Announcement: Détection PUP/PUP.Optional/LPI : Potentially Unwanted Program

PUP est l’acronyme de Potentially Unwanted Program soit donc logiciels potentiellement indésirables (LPI). Ce sont des programmes qui peuvent être non désirés mais qui peuvent tout de même être installés par l’utilisateur. Dans ces détections sont classées les adwares commerciaux ou barres d’outils qui sont proposés avec des programmes : souvent ces derniers modifient la page de démarrage et recherche afin d’augmenter le tracking, voire pour certains ouvrent des popups de publicités pour rémunérer l’éditeur.

Le schéma général est de proposer un programme gratuit et en contrepartie une barre d’outils ou un adware.  Le fond du problème est que ces éditeurs ont en général des politiques assez agressives voire trompeuses afin d’installer le plus possibles ces programmes (donc gagner plus d’argent), les utilisateurs se laissent berner et installent ces programmes sans trop savoir ce qu’il en retourne, soit ils gagnent des popups de publicité, soit ils gagnent un packs complet de logiciels (barre d’outils, comparateur d’achats) qui à terme concours à ralentir l’ordinateur.

Ces programmes potentiellement indésirables ne sont pas à sous-estimer – Microsoft, via son rapport SIR, positionne la France, fin 2011, comme championne des PUPs/Adwares.

Ces programmes parasites/publicitaires touchent Windows et commencent à se propager sur MacOSX (voir http://www.malekal.com/2014/04/18/fr-virus-publicites-pups-adwares-sur-macos/)., le principe de propager reste le même

Les méthodes de propagation

sur les moteurs de recherche

La proposition est en général via des bannières de publicités ou depuis les liens sponsoriés sur les moteurs de recherche – ici des liens Eorezo/PCTuto et des liens inconnus :

ici le programme réclame un SMS pour pouvoir s’installer…

Les arnaques par SMS sont aussi proposées en résultats de liens commerciaux sur les moteurs de recherche : Faux sites d’affiliations : arnaque SMS
Arnaques par SMS

Ou des bannières de publicités, par exemple, ci-dessous, les programmes proposés proposeront aussi le programme parasite Babylon Toolbar :

Détection PUP/LPI : Potentially Unwanted Program

et donc aussi Google Adsense :

Les sites de téléchargements

ou des sites de téléchargements qui reprennent des programmes (en général gratuits ou libres) et qui les repacks pour y ajouter ces programmes additionnels et toucher de l’argent.
J’ai commencé à faire une liste des gros sites sur cette page : http://www.malekal.com/2014/12/04/les-sites-de-telechargements-qui-repackent/
Cas de winportal.fr :

Adwares et winportal.fr

ou ci-dessous, le site koyotesoft.com qui installe les PUP Bandoo.

koyotesoft.com et bandoo

Toujours chez 01net – ce dernier refourgue une barre d’outils à l’installation de certains programmes – lire : http://www.malekal.com/2012/02/03/01net-bundle-bfm-tv-toolbar/01net bundle BFM TV Toolbar

et Softonic : http://www.malekal.com/2012/04/02/softonic-repack-de-logiciels-pups-lpis/
Le programme gratuit TDSSKiller repacké avec ajout de Bubble Dock et à la fin de l’installation une proposition pour la barre d’outils Imminent.
Softonic gagne de l’argent à chaque installation de ces logiciels additifs à partir d’un programme gratuit et donc le travail de développeurs.

Publicités incrustées lors des téléchargements

Une autre problématique lors de téléchargements sont les publicités incrustées avec de gros encarts « Télécharger » qui sautent aux yeux.
Une confusion est faite entre les boutons qui mènent au programme et ces publicités.
Les étourdis qui cliquent rapidement cliquent sur la publicité en croyant cliquer sur le bouton de téléchargement du site….
Les débutants eux, semblent avoir du mal à distinguer les publicités des boutons.
Exemple avec ce topic : http://forum.malekal.com/adwcleaner-virus-appl-installbrain-t44746.html

Exemple ci-dessous, en rouge les publicités qui mènent à des programmes parasites, en vert les boutons pour télécharger.

