Eorezo / PCTuto / Tuto4PC: Pourquoi les antivirus ne détectent rien ?

Suite des épisodes sur PCTuto / Tuto4PC, alors qu’un enième sujet de problème de publicité lié à PCTuto / Tuto4PC vient de pointre sur Commentcamarche.net : pub intempestive pctuto.

Une discussion sur ces programmes PCTuto / Tuto4PC avait été initiée sur CommentCamarche, il y a plusieurs jours  suite à l’affaire Sebsauvage/Tuto4PC
Les helpers qui désinfectent des PC ne comprennent pas comment cela se fait que le les installers de ces tutoriels ne soient détectés en tant qu’adware (ou à la limite PUP – Potentially Unwanted Programs)  et qu’en envoyant l’installer, les antivirus retournent « clean »: http://www.commentcamarche.net/forum/affich-22568345-eorezo-pctuto-etc-et-sebsauvage?page=2#77

Eorezo/PCTuto/Tuto4PC et Antivir

 

Voici les détections d’un installer :

File name: tuto4pc.exe
 Submission date: 2011-07-13 11:10:56 (UTC)
 Current status: finished
 Result: 0 /43 (0.0%)
 => http://www.virustotal.com/file-scan/report.html?id=e917efc2a0a09d05492b02169230f8ce0f8888c0338908cb8a72458571db4cd6-1310555456

Cela fait quelques années maintenant, que je cotoyes les éditeurs d’antivirus en envoyant tous les jours les droppers que je récupère.
Parfois l’ajout d’une détection peux s’avérer compliqué. Une possible explication sur le pourquoi du « clean ».

Le processus d’installation des programmes Eorezo/PCTuto/Tuto4PC

Tous les programmes Eorezo sont basés sur ce schéma. Les programmes Eorezo existant depuis plusieurs années, la nouvelle partie étant les tutoriels.

Le programme d’installation ajoute les composants suivants :

O2 – BHO: PCTBHO – {293A63F7-C3B6-423a-9845-901AC0A7EE6E} – C:\Program Files\PCTuto\pctutoBHO.dll
O4 – HKLM\..\Run: [PCTuto] « C:\Program Files\PCTuto\pctuto.exe »
O4 – HKLM\..\Run: [autoupdater] C:\Documents and Settings\Mak\Application Data\PCTuto\PCTuto\autoupdater.exe

On se retrouve donc avec un dossier C:\Program Files\PCTuto\ qui contient le programme du Tuto et sa BHO (possible que ce soit elle, qui s’occupe du tracking)
et %APPDATA%\PCTuto\PCTuto qui contient deux fichiers : autoupdater.exe et UpdatePCTuto.exe
Au vu des noms de ces deux fichiers, on peux penser qu’ils servent à mettre à jour les programmes Eorezo/PCTuto/Tuto4PC.

pctuto.exe et autoupdater.exe sont lancés au démarrage par des clefs Run.

A la fin de l’installation, on a une étape qui demande le numéro de téléphone … (si l’internaute tape son numéro, il sera certainement récupérer dans des listings puis revendus, comme cela est stipulé dans les conditions d’utilisations de ce logiciel, se reporter à la page PCTuto / Tuto4PC).

 

On voit que UpdatePCTuto.exe tente de lancer un fichier sufr.exe

puis une page de publicité s’ouvre sur Internet Explorer

puis le programme d’installation démarre un fichier webinstaller

qui va télécharger sur internet, le programme d’execution du tutorial choisi…

Eorezo / PCTuto / Tuto4PC : installation… dans mon cas Dreamviewer

Eorezo / PCTuto / Tuto4PC : installation

Comment les popups de publicité s’ouvrent ?

Et bien tout simplement de la même manière que durant l’installation.
autoupdater.exe lance périodiquement UpdatePCTuto.exe qui à son lance sufr.exe – notez que le ficheir sufr.exe peut-être téléchargé à cette adresse :

1310632831.271    140 192.168.1.27 TCP_MISS/200 21061 GET http://dfr.pctuto.com/download/sufr.exe?jUrMqP9yIX6VJMXQJgkQsXu4bY1OY78bPK9kvqCyo5afUAjJ6jSlfUzhyQNZ%2FfnhqbU0aXxYWfxdKA0OdHfbWImjjEjVfNka%2FO%2F3l%2F62qHX3Oe5yke50%2F2co4vzGqxHz5mEu%2Fril3GqAgCRg5XCF0x4WP7AAZ7uXWu4H3xR8zFQ%3D - DIRECT/94.23.11.115 application/x-msdos-program

PCTuto / Tuto4PC: Pourquoi les antivirus ne détectent rien ?

sufr.exe est un simple programme qui est là que pour lancer Internet Explorer et contacter http://ads.eorezo.com/cgi-bin/advert/getads?x_dp_id=[id]

PCTuto / Tuto4PC: Pourquoi les antivirus ne détectent rien ?

