Clubic test le repack et propose des PUPs

Prévenu par ce tweet  qui mène à ce sujet Informations sur le gestionnaire de téléchargement clubic.
Donc après 01net / telecharger.com, un autre gros site de téléchargement qui propose des installeurs pour balancer des programmes parasites.

Il semblerait d’ailleurs que 01net a fait un peu marche arrière, peut-être dû à la fuite des internautes. Mais il reste encore des logiciels repackés.

Je vous rappelle le principe, le site qui propose ces logiciels parasites gagnent de l’argent à chaque installation réussie. Ces pratiques sont détaillées sur la page Détection PUP/PUP.Optional/LPI : Potentially Unwanted Program
En l’occurrence l’installeur utilisé est de type Solimba/InstallCore.
Hébergé chez eux : https://www.virustotal.com/fr/file/f5f0598111d90fcf0d409005f716a2ce705dd77f51327de733b0e94191a8d68a/analysis/1417020852/

SHA256:    f5f0598111d90fcf0d409005f716a2ce705dd77f51327de733b0e94191a8d68a
Nom du fichier :    ccleaner_5-00_fr_14492.exe
Ratio de détection :    1 / 56
Date d'analyse :    2014-11-26 16:54:12 UTC (il y a 1 minute)

Antivirus    Résultat    Mise à jour
ESET-NOD32    a variant of Win32/InstallCore.RZ    20141126

Clubic_repack

et hop le Browser Hijacker Vosteran (voir la fiche Vosteran) et probablement d’autres adwares.

Clubic_repack_vosteran

Si vous en avez marre que votre ordinateur soit utilisé comme une machine  à sous, je vous invite donc à aller sur d’autres sites de téléchargement comme http://telecharger.malekal.com ou http://www.commentcamarche.net/download/

J’ai commencé à dresser une liste des sites de téléchargements qui pratiquent le repack, voici la page : http://www.malekal.com/2014/12/04/les-sites-de-telechargements-qui-repackent/

EDIT – 06/06/2017 : extension malveillante Ad-Aware Search Helper

Clubic continue de balancer des programmes parasites, PUPs et Browser Hijacker.
Durant un téléchargement, vous pouvez être redirigé vers une proposition d’installation d’une extension malveillante afin de contrôler les paramètres de moteur de recherche.
Il s’agit d’Ad-Aware Search Helper via l’adresse in.adaware.com.
C’est bien l’éditeur Lavasoft qui est derrière cela, connu aussi pour proposer le programme Lavasoft Ad-Aware Web Companion

Au final, cela pousse le moteur de recherche defaultsearch.co

1465402449.252 930 192.168.1.123 TCP_MISS/200 9358 GET http://in.adaware.com/chrome_extension/partners.json?_=1496743563527 - DIRECT/72.55.154.81 application/json
1465402450.163 171 192.168.1.123 TCP_MISS/200 598 GET http://api.bing.com/osjson.aspx?query=test&Market=fr-fr&language=fr-fr&_=1496743563528 - DIRECT/13.107.5.80 application/json
1465402451.164 195 192.168.1.123 TCP_MISS/301 441 GET http://defaultsearch.co/?q=test - DIRECT/104.16.193.88 application/json

Celle-ci redirge au final vers Yahoo!, de quoi alimenter La guerre des moteurs de recherche sur internet

Print Friendly, PDF & Email
(Visité 610 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet