Tuto4PC bundle un widget Easyvoyage

Quelques nouvelles de Tuto4PC qui, pour ceux qui ont loupé les épisodes précédents, ce dernier n’étant plus distribué par 01net/telecharger.com.
Alors comment Tuto4PC est refourgué aux internautes ? et bien maintenant, comme les autres PUPs et programmes parasites, par des systèmes d’affiliations.
En l’occurence celui utilisé est Solimba http://www.solimba.com/ – Tuto4PC cherche à toucher les pays en langues espagnols.
Notamment en créant le site http://tutoriales100.com (87.98.149.223) avait été créé pour cela.
D’ailleurs le forum de désinfection espagnol infospyware.com avait fait une alerte à ce sujet : http://www.infospyware.com/blog/tutoriales100-ventanas-publicidad-adware/

L’adresse de téléchargement des programmes est : dl01.socdn.com

Côté détections, on obtient :

SHA256: 2046d12c63e72bee56e869a8e40e8ea822b06b7274324d10eb45699ad806b061
Nom du fichier : e4ce4038bf84baa0175859df5284c5dc
Ratio de détection : 7 / 46
Date d’analyse : 2013-02-23 13:19:01 UTC (il y a 4 heures, 10 minutes)

AntiVir APPL/Solimba.Gen 20130223
Comodo Application.Win32.Solimba.K 20130223
DrWeb Adware.Downware.798 20130223
ESET-NOD32 MSIL/Solimba.G 20130223
Fortinet Adware/Solimba 20130223
Malwarebytes PUP.Offerware 20130223
SUPERAntiSpyware PUP.Offerware 20130223

telecharger.org_bundle0

Les sites de téléchargement qui refourguent du Solimba sont :

Les deux derniers appartiennent lorsque l’on regarde les mentions légales à une boîte à Hong Kong, mais il semblerait d’après le nom du propriétaire que ce soit un français qui est derrière.
Ils sont proposés en résultats de recherche sur les moteurs de recherche, Googleads, bref comme d’habitude.

Ci-dessous ce que l’on obtient quand on lance un installeur.
Le combo ci-dessous, on se prend donc deux barres d’outils et deux adwares Boxore et Tuto4PC.

L’installeur est très intrusif, car en fait, il est impossible à quitter.
Si vous cliquez sur la croix, un message vous demande si vous souhaitez continuer, si on répond non, il reste tout de même ouvert.
Ou comment forcer les internautes à passer le setup, avec un peu de chance, ils vont installer les programmes parasites et hop les $.

telecharger.org_bundle

telecharger.org_bundle2

L’installeur Tuto4PC – notez les fautes !

https://www.virustotal.com/fr/file/7a0f12f68d921841eb2965b2087eca6c8229371fddc9aac117179cab22ec75d6/analysis/
SHA256: 7a0f12f68d921841eb2965b2087eca6c8229371fddc9aac117179cab22ec75d6
Nom du fichier : tuto4pc_fr_24_1402-b92233ba.exe
Ratio de détection : 2 / 46
Date d’analyse : 2013-02-23 11:16:38 UTC (il y a 6 heures, 37 minutes)

Emsisoft Adware.Win32.EoRezo.AMN (A) 20130223
ESET-NOD32 a variant of Win32/Adware.EoRezo.AO 20130222

(Malwarebyte détecte l’adware => https://www.virustotal.com/fr/file/008cf811255daf9212797f8e7192617a6ec0044898ffdeaafb2b1f749d9f4c5d/analysis/1361646241/ ).
telecharger.org_bundle3
https://www.virustotal.com/fr/file/2f4f1bfad8d37dfc1ff98d2f28ad2004d7db3fc5de05be426abc7a2dc3435e64/analysis/

SHA256: 2f4f1bfad8d37dfc1ff98d2f28ad2004d7db3fc5de05be426abc7a2dc3435e64
Nom du fichier : OBBoxore_1802-76cd2142.exe
Ratio de détection : 5 / 46
Date d’analyse : 2013-02-23 13:42:45 UTC (il y a 4 heures, 12 minutes)

DrWeb Trojan.DownLoader8.12192 20130223
Emsisoft Adware.Win32.Boxore.AMN (A) 20130223
ESET-NOD32 a variant of Win32/Adware.Boxore.A 20130223
Malwarebytes Adware.Boxore 20130223
TrendMicro-HouseCall TROJ_GEN.F47V0218 20130223