PCTuto / Tuto4PC: Pourquoi les antivirus ne détectent rien ?

ads.eorezo.com contacte ensuite su600.com qui passe par la régie advertstream.com pour affiche la publicité :

1310594922.271     60 192.168.1.27 TCP_MISS/302 1133 GET http://ads.eorezo.com/cgi-bin/advert/getads?x_dp_id=43 - DIRECT/94.23.233.84 text/html
1310594922.334     51 192.168.1.27 TCP_MISS/302 413 GET http://su600.com/publicite/com/zone.php?zone=25824 - DIRECT/188.165.32.93 text/html
1310594922.404     66 192.168.1.27 TCP_MISS/302 1560 GET http://su600.com/a/adjs2.php?zoneid=25824 - DIRECT/87.98.135.156 application/x-javascript
1310594922.483     62 192.168.1.27 TCP_MISS/302 789 GET http://l.advertstream.com/?npyLlpCRwp6ZmZacl56YmtmdnpGRmo2Wm8LLyc7PyNmck5aakYuWm8LOzcrKydmFkJGalpvCzcrHzcvZnpmZlpOWnoualpvCzs3Ox8/Zi4aPmqCdnpGRlpqNmsLI2YyQio2cmsLZkaCWm5qRi5aZlpyei5aQkcLNysfNy87Nx87Kz83Hy8/Zlo/[...] - DIRECT/188.165.32.91 image/gif
1310595178.321     64 192.168.1.27 TCP_MISS/302 964 GET http://l.advertstream.com/a/adclick.php?n_clic=25824986557540809&cpme=mRY7nCHJ-IMNp0nio2op7_c&bannerid=49464&zoneid=25824&log=no&dest=http%3A%2F%2Fsu600.com%2Fr.php%3Fdest%3Dhttp%253A%252F%252Fwww.vipmobile.fr%252Fgriffin.aspx%253Fsource%253Dad_webprtn - DIRECT/188.165.32.91 text/html

Dans le cas où sufr.exe est supprimé, c’est le programme principal qui se charge de lancer Internet Explorer avec l’adresse ads.eorezo.com –
notez que sufr.exe est remis en place.

 

Les détections

Les installers ne sont pas détectés.
Les fichiers webinstaller utilisés durant l’installation le sont.

File name: webinstaller_df.exe (celui utilisé par les programmes PCTuto)
Submission date: 2011-07-13 11:20:32 (UTC)
Current status: finished
Result: 1/ 43 (2.3%)
Avast5    5.0.677.0    2011.07.13    Win32:Eorezo-B [PUP]
=> http://www.virustotal.com/file-scan/report.html?id=f13a90f5dbfd6a0d9603f04433f8f9191fd11dcd1b5f31e6e55900d613793c15-1310556032

 

File name: webinstaller_ae.exe (celui utilisé par le site Agence-Exclusive)
Submission date: 2011-07-14 08:33:07 (UTC)
Current status: finished
Result: 2/ 43 (4.7%)
Avast5    5.0.677.0    2011.07.14    Win32:Adware-gen
NOD32    6292    2011.07.14    Win32/Adware.BHO.NHX

=> http://www.virustotal.com/file-scan/report.html?id=545068f49e63c9eaf25c1b8e7d544920a98b9ab657da43b421a2b53d4139df0f-1310632387

Big Up à Avast!

~~

 

Au niveau des URLs, Trend-Micro les bloquent – au vu des détections précédents, il est fort à parier qu’Avast!! a aussi classer les sites comme malicieux :

hxtp://www.pctuto.com/
Submission date: 2011-07-14 09:03:00 (UTC)
Current status: finished
Antivirus report: View downloaded file analysis
Webscan result: 1 /16 (6.2%)
=> http://www.virustotal.com/url-scan/report.html?id=b4e3f7f6c758221bac237eea45fc3df4-1310626980

~~

hxxp://dlfr.pctuto.com/clib/pctuto/fr/tutodreamweaver001/pctuto.exe
Submission date: 2011-07-14 09:12:35 (UTC)
Current status: finished
Antivirus report:
View downloaded file analysis
Webscan result: 2 /16 (12.5%)
=> http://www.virustotal.com/url-scan/report.html?id=bac794d660440d545f40fe36cc7fad55-1310627555

 

Les urls sont disponibles depuis le site de tracking : http://www3.malekal.com/malwares/index.php?&asn=AS16276

 

Hypothèses de la non détection

Ce qu’ils font comprendre, c’est que les antivirus reçoivent des milliers de droppers chaque jour des différents familles de malwares, ceci a déjà été expliqué ici maintes et maintes fois (ceci est abordé sur les pages suivantes Crypter/Packer et détection antivirus  et Avast! VS Antivir VS AVG 8 – obsolète).
Les éditeurs d’antivirus ont donc généralement des labos dans des pays où la main d’oeuvre est pas trop cher qui « pissent » de la signature. Il y a ensuite des chercheurs qui eux pondent des détections plus élaborés (génériques, de packeurs etc) et d’autres qui sont là pour étudier le fonctionnement des familles (ou des nouvelles quand une nouvelle sort).
Quand on envoie un dropper, on arrive au 1er niveau, ce dernier regarde le code et éventuellement il a des outils comme des sandbox qui analysent les modifications effectuées sur le système par le fichier envoyé.

Ce qu’il faut comprendre, c’est que dans le cas d’Eorezo/PCTuto/Tuto4PC, l’installer du point de vue code est clean puisqu’il ne fait rien d’autres que d’installer les programmes Eorezo/PCTuto/Tuto4PC.
Ce dernier installe un fichier autoupdater qui d’après peux faire penser à une partie du programme qui va mettre à jour les tutoriels et le programme principale. Le code de ce dernier est, du point de vue antivirus, propre aussi.
Du fait que ce autoupdater lance par des sous-processus et de manière périodiques/aléatoires, il y a de fortes chances que cela passe à travers sur une sandbox.

Conclusion, un « pisseur » de détection ne verra pas tous ces aspects et ne pourra qu’en conclure à partir du code de l’installeur (et du rapport généré par la sandbox) que le programme est propre.
Il faut une analyse plus poussée des chercheurs de second niveau, mais là soyons réaliste, ils ont autre chose à faire compte tenu du nombre de malwares en circulation.

Le fait que la société soit française et ne rayonne qu’en France, ça n’aide pas non plus (les chercheurs étants souvents étrangers).

~~

Une autre explication possible est que les antivirus considèrent la manière de procédé légal, dans le sens où l’utilisateur accepte les conditions d’utilisation et donc recevoir des popups de publicité.
La peur des éditeurs de sécurité de se prendre un procès est plausible.

Les éditeurs de sécurité ont été averti, j’essayerai de suivre l’évolution des détections. Si cela ne bouge pas, alors la dernière explication est sûrement la bonne.

En attendant, la seule chose que nous puissions faire et d’avertir les utilisateurs, nous allons aussi essayer de proposer une lettre type qui sera à envoyer aux députés et associations de consommateurs afin de les sensibler sur ce genre de pratiques et obliger l’affichage d’informations plus explicites sur le site ou durant l’installation.
Comme une phrase qui dit clairement que le programme va installer un composant publicitaire.
Voir cette page : http://www.commentcamarche.net/forum/affich-22620785-pub-intempestives-help#7

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 58 times, 1 visits today)

6 thoughts on “Eorezo / PCTuto / Tuto4PC: Pourquoi les antivirus ne détectent rien ?

  1. Bonjour,

    Aujourd’hui, le site CCM est inaccessible. Au sens où l’on ne peut plus rien poster dessus, et cedepuis le 26 juillet au soir après 23h30 , d’après les derniers posts émis sur le forum principal de CCM.

    Tous les « sous-sites », droit et finance, santé-medecine, cuisine… sont touchés. On ne peut plus intéragir pour accéder au site.

    Un erreur apparaît sous la forme

    An error occurred while processing your request.
    Reference #97.857270c2.1311759535.37a2de92

    .

    Tout ça depuis qu’ils ont publié cet article

    Faites entendre votre voix pour soutenir CCM !

  2. yup mais le problème c’est les AV gratuits vu que c’est les plus utilisés en France.
    Avast! et Antivir ne détectent pas les tutos de 01net, ça permet donc d’installer l’adware sur plein de machines.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *