Décortiquer un Adware

On entend souvent parler des Adwares (ou Publiciels), des petits bugs Hijackers  (intrus) de navigateurs, mais ce que se cache t-il derrière et comment sont-ils mis en place exactement ?

Nous allons voir ici la marque de fabrique de ces logiciels intempestifs qui se logent à notre insu au coeur de nos navigateurs.

Brièvement un Adware c’est quoi ?

On peut se référer aux définitions données par les éditeurs de logiciels antivirus tels que Kaspersky  ou Bitdefender.

Pour résumé, un Adware est un logiciel qui détourne vos requêtes en vue d’afficher des publicités et qui recueille vos données de navigation pour des objectifs marketing.

Il y a 2 types de Adwares :

  1. des publiciels de type légitime qui font partie d’une offre gratuite en échange d’affichage publicitaire
  2. des publiciels intrusifs ou spywares qui redirigent vos requêtes sans votre consentement.

Les Adwares légitimes

Ces types de publiciels sont généralement installés lorsque l’on télécharge et installe un Freeware (logiciel gratuit).

Souvent les offres gratuites trouvent des financements par le biais de publicités, c’est pourquoi ils ont recours à de nombreuses techniques.

Voici quelques techniques bien connues :

  1. Vous voulez installer un logiciel gratuit, lors de l’installation, il y a plusieurs étapes et si vous ne faites pas attention aux cases à cocher ou à décocher, d’autres logiciels s’installent en même temps (Adwares tiers) et ceux là sont dédiés exclusivement à la publicité. A titre d’exemple, sur le site de 01Net ou Clubic, vous en trouverez une pléthore.
  2. Les freewares qui affichent simplement une publicité lors de leur utilisation ne sont pas intrusifs dans le sens que l’on connait la source et que l’on peut choisir de les supprimer tout simplement.

Pour le premier cas, il s’agit d’une pratique abusive car bien souvent on ne voit pas le moment où l’on peut choisir de désactiver une installation et on se retrouve avec un logiciel adware dont on ne connait pas la source.

Les adwares Spywares

Ce type là est plus malhonnête encore car les adwares sont issus de failles trouvées sur des sites internet ainsi que vos navigateurs.

Lorsque vous visitez un site Internet, y compris un site en lequel vous avez confiance, il se peut qu’il soit infecté par un logiciel Hijacker qui va profiter d’une faille pour s’installer dans votre navigateur sans que vous vous en rendiez compte.

Cela peut aller plus loin que le simple affichage de publicités sur votre ordinateur.

Vous vous retrouverez avec des fenêtres qui s’ouvrent et des pages qui se redirigent à n’en plus finir avec de nombreuses publicités sans aucun intérêt.

Le rôle des antivirus

Malheureusement, les logiciels antivirus, qu’ils soient gratuits ou payants ne peuvent détecter de manière certaine la légitimité d’un logiciel et vous pouvez très bien vous retrouver avec des adwares même si vous avez la dernière solution antivirus avec toutes les options, ils peuvent toutefois aider à garder un ordinateur propre.

Les bonnes pratiques sont toujours les meilleurs atouts pour éviter les adwares. 

Ainsi nous avons possibilité d’utiliser des outils sans cesse mis à jour pour détecter l’activité potentiellement indésirable de telle ou telle application.

Bitdefender en parle sur son site, voici le jargon que l’on emploie pour désigner ces programmes :

  • Les logiciels PUA (Potentially Unwanted Application)
  • Les PUP (Potentially Unwanted Program)

Eset  vous aide aussi à configurer votre antivirus pour contrôler les PUPs/PUAs.

Pour combattre les pirates de navigateurs (hiJackers), nous préconisons régulièrement l’utilisation régulière de ZHPCleaner proposé par Nicolas Coolman ou Adwcleaner (sur le site de Toolslib), ces derniers sont ciblés Hijackers uniquement. MalwareBytes le propose également mais n’est généralement pas suffisant dans sa version gratuite.