(AVG et VIPRE détecte l’adware => http://www.virustotal.com/latest-report.html?resource=2a04ca25d2f60177afcbc8509aef11f4bdd1a16c ).
telecharger.org_bundle4

Puis le programme d’installation de Skype démarre :
telecharger.org_bundle5

De suite après l’installation, une popup de proposition de mise à jour de Tuto4PC, qui propose *soit disant* de se mettre à jour.
Tuto4PC_Easyvoyage

Le but étant de refourguer un widget Easyvoyage :Tuto4PC_Easyvoyage2
Tuto4PC_Easyvoyage3
Côté programme – Tuto4PC incorpore aussi un widget avec d’autres tutorials.
Ces derniers bundlent d’autres programmes lors de l’installation.
Tuto4PC_Widget

La barre d’outils Claro : Tuto4PC_Widget2
Si on fait Cancel, il insiste : telecharger.org_bundle6

Il semblerait donc que pour monétiser sont botnet… heu réseaux de PC Billboards, Tuto4PC se mettent au widget.
Certainement qu’ils vont chercher d’autres partenariat qu’Easyvoyages.

Les connexions font le yoyo suivant les repacks des installeurs.
Si vous voulez voir les détections, rendez-vous sur ce lien : http://malwaredb.malekal.com/index.php?malware=eorezo

Les seuls antivirus qui jouent pas mal le jeu sont : Antivir, Malwarebytes et NOD32.

Tuto4PC_Detections2

EDIT 25 Février

Une autre publicité qui propose FLV Player HD en reprenant les couleurs du Flash Player.
Le principe reste le même, on prends un logiciel libre (gratuit dans ce cas) FLV Player HD qui permet de lire les vidéos, on reprends parfois le principe des faux codecs et surtout on va y ajouer plein de programmes parasites pour gagner de l’argent.
Concrètement donc, on prend le travail des développeurs libres pour se faire de l’argent dessus.

La publicité est donc limite trompeuse, voir d’autres exemples sur la page : [en] How ads can sucks…

FLV_Player_solimda

A titre de comparaison, l’installeur officiel d’Adobe Flash Player :

FLV_Player_solimda4

http://network.adsmarket.com/click/imNwlo2ff5S3YZiVjZx7l4tncZ1fyn2di2Vqlo2igZuLYpiaZKCClIk?dp=RMX_A6158185_P3580094_V7051677_RParis_S2519966_C19509482_B535323&dp2=nZlrAJ5zJgDqsCkBAAAAAG4RSAAAAAAAAgAEAAAAAAAAAP8AAAACCr6gNgAAAAAAafddAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAADKZBMAAAAAAAICAgAAgD8ADVyAED0BAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=,eJzL9ivOCMnxLcg1yi4zKi-uyDBw1tOLKkjyNa.0DysKyw8p19UFAO.qDIc=&dp3=Uhttp://www.mega-exclue.com/dvdrip
http://offers.avazuscd.net/tracking/redirect/redirect.php?id=7577051&czid=YXZhenU3NTc3MDUxMQ==&kw=20lhit3Rsz8npP5X1x8sam1u9Tzr000.&usrid=ODIzNGF2&rgid=YXp1MjUx&ce_cid=20lhit3Rsz8npP5X1x8sam1u9Tzr000.
http://offers.avazuscd.net/tracking/redirect/redirect.php?id=7577051&czid=YXZhenU3NTc3MDUxMQ==&kw=20lhit3Rsz8npP5X1x8sam1u9Tzr000.&usrid=ODIzNGF2&rgid=YXp1MjUx&ce_cid=20lhit3Rsz8npP5X1x8sam1u9Tzr000.

Toujours la même adresse au final pour solimbda : dl01.socdn.com FLV_Player_solimda2

et dans les programmes additionnels proposés, on retrouve Tuto4PC :

FLV_Player_solimda3

EDIT – Bundle Widget Easyvoyage

La proposition de l’application Easyvoyage a changé. Le widget s’ouvre avec un message “Télécharge l’APP EasyVoyage GRATUITEMENT ici

Tuto4PC_Widget_easyvoyage
C’est en réalité, l’application Tuto4PC qui ouvre le widget :
Tuto4PC_Widget_easyvoyage2

(Visité 74 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Vous pouvez lire les articles et tutoriels suivants en rapport avec cette page :
Tutoriel NoScriptTutoriel le contrôle des comptes de Windows (UAC)

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com