Il y a quelques temps, j’avais tweeté un faux site piratebay et kickastorrents : https://twitter.com/malekal_morte/status/590492086811631616
Le but de ces sites étant de faire installer des adwares/programmes parasites.
(et aussi https://twitter.com/malekal_morte/status/590498046015856640).
Il semblerait donc qu’après les tentatives de faire fermer des sites de torrents, les changements de domaine, certains profitent de la confusion pour mettre en ligne de nouveaux sites de torrents qui ont simplement pour but de mettre en avant des arnaques.
Au moment où sont écrites ces lignes, le site officiel KickAssTorrents est http://kat.cr/
Or Google met en avant deux autres sites kickasstorrents.to et kickasstorrents.eu ainsi qu’un autre site summottorent.com
Le .eu est le site en capture ci-dessus qui propose directement des adwares/programmes parasites via un simple bouton Download.
kickasstorrents.to et kickasstorrent.cr sont plus vicieux puisqu, ce sont des copies conformes du vrai site.
Seul quelques icônes changent…
A noter qu’il existe aussi un autre faux site kickasstorrent.cr
La page de téléchargement du torrent sur le site officiel :
sur le site plagiat, comme vous pouvez le constater, seul le bouton Download diffère.
Sur le kickasstorrents.to – lorsque vous cliquez sur le bouton download, cela vous indique que vous devez vous inscrire.
Le bouton Register/Sign IN et les boutons Download conduisent à l’inscription au service LilPlay (visualiser des films, livres etc en ligne).
Ce faux sites de torrent doit être rémunéré à chaque inscription réussie.
summottorent.com est aussi une copie conforme.
Le bouton Download conduit à un installeur de adwares/programmes parasites
Ce dernier est signé en Russie et est détecté en Adware.MPlug / Adware.MultiPlug (plusieurs plugins). : https://www.virustotal.com/fr/file/6863222b9c2f47e8776d21f419599164e08524af0b440ea259ca97f8699174e5/analysis/1432710703/
SHA256: | 6863222b9c2f47e8776d21f419599164e08524af0b440ea259ca97f8699174e5 |
Nom du fichier : | Kingsman_ The Secret Service (2014) 1080p BrRip x264 – YIFY.exe |
Ratio de détection : | 17 / 55 |
Antivirus | Résultat | Mise à jour |
---|---|---|
ALYac | Gen:Variant.Adware.MPlug.42 | 20150527 |
AVG | Generic.2E5 | 20150527 |
Ad-Aware | Gen:Variant.Adware.MPlug.42 | 20150527 |
Avira | TR/Crypt.XPACK.Gen | 20150527 |
BitDefender | Gen:Variant.Adware.MPlug.42 | 20150527 |
ESET-NOD32 | a variant of Win32/Adware.MultiPlug.LG | 20150527 |
Emsisoft | Gen:Variant.Adware.MPlug.42 (B) | 20150527 |
F-Secure | Gen:Variant.Adware.MPlug | 20150527 |
GData | Gen:Variant.Adware.MPlug.42 | 20150527 |
K7AntiVirus | Trojan ( 0040fa761 ) | 20150527 |
K7GW | Trojan ( 0040fa761 ) | 20150527 |
Kaspersky | not-a-virus:Downloader.Win32.Agent.dlzx | 20150527 |
Malwarebytes | PUP.Optional.Unizeto | 20150527 |
MicroWorld-eScan | Gen:Variant.Adware.MPlug.42 | 20150527 |
Sophos | MultiPlug | 20150527 |
Tencent | Trojan.Win32.Qudamah.Gen.1 | 20150527 |
VBA32 | suspected of Heur.Malware-Cryptor.Multiplug | 20150526 |
Vous vous dites, pas grave, on ferme la fenêtre quand l’installeur est lancé.
Pas de bol, ce dernier n’ouvre aucune fenêtre et installe tous les adwares/programmes parasites sans votre consentement.
On se retrouve avec des programmes du style AssemblerPro, iscsicli, MyPC Backup, New Tab Clock, PriceMinus.
Cela fonctionne plutôt pas mal puisque tous ces sites ont presque touts un traffic supérieur au site officiel : http://www.similarweb.com/website/kat.cr
- kat.cr : Global Rank : 11,6 -USA ~6
Alors que :
- kickasstorrents.to : Global Rank : ~ 2 – USA : 1,7
- kickasstorrents.eu : Global Rank : 6,7 – USA : ~ 7,7)
- summotorrent.com : Global Rank : 30,2 – USA : 22,3 (le seul à être en dessous du site officiel).