kreaffiliation / Aedge performance : Faux VLC & compagnies

En farfouillant pour trouver des URLs pourries, je fonce vers les sites de streaming en sachant que ces derniers proposent des plugins VLC pourris :  VLC Plugin : Offerbox / HotBar/ShopperReports/ClickPotato

Je tombe donc sur celui-ci, la bannière de publicité en haut jaune imite, une alerte Firefox pour l’ajout d’un nouveau plugin. Dans la capture, vous avez une vraie alerte en anglais pour comparer.
Belle tromperie.

kreaffiliation.com : Faux VLC

Voici le code qui génère la fausse alerte :

<div align="left">&nbsp;&nbsp;<img src="plg.png" align="baseline"><a href="hxxp://kreaffiliation.com/affilies/scripts/click.php?a_aid=4da4ae30eb9f9&a_bid=c8918811" style="text-decoration:none;font-family:Verdana; font-size:12px; color:#000000"><strong>&nbsp;Installer VLC pour regarder vos vid&eacute;os gratuitement </strong> <img src="button.png" border="0" align="right" style="img" onMouseOver="this.src='button2.png'" onMouseOut="this.src='button.png'"></a></div>

kreaffiliation.com, hosté chez ovh :

www.kreaffiliation.com
www.kreaffiliation.com is an alias for kreaffiliation.com.
kreaffiliation.com has address 91.121.45.44

Un tour rapide sur le site ne montre pas un réelle lien avec cashtraffic qui était à l’origine de ces pubs et qui est évoqué sur la page du forum : VLC Plugin : Offerbox / HotBar/ShopperReports/ClickPotato
L’entreprise semble être hébergée à Bergerac.

L’installation du « faux vlc » ouvre directement un encart qui propose QuestScan et ShopperReports. Programmes connues depuis longtemps : Zango, Hotbar : rond.stardoors.com


La détection est pas trop mauvaise : http://www3.malekal.com/malwares/index.php?&hash=86b0c2c53247761194f912013375d547 avec 22/43 (51.2%) 2011-07-23 21:16:28 (UTC) sur VirusTotal.

En farfouillant, on trouve aussi le site : hxxp://telechargement-vlc.com/ (188.165.203.103).
Un whois dessus donne en autre les informations :

Domain Name: TELECHARGEMENT-VLC.COM
   Registrar: GODADDY.COM, INC.
   Whois Server: whois.godaddy.com
   Referral URL: http://registrar.godaddy.com
   Name Server: NS69.DOMAINCONTROL.COM
   Name Server: NS70.DOMAINCONTROL.COM
Administrative Contact:
      Frederic, Bxxxx  falkbuzz@gmail.com
      31 xxxx
      xxxxx, Select a region 24150
      France
      3-363-313-8061      Fax --

 

Le nom de famille et l’adresse sont masqués, Se reporter à la page de présentation de kreaffiliation.com.

Pas de bol, le lien des mentions légales donne une erreur 404 :

Mais en cherchant, on trouve une page qui stipule que le programme va installer un programme gratuit Offerbox :

On lance l’installation de VLC et on se trouve devant les conditions générales, ici dont les licences des logiciels libres GNU puisque VLC est un programme libre.

Et une proposition d’installation d’Offerbox :

et l’installation de VLC se poursuit :

Concrètement, c’est l’installation du programme connu VLC revisitée pour y ajouter une proposition d’installation de Offerbox.
La régie de publicité et le webmaster du site touche un pourcentage à chaque installation réussie du programme.
Cela permet de le distribuer, à l’éditeur de le distribuer.
Chacun se fera son avis sur la manière utilisée par la régie (fausse barre jaune d’installation VLC) qui peut tromper les internautes.

 

Au niveau des détections, un 4/42 (9.5%) 2011-07-23 21:28:21 (UTC) sur VirusTotal : http://www3.malekal.com/malwares/index.php?&hash=a3fe41e60ed78694fb0c6b4588641963
On notera des détections spécifiques pour Offerbox :

Un petit retour à kreaffiliation.com pour jeter un oeil aux campagnes d’affiliations proposées.
Dans le top des campagnes, on voit donc VLC et Xvid Codecs (j’imagine que ça refourgue la même chose) mais aussi Moovida et FreeTVRadio.
Ces programmes sont bien connus : http://forum.malekal.com/freetvradio-fissa-search-offerbox-t29587.html et sont édités par Aedge performance.
Offerbox est aussi un produit de Aedge performance.

