opération pour la partie Bouclier résident.

AVG signale maintenant les programmes potentiellements dangereux.

De même lors des scans à la demande.

 Malwarebyte Anti-Malware

Les détections des PUP/LPI sont activées par défaut, mais ces dernières ne sont pas cochées lors des détections. C’est à l’utilisateur de sujet si le programme est le bienvenue sur son ordinateur et de le supprimer en cas de doute.
Plus d’informations sur la configuration de Malwarebyte Anti-Malware : Tutoriel Malwarebyte Anti-Malware.

Antivir

Cliquez en haut à droite sur Configuration, déroulez ensuite Général et catégories de menaces et cocher les catégories adéquates (Logiciels frauduleux).
Plus d’informations sur la configuration d’Antivir : Tutoriel Antivir.

WOT

WOT peux s’avérer être une extension assez utile pour identifier les sites de téléchargements trompeurs : http://www.malekal.com/2011/01/09/wot-web-of-trust/
Plus globalement, dans le cas de Firefox, se reporter à la page : Sécuriser le navigateur WEB Firefox

HOSTS Anti-PUPs/Adwares

HOSTS Anti-PUPs/Adware modifie votre fichier HOSTS afin de vous protéger des sites distribuant les PUPs/LPIs et Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

Conclusion

Les programmes potentiellement indésirables sont de plus en plus présents sur les forums de désinfection puisque que les éditeurs sont de plus en plus aggressifs afin d’installer un maximum de ces logiciels sur les PC et donc gagner un maximum d’argent.
Je vous conseille donc d’activer les détections PUP/LPI, surtout si vous êtes plusieurs utilisateurs sur le PC (surtout avec les ados), cela peux limiter la casse, néanmoins la meilleur protection reste la vigilance, n’installez pas les programmes proposés (surtout par des publicités), dans le cas d’un téléchargement, visez plutôt les sites connus (Clubic, Commentcamarche etc).
Évitezles barres d’outils qui ralentissent l’ordinateur (lire : Les toolbars c’est pas obligatoire!) – N’acceptez aucune installation d’aucune barre d’outils ou logiciels additionnels contenu dans celui que vous comptez installer.

Éventuellement faire un scan sur Pjjoint – ce dernier énumère ce genre de programmes que vous pouvez désinstaller manuellement : http://pjjoint.malekal.com/presentation.php

Pour mieux comprendre les détections des antivirus, vous pouvez aussi vous reporter à la page : Index des menaces et programmes malveillants/Malwares