PUP_publicite_incrustree2 PUP_publicite_incrustree3
PUP_publicite_incrustree

 

Les sites de streaming

Autre cas des Faux plugins VLC qui imitent les barres jaunes ActiveX ou barres jaunes installation de plugins pour Firefox :

Faux Codecs VLC

Toujours sur les sites de streaming, on peut aussi avoir des sites qui réclament l’installation d’un lecteur vidéo pour soit disant visualiser les films (en général, il n’y en a pas).

Faux_Player

Qvo6_DProtect_MediaPlayer

Des HD Player qui soi disant donnent une meilleure qualités..

MiseAjourPlayerHD

C’est notamment le cas du programme WebMediaPlayer : http://www.malekal.com/2011/11/06/webplayersearch-webplayersearch-com-complitly-pups-par-faux-codec/ et http://www.malekal.com/2013/03/03/webmediaplayer-bundle-service-x86-en-silence
De faux sites de streaming ou pour regarder la TV sont créés et prétextent l’installation de WebMediaPlayer pour visualiser le contenu.

Les fausses mises à jour Flash / Java / Navigateur WEB

Plus récemment, de fausses mises à jour Flash et Java sont apparues, généralement, sur les sites de streaming.
Ces fausses publicités sont regroupées sur la page suivante : http://www.malekal.com/2012/12/10/en-how-ads-can-sucks/

En vidéo :

Les mises à jour Flash et Java sont à éviter lorsqu’elles sont proposées par un site WEB (même si ce dernier targue qu’il faut les faire pour visualiser ses vidéos – ce sont à coup sûr des arnaques) en vous balançant un exécutable.
Il faut faire les mises à jour depuis les sites officiels :

Ci-dessous, une capture d’écran d’une fausse page (funnygamel.com) qui reprend la page officielle de mise à jour Flash.
Plus d’informations : http://www.malekal.com/2013/07/21/publicites-malicieuses-fausse-mise-a-jour-flash/

Fausse_mise_a_jour_Flash

On a la même chose avec de fausses propositions de mises à jour pour les navigateurs WEB : Internet Explorer, Google Chrome et Mozilla Firefox :fake_ie_update
fake_ffox_update_videosaver_toolbar

fake_ffox_update_pricepeep_toolbar

et surtout PUP.DomalQ qui reprend carrément les vrais pages de mises à jour Flash et Java et navigateurs WEB – Plus d’informations : http://www.malekal.com/2013/12/03/nation-zoom-et-fausses-mises-a-jour-java-pup-domaiq/
Là il est particulièrement difficile pour l’internaute de faire la différence entre le vrai et le faux (à part si l’on connait un peu le fonctionnement des domaines).

DomaIq_fausse_miseajour_navigateur3

PUP_flash

PUP.DomalQ_fake_java

mais aussi les mises à jour de pilotes

PUP_maj_drivers

 

A la désinstallation des programmes parasites

Même lorsque vous désinstallez un de ces programmes parasites (ici Bubble Dock), on vous propose d’en installer d’autres.

Bien sûr les propositions sont précochées :

BubbleDock_desinstallation

En vidéo :

et sur tablette/mobile ?

Les tablettes/mobiles étant des périphériques émergeants, un marché existe, du coup, les mêmes procédés sont utilisés pour refourguer des nettoyeurs et prochainement des programmes qui modifieront les paramètres des navigateurs WEB, afficheront des publicités comme sur PC.

Voici des exemples de publicités pourries sur tablette/mobile : http://www.malekal.com/2014/01/04/publicites-pourries-sur-tablettesmobile/

Ci-dessous, une publicité qui affiche une fausse popup disant que la mémoire de la tablette est saturée :

Screenshot_2013-12-24-16-06-32

Quelques conseils lors des téléchargements

Quelques conseils pour les télécharger :

  • Évitez les résultats commerciaux des moteurs de recherche
  • Évitez certains sites de téléchargement comme telecharger.com/01net.com, clubic ou Softonic – Préférez commentcamarche.net – voir : Les sites de téléchargements qui repackent
  • Lorsque vous êtes sur un site de téléchargement, attention aux gros encarts Download/Telecharger
  • Évitez de télécharger les programmes proposés par des publicités.
  • Évitez tous les programmes proposés sur les sites de streaming
  • Durant l’installation, n’allez pas trop vite et décochez bien toutes les cases, si c’est trop compliqué, fermez le programme d’installation et téléchargez le programme sur un autre site de téléchargement.

Vous trouverez une liste des programmes parasites sur la page suivante : http://forum.malekal.com/desinfection-pups-programmes-parasites-t44500.html

Si les éditeurs d’antivirus estiment que des procédés discutables sont utilisés pour faire installer ces programmes, alors le programme sera classé en PUP : Potentially Unwanted Program.

Notez que ces programmes se désinstallent correctement pour la majorité d’entre eux. Pas besoin de passer 50 antispywares, une simple désinstallation suffit. Dans le cas des détections présentes, il faut les prendre plus à titre informatif que ayant pour but d’éradiquer le programme.

Selon l’éditeur d’antivirus, les détections PUP ne sont pas activées par défaut ou lors de détection via un scanne, les éléments PUP ne sont pas cochés, c’est à l’utilisateur de cocher s’il ne souhaite pas garder le programme ou s’il ne sait pas d’où le programme vient afin de le faire supprimer par l’antivirus.

Survol rapide des PUP/LPI pour Avast!, AVG, Malwarebyte Anti-Malware. et Antivir.

Attention cela ne protège pas à 100% – loin de là, se reporter à la page suivante pour avoir quelques exemples de ce que peux donner l’activation de ces détections : http://www.malekal.com/2013/04/10/antivirus-gratuits-et-programmes-parasites-pups-lpis/

Suppression des PUPs / LPIs

Se reporter à la page : http://forum.malekal.com/desinfection-pups-programmes-parasites-t44500.html ou au site https://www.supprimer-virus.com/

Attention aux faux blogs de sécurité, lorsqu’un internaute tombe sur ces faux blogs en tapant le nom d’un programme parasite sur Google, il pense arriver sur une procédure de désinfection, or des antispywares comme SpyHunter, YAC etc sont proposés en téléchargement en se faisant passer pour des fix spécifiques à l’infection rencontrée.

L’internaute installe et scanne avec cet anspyware qui va détecter des éléments (au moins des cookies), mais il faudra payer pour désinfecter.
L’internaute voyant que SpyHunter, YAC et autres détectent des choses va penser qu’il va pouvoir désinfecter son PC, or ce n’est pas forcément le cas, puisque les internautes ne savent en général pas lire un rapport de détections.
La seule manière de le savoir est de désinfecter et pour cela, il faut payer.

C’est donc limite une arnaque, voir la page sur les faux blogs de sécurité et affiliations : faux-blogs-securite-spyhunter-spyware-doctor-t12847.html

Se prémunir des PUPs/LPIs

WOT

WOT peux s’avérer être une extension assez utile pour identifier les sites de téléchargements trompeurs : http://www.malekal.com/2011/01/09/wot-web-of-trust/
Plus globalement, dans le cas de Firefox, se reporter à la page : Sécuriser le navigateur WEB Firefox

Blockulicious

Blockulicious est un programme sous forme d’extension sur les navigateurs WEB qui bloque les sites malicieux et notamment les publicités malicieuses.
Il est donc conseillé d’installer cette extension.
Plus d’informations sur Blockulicious : http://forum.malekal.com/blockulicious-blocage-site-malveillant-t46656.html

Blockulicious : Bloquer les sites malicieux

Activer les détections PUPs sur les antivirus

Attention l’activation des détections PUPs est loin de protéger à 100% – cela ne résout pas la problématique, il faut voir cela comme une assitance !

Avast!

Exemple avec les faux plugins VLC- où Avast! ne bronche pas.

Détection PUP et AvastActivons la détection des logiciels indésirables. Pour cela, ouvrez l’interface d’Avast! Déroulez le menu des Protections résidentes.
Allez dans dans le menu Paramètres.
Cliquez sur le menu à gauche Protections Actives.
Sur l’agent de fichiers, cliquez sur l’icone roue crantée.
Onglet à gauche sensibilité.
Cochez l’option Rechercher les logiciels potentiellemen indésirables (LPis).

Répétez l’opération pour l’agent WEB (roue crantée sur l’agent WEB et onglet sensibilité – Cochez l’option Rechercher les logiciels potentiellemen indésirables (LPis).)

Avastv9_agentsLPI

Avast! détecte maintenant le faux plugin en Win32:Zango [PUP]

Détection PUP et Avast

Détection PUP et Avast

Notez qu’Avast!, depuis sa version 8 inclue un nettoyeur de navigateur WEB qui peux permettre de supprimer les programmes parasites.

Plus d’informations dans le tutorial Avast! : http://www.malekal.com/2010/11/12/tutorial-sur-lantivirus-avast-v5/

Avast_V8_Nettoyage_navigateurs3

AVG

Pour activer les détections des programmes potentiellement dangereux.
Cliquez sur le menu Options et Options avancées.

AVG_2013_options_avancees

Déroulez le menu Protection de l’ordinateur puis Antivirus.
Activer « Signaler le jeu amélioré de programmes potentiellement dangereux »

AVG_2013_options_avancees_PUPs2

Répétez l’opération pour la partie Protection WEB => Bouclier WEB => Paramètres Avancés puis cochezl ‘option « Signaler le jeu amélioré de programmes potentiellement dangereux »

AVG_2013_options_avancees_PUPs

Malwarebyte Anti-Malware

Les détections des PUP/LPI sont activées par défaut et sont détectées en PUP.Optional.
Plus d’informations sur la configuration de Malwarebyte Anti-Malware : Tutoriel Malwarebyte Anti-Malware.

Malwarebyte_v2_scan2

Antivir

Cliquez en haut à droite sur Configuration, déroulez ensuite Général et catégories de menaces et cocher les catégories adéquates (Logiciels frauduleux).
Plus d’informations sur la configuration d’Antivir : Tutoriel Antivir.

Détection PUP et Antivir

Conclusion

Les programmes potentiellement indésirables sont de plus en plus présents sur les forums de désinfection puisque que les éditeurs sont de plus en plus agressifs afin d’installer un maximum de ces logiciels sur les PC donc gagner un maximum d’argent.
Je vous conseille donc d’activer les détections PUP/LPI, surtout si vous êtes plusieurs utilisateurs sur le PC (surtout avec les ados), cela peut limiter la casse. Néanmoins la meilleure protection reste la vigilance, n’installez pas les programmes spontanément proposés (surtout par des publicités), dans le cas d’un téléchargement, visez plutôt les sites connus (Clubic, Commentcamarche etc) et http://telecharger.malekal.com.
Évitez les barres d’outils qui ralentissent l’ordinateur (lire : Les toolbars c’est pas obligatoire!) – N’acceptez aucune installation de barre d’outils ou logiciels additionnels contenu dans celui que vous comptez installer.

Éventuellement faire un scan sur Pjjoint – ce dernier énumère ce genre de programmes que vous pouvez désinstaller manuellement : http://pjjoint.malekal.com/presentation.php

Pour mieux comprendre les détections des antivirus, vous pouvez aussi vous reporter à la page : Index des menaces et programmes malveillants/Malwares

voici un site contre les Adwares et PUPs : http://www.stoppublicites.fr

banniere_stoppublicites