Un faux antivirus se fait passer pour BitDefender

Contrairement à la majorité des Antivirus Rogue, Bytedefender ne se contente pas de s’appuyer sur la méthode classique du « Drive-by » qui lance des téléchargements involontaires, comme le font souvent ce type d’applications, mais s’appuie d’avantage sur la popularité des solutions de sécurité BitDefender en reprenant leur identité visuelle pour tromper les utilisateurs.

 

Le site web qui diffuse ce Virus est situé à l’adresse hxxp://www.bytedefender.in (URL volontairement tronquée pour éviter les infections accidentelles), il utilise un design proche de la charte graphique de BitDefender et reprend même les vrais visuels des produits pour tromper les utilisateurs en leur faisant croire qu’il s’agit des vraies versions des solutions de sécurité. Le nom de domaine a été enregistré en Ukraine.  
Le scénario d’infection est simple et efficace : un utilisateur à la recherche d’un produit BitDefender peut faire une faute de frappe sur la véritable adresse et être redirigé vers la page web malveillante et croire qu’il est sur la page de l’éditeur.
Une fois installé sur le système, ce logiciel « scareware » commence à afficher des faux messages d’alerte simulant des infections pour pousser l’utilisateur à acheter la “version complète” afin de se débarrasser des soi-disant menaces en question.

 

 

 

Figure 1 : « Infections détectées » pendant le processus d’analyse

 

 

 
Figure 2 : Rapport d’« infections »

 

 

 

Figure 3 : Achetez maintenant !

 

Il est intéressant de noter que le processus de paiement de l’Antivirus Rogue ByteDefender est géré par une entreprise digne de confiance : Plimus, qui a suspendu les ventes en raison des fraudes constatées.
« Les cybercriminels n’ont aucune limite quand il s’agit de distribuer et commercialiser leurs faux produits de sécurité. Evénements sensationnels, applications ou sites Internet contenant des chevaux de Troie ou même création minutieuse de ‘produits de sécurité’ – inutiles - ne sont qu’une petite partie de la multitude des méthodes utilisées pour tromper les utilisateurs imprudents », déclare Catalin Cosoi, Chercheur des Laboratoires BitDefender.
En ce qui concerne la partie plus technique, l’antivirus Rogue ByteDefender est protégé par un logiciel de compression UPX avec de multiples couches de dissimulation qui non seulement tente d’empêcher l’analyse statique, mais bloque aussi tout type d’exécutions dans une machine virtuelle. Il essaie de fermer les services Windows connus pour appartenir à certains éditeurs d’antivirus, afin d’ouvrir l’accès à ses propres fichiers.
 

 

BitDefender a ajouté une protection contre cette nouvelle menace (détectée sous le nom de Trojan.FakeAV.KZO) et a développé un outil gratuit de suppression pour automatiquement nettoyer l’infection sur les ordinateurs qui n’utilisent pas les produits de sécurité BitDefender.

Afin de rester en sécurité, BitDefender® vous recommande de télécharger, installer et mettre à jour une suite antimalware avec antivirus, antispam, antiphishing et pare-feu et vous incite à la prudence lorsque vous êtes invité à ouvrir des fichiers dont vous ne connaissez pas la provenance.