Survol de Aedge performance

Commençons par un retour en arrière en 2009 avec ce post : http://forum.malekal.com/reponse-malekal-morte-sur-moovida-deenero-t20855.html

Suite à une poussée de deenero (ancêtre de Offerbox), une personne certainement de Aedge Performance était venue poster sur le forum.
A l’époqué, j’avais montré le lien possible entre Aedge Performance et Favorit-Network. Favorit-Network étant une boite qui édité l’adware Navipromo qui avait fait pas mal de ravages sur les forums de désinfection.
L’entreprise a cessé.

Les deux boites sont situées en Espagne, Les deux partagaient la même classe d’IP (ce n’est plus le cas) sous la description Electronic Group Interactive, nom aussi utilisé dans les certificats utilisés par l’adware Navipromo, une simple recherche Google montre encore des sujets où le fix navipromo recherche ces certificats, exemple : http://forum.malekal.com/suppression-magic-control-navipromo-t10747.html.

3)Recherche Certificats :Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

Le site d’Aedge Performance avait aussi un lien vers Favorit-Network, en témoigne ces captures issus de web.archive.org : http://web.archive.org/web/20090625003836/http://www.aedgency.com/

Vous noterez dans le lien du paragraphe précédent sur FreeTVRadio, que le site de faux codec propose FreeTVRadio mais aussi Live-Player qui est un programme issu de Favorit-Network.
Bref un lien fort aussi entre ces deux sociétés.

 

Aedge Performance innonde maintenant le net de programmes dont voici quelques sites :

http://www.freetvradio.com
http://www.freecompressor.com/
http://www.letstunes.com
http://www.facemoodz.com/fr/lp/001
http://www.widestream6.com/
http://www.player-side.com
http://www.letstunes.com/
http://www.pix-easy.com/
http://www.widestream6.com
http://www.freecompressor.com/
http://www.player-side.com
http://www.officialvideoconverter.com
http://www.freeradioz.com/
http://www.djmixerstudio.com/
http://www.fissa.com
http://www.mypdfconverter.com
http://www.easypccleaner.com/
http://www.walletbalance.com/fr/index
http://www.freetvradio.com/fr/index
http://www.media-app.com/fr/index
http://www.speedares.com

Tous partagent les mêmes adresses IP :

malekalmorte@MaK-tux:/tmp$ host www.easy-burner.com
www.easy-burner.com has address 178.33.88.177
www.easy-burner.com has address 178.33.88.178
www.easy-burner.com has address 91.121.211.55
www.easy-burner.com has address 94.23.243.158
www.easy-burner.com has address 178.33.88.171
www.easy-burner.com has address 178.33.88.172
www.easy-burner.com has address 178.33.88.173
www.easy-burner.com has address 178.33.88.174
www.easy-burner.com has address 178.33.88.175
www.easy-burner.com has address 178.33.88.176

Beaucoup, tout comme vlc, ce sont des programmes libres qui sont revisités pour y insérer des barres d’outils et autres programmes.
On prend donc un programme tout fait, libre de diffusion et ont y insèrent des barres d’outils. Si on est bien placé sur Google, on surplante donc les sites de téléchargement initiaux de ces programmes.

En pratique cela, lors de l’installation d’un de ces programmes (si c’est un programme libre repacké), cela donne ceci, on retrouve les licences des logiciels libres GNU

puis on nous propose la barre d’outils SweeIT

puis le programme UseNext

si SweeIT est déjà installé, PriceGong sera alors proposé (un comparateur d’achat un peu comme ShopperReports :

et si l’utilisateur n’a pas mis le site SweeIT en défaut sur les navigateurs, il est alors proposé Fissa Search comme moteur de recherche.
Moteur de recherche appartenant à Aedge Performance.

Dans le même style, voir la page sur EasyPC Cleaner : http://www.malekal.com/2011/04/20/easy-pc-cleaner-bundle-offerbox-et-fissa/

 

Pour les puristes, on notera que la barre SweeIT fait de la publicité et notamment pour les produits Uniblue, produit qui porte aussi à polémique :

Conclusion

Encore une fois, on voit les problèmes liés aux affiliations et PPI et ces dérives surtout si la société est très laxiste.
Outre les « tromperies » sur les installations VLC, Offerbox a aussi été installé depuis des botnets, toujours pour des raisons de rémunérations par PPI : http://forum.malekal.com/offerbox-installpedia-t28757.html#p249648

 

Pensez à activer les détections PUP/LPI : Potentially Unwanted Program

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 30 times, 1 visits today)

One thought on “kreaffiliation / Aedge performance : Faux VLC & compagnies

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *