InstallCore : une plate forme de PUP résiliente

De nos jours tous les internautes connaissent le terme PUP pour Potentially Unwanted Programs.
Ce terme désigne les installeurs et setup qui proposent des programmes additionnels.

Le but est de faire gagner de l'argent à l'éditeur de l'application ou le site qui propose l'application sur le volume d'installation acceptée.
C'est donc une forme de sponsors.

InstallCore est une plateforme de PUP qui existe depuis plusieurs années et qui parvient encore à survivre.
Voici comment les méthodes utilisées par InstallCore pour pousser des programmes additionnels.

Introduction

Si vous n'avez pas compris l'intérêt des PUP, il s'agit d'une forme de monétisation.
Un site proposant des logiciels ou un éditeur de logiciels proposent son logiciel à travers un setup qui va à son tour proposé des logiciels additifs.
A chaque installation réussie, l'auteur ou le site gagne de l'argent à travers un pourcentage.
Quant à la plateforme de PUP, elle gagne aussi à son tour de l'argent sur le volume d'installation réussie.

Les PUP ont donc tout intérêt à faire installer un maximum de logiciels additifs d'où parfois des méthodes trompeuses.

Les méthodes de distribution d'InstallCore

Essentiellement InstallCore utilise deux méthodes pour proposer des programmes additionnels.

• Des méthodes trompeuses comme de fausses mises à jour Java ou Flash qui se présentent lors du surf notamment sur des sites illégaux.
• Des méthodes plus conventionnelles en étant actif sur des sites de téléchargement connus ou publicités sur les moteurs de recherche.

Selon la méthode, le contenu des logiciels proposés peut être différents.
Ainsi dans la première méthode on peut voir des logiciels plus tendancieux allant jusqu'à des adwares.
Avec la seconde méthode, on aura plutôt droit à des logiciels plus connus comme de vrais antivirus.

Initialement InstallCore proposait systématiquement :

• Un Browser Hijacker
• Un adware
• Un logiciel de nettoyage de Windows peu fiable.

Voici quelques détails concernant ces méthodes.

Fausses mise à jour Flash et Java

Ce procédé a vu le jour très rapidement pour proposer des PUPs.
Il s'agit de fausses pages reprenant la charge graphique de Java ou Flash et indiquant qu'une mise à jour est nécessaire.

L'article suivant détaille ces arnaques et attaques.

L'internaute va alors télécharger le setup qui va au final proposer d'installer toutes sortes de logiciels.
Il s'agit donc ici de trouver un prétexte trompeur afin de faire lancer le setup à l'internaute.

Les vecteurs principaux sont les publicités sur les sites ne respectant pas les droits d'auteurs comme les sites de streaming illégaux, cracks ou anime et scan.
Plus d'informations : Les sites de streaming et les virus

InstallCore n'est pas la plateforme de PUP exclusive à utiliser ces méthodes.
En effet, Adware.Win32.DomaIQ / PUP.OutBrowse aujourd'hui disparu a pu par le passé utiliser aussi ces procédés trompeurs.

Voici un exemple en vidéo qui provient d'ailleurs de DomaIQ :

Faux sites de fond d'écran

Des pirates ont aussi créés de faux sites de téléchargement d'images pour mettre en fond d'écran.
Des banques d'images s'y trouvent mais lorsque l'on souhaite télécharger l'image d'arrière plan, on peut tomber sur un setup InstallCore.
L'article suivant détaille ces méthodes : Faux sites de fond d’écran : virus, PUP et Adwares

Les sites de téléchargements

On aborde la partie la plus intéressante qui fait la spécificité d'InstallCore.
Pour bien comprendre, il faut remonter le temps au début de l'arrivée des PUPs.

Historique des PUPs

A cette époque, principalement, les vecteurs utilisées étaient principalement trompeurs avec les fausses pages Java, Flash.
Faux messages de codecs etc.

Comme toute nouvelle menace, ce fut l'âge d'or car les internautes ne connaissaient pas ces méthodes et se laisser piéger.
De plus, les antivirus, comme souvent, ont mis du temps à réagir pour bloquer ces menaces.

Quelques années plus tard, l'étau se resserre et il devient plus difficile de tromper les internautes.
De plus les antivirus et navigateurs WEB bloquent ces setup et donc les plateformes de PUPs sont moins à la mode.
Les gains diminuent et certaines plateformes de PUP disparaissent.
Les PUPs sont remplacés par des des extensions parasites ou les demandes d'autorisations de notifications.

Pour survivre, deux lignes se dessinent alors :

• Soit durcir les méthodes pour infiltrer les ordinateurs ainsi que le contenu. De faux sites de cracks sont mis en lignes. Lorsque vous cliquez sur annuler ou refuser l'installation de programmes, celles-ci s'installent tout de même pour arriver à des trojans et même des ransomwares : Les PUPs distribuent maintenant des ransomwares
• Soit tenter d'aller dans plus la légaliser, c'est le choix fait par InstallCore.

InstallCore et la légalité

Pour se faire, InstallCore démarche les sites de téléchargements et même d'autres sites proposant des logiciels.
Le but est de proposer leurs setups sponsorisés afin que le site gagne de l'argent sur le pourcentage d'installation réussie.

Pour les sites de téléchargements, c'est une aubaine car cela permet de trouver un nouveau moyen de monétiser leurs sites internet en plus des publicités de plus en plus bloquées.
En général donc, ces derniers sont réceptifs.

Ainsi par le passé, Clubic a pu proposer des installeurs InstallCore.
Comme le montre l'image ci-dessous, un Browser Hijacker était refourgué à l'époque.
Cela ne semble plus être le cas aujourd'hui.

Bien entendu, vous pouvez tomber sur des sites de téléchargement totalement bidons mis en ligne dans le but de gagner de l'argent en proposant des extensions parasites et PUP.

Opensubtitles le site proposant des sous-titres traduits pour les films a aussi par le passé proposé InstallCore

Mettre les antivirus dans la poche

Ensuite il suffit de ne proposer aucun logiciel malveillant comme des adwares mais surtout la partie Browser Hijacker.
Pour cela, InstallCore distribue que des logiciels légitimes et respectés.
Ainsi, l'éditeur de la plateforme de PUP peut demander aux éditeurs d'antivirus de retirer des détections en arguant qu'ils ne font rien de mal.

De plus pour que des antivirus ne détectent pas ce dernier, pourquoi ne tout simplement pas proposés de les installer ?

Ainsi comme on peut le voir sur la capture d'écran précédente, Install pousse Avast!.
De même Install peut proposer des produits McAfee comme l'illustre l'article : McAfee LiveSafe installé par PUP.InstallCore

Norton Security a aussi subi le même sort.

Du coup certains antivirus ne détecte tout simplement pas cette plateforme en tant que PUP.
Voici une capture d'écran d'une analyse d'un setup InstallCore sur VirustTotal.

Avast! ne détecte pas ce dernier même avec la détection LPI activée.

Enfin on voit mal comment les antivirus gratuits peuvent détecter une plateforme de PUP légitime puisque ces derniers ont embrassé ces mêmes méthodes de monétisation.
Plus détails sur notre dossier les concernant : les antivirus gratuits

Les moteurs de recherche

La même tactique pour viser les moteurs de recherche a aussi été utilisée.
Cela ne semble plus être le cas aujourd'hui mais les publicités sponsorisées sur Bing et Yahoo! proposaient InstallCore.

Ainsi l'installeur pouvait ensuite pousser ces moteurs de recherche : du gagnant, gagnant.

Si vous regardez la capture de ClubIC, le moteur de recherche proposé Vosteran redirigeait en réalité vers Yahoo! ou Bing.

Ci-dessous, le moteur de recherche libre de Google Chromium sera installé par défaut et configuré pour utiliser Yahoo!

Les logiciels sponsorisés

InstallCore peut proposer différents logiciels qui changent dans le temps selon les accords.
Voici les principaux logiciels proposés :

• Avast!
• Chromium - navigateur WEB pour imposer un moteur de recherche.
• ByteFence Anti-Malware
• McAfee LifeSafe ou McAfee SiteAdvisor
• Opera

Liens autour des PUP

De manière générale, pour toutes les pratiques autour des logiciels potentiellement indésirables, suivre notre dossier : Les Adwares et PUP : comment s’en protéger

De manière général pour sécuriser son PC : Comment protéger son PC des virus et des pirates ?