uTorrent et les virus

Quelques mises au point concernant utorrent et les virus.
On peut lire toute sorte de choses concernant utorrent et les processus/fichiers utorrentie.exe (Web Helper), un peu comme cacaoweb, ou il suffit que quelques pages mentionnent un virus pour avoir un emballement sur le sujet.

Le but est de bien comprendre quels sont les dangers liés à uTorrent.

uTorrent et les virus

Introduction

utorrent (noté µTorrent) est un client P2P Torrent.
A partir de site proposant des torrents (petit fichier contenant les données de téléchargement), vous pouvez télécharger depuis un réseau P2P tous types de fichiers à travers le client utorrent. Chaque client Bittorrent servant de clients/serveurs afin de diffuser ces fichiers.
Souvent, il s’agit de fichier illégaux (films, logiciels crackés etc), néanmoins, il est possible de télécharger des fichiers ISO de distribution Linux par exemple.

Depuis 2006, utorrent est un logiciel propriété, comme tout logiciel propriété, le but de la société BitTorrent, Inc. est de monétiser ce dernier.
Dans cet article, il s’agit de clarifier quelques aspects concernant utorrent et les virus, puisqu’on peut lire souvent tout et n’importe quoi.

Le site officiel utorrent est http://www.utorrent.com/intl/fr/ – bien entendu, si vous utilisez des moteurs de recherche, vous pouvez tomber sur des sites arnaques qui utilisent le nom utorrent pour diffuser des arnaques ou PUP (programmes potentiellement indésirables).
Exemple avec bing…

uTorrent et les virus

Plus d’informations, sur la page : La guerre des moteurs de recherche sur internet

uTorrent et Bundle

La première méthode pour monétiser, consiste à proposer des logiciels additifs lors de l’installation.
Ces méthodes ne sont pas nouvelles et de plus en plus utilisés, ainsi notamment Java et Adobe Flash utilisent ces procédés.
Plus globalement, se reporter à la page : Dossier Adwares/PUPs : programmes indésirables et parasites

Ainsi lors de l’installation de µTorrent, le programme Search Protect est ainsi proposé.
Search Protect est très bien connu, il s’agit d’un programme de protection de la page de démarrage (du même type que Adaware Web Companion) qui, en réalité, verrouille la page de démarrage des navigateurs WEB, notamment pour le moteur de recherche trovi.com
Le but est de gagner de l’argent à travers le trafic de recherche sur trovi.com
La société BitTorrent, Inc gagne de l’argent à chaque installation réussie de Search Protect

Search Protect est un Browser Hijacker.
Pour Search Protect, rendez-vous sur la page : Comment supprimer Search Protect

L’installeur utorrent fait aussi la promotion d’Avast! lors de l’installation.

Certains antivirus peuvent d’ailleurs, ce bundle à travers des détections FusionCoreInstall, il s’agit de la plateforme de diffusion FusionCoreInstall.
Ainsi une analyse VirusTotal peut donner :

SHA256:93b92e20d422bc8f4273fe5a910e1a8c812dd56391f161eaf00f0ad52dbdd16a
Nom du fichier :uTorrent.exe
Ratio de détection :3 / 61
Date d’analyse :2017-04-30 10:46:17 UTC (il y a 16 minutes)
AntivirusRésultatMise à jour
CyrenW32/FusionCoreInstall.A.gen!Eldorado20170430
F-ProtW32/FusionCoreInstall.A.gen!Eldorado20170430
Invinceavirus.win32.sality.at20170413

utorrentie.exe et Web Helper

L’autre mention de virus concernent le fichier et processus utorrenti.exe.
Ce dernier se trouve dans le profil utilisateur de Windows : « C:\Users\<user>\AppData\Roaming\uTorrent\updates\3.5.0_43580\utorrentie.exe »

Une recherche sur Google montre de faux sites de désinfection, qui ne sont là que pour refourguer des logiciels de désinfections payants comme SpyHunter ou Yac!, peuvent donner l’impression que ce processus est lié à un virus.
Ces sites de désinfection créent des fiches bidons, le but est de vous faire tomber dessus et vous faire installer et acheter SpyHunter.
C’est le principe des faux blogs de désinfection : Faux blogs de sécurité et de désinfection

En réalité, utorrentie.exe est un processus qui gère les publicités qui s’affichent sur utorrent :

On peut d’ailleurs facilement visualiser les connexions établies par utorrentie.exe qui sont relativement nombreuses.
Il s’agit ici donc de la seconde méthode pour monétiser, le chargement de publicités sur l’interface de utorrent :

A noter que ces publicités et utorrentie.exe peuvent avoir un impact sur l’utilisation processeur et peuvent donc ralentir Windows.

Les virus par des torrent

Enfin, il reste les torrent piégés, ce n’est pas vraiment nouveau car du temps d’Emule ce type de vers existaient.
Les pages suivantes traitent des virus par P2P :

Les sites diffusant des trojans peuvent aussi diffuser des logiciels malveillants ou arnaques à travers les publicités (principe des malvertising / publicités malveillantes).
Pour plus d’informations sur les dangers, se reporter à la page : Les sites de streaming et les virus
Il s’agit du même principe.

Conclusion

Utorrent ne diffuse pas de virus en soi, mais des programmes parasites type (PUP : programmes potentiellement indésirables) durant l’installation.
Le processus utorrentie.exe n’est pas non plus malveillant, il s’agit de charger des publicités sur l’interface utorrent.

Pour plus d’informations sur le téléchargement torrent, lire l’article : Télécharger un Torrent sur son ordinateur : principe et fonctionnement

Print Friendly, PDF & Email
(Visité 2 846 fois, 1 visites ce jour)
Noter cet article

Add Comment