Afin de combattre, il faut identifier les logiciels intempestifs et analyser les emplacements où ils se logent pour fonctionner (les dossiers d’installation, le registre Windows et les zones de lancement comme par exemple les raccourcis des navigateurs, les barre d’outils, tâches automatiques…).

Voici une petite liste de Adwares parmi les plus connus :

  • System healer qui prétend être un logiciel de nettoyage efficace

System Healer

  • BrowserMe ou Chrome_Font qui sont des méchants qui ciblent Google Chrome et installent un Trojan voire même un Ransomware
  • Bubble Dock qui invite les utilisateurs à utiliser une barre telle que Apple pour Windows
  • 1clickDownloader
  • 7search
  • Aartemis Search
  • Ad AdserverPlus
  • BeeCoupons

Notez que tout logiciel de nettoyage ou d’optimisation des performances prétendant être la crème de la crème ou tout logiciel permettant de recevoir des offres alléchantes gratuites etc… sera généralement source de problèmes pour une bonne navigation sur le Net.

Analyse d’un logiciel Adware Hijacker

Rentrons un peu plus en détails avec les fichiers, clés registres  et tâches windows installées à votre insu par un Hijacker depuis votre navigateur.

Etant donné que nous ne sommes pas les éditeurs de ces logiciels, on ne sait pas où sont les traces de ce type de logiciel, nous pouvons avoir recoure à des outils comme Revo Uninstaller (permet de supprimer un programme) qui nous permet de lister toutes les traces d’un programme et de les supprimer. Néanmoins certains adwares ne se logent même pas dans la liste. Les trouver sera donc le travail des logiciels antivirus qui détectent des mouvements suspects.

Si l’on suit les étapes classiques de désinstallation d’un adware proposées sur de nombreux sites, on verra souvent les étapes manuelles suivantes :

  1. Retirer le programme depuis le panneau de contrôle de Windows
  2. Réinitialiser ses navigateurs (Chrome, Mozilla, IE, Edge…) – vous aurez peut être besoin de supprimer toutes vos données personnelles ou votre profil de navigateur en cas de sévère infection – voire même supprimer et réinstaller le navigateur
  3. Supprimer les dossiers restants (Généralement dans Program Files sur C:) – peut être après avoir redémarré votre PC
  4. Supprimer les clés de registre telles que :  HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\… ou HKLM\SOFTWARE\Classes…
  5. Vérifier les services windows et désactiver celui lié au programme
  6. Vérifier et supprimer les tâches automatiques du programme
  7. Ouvrir MSCONFIG et supprimer les entrées non désirées

Il peut y avoir d’autres traces plus difficiles à trouver et en cas d’infection majeure, l’unique solution restante est de réinstaller son système.  Les antivirus ou le système windows lié à la sécurité peut être endommagé.

Mais comment se prémunir efficacement ?

On ne le répète jamais assez alors voici une petite liste de bonnes pratiques :

  1. Toujours faire attention à ce qu’on télécharge et installe, évitez toujours d’installer des barres d’outils et programmes que vous ne connaissez pas. Pensez à vérifier les options avancées lors des étapes d’installation des applications.
  2. Gardez votre système à jour et surtout les navigateurs et antivirus (sur XP ou Vista, préférez Mozilla Firefox ou Opéra pour naviguer et utilisez Avast ou AVG pour votre antivirus en plus de MalwareBytes et ZHPCleaner).
  3. Evitez les sites de streaming ou autres sites de téléchargement…

Pour vous aider davantage, Je vous suggère d’utiliser plusieurs navigateurs, en cas d’infection, vous pouvez en utiliser un autre en attendant.

Vous pouvez aussi utiliser un bloqueur de publicités tel que Ad Block Plus ainsi qu’un logiciel qui permet de décocher automatiquement les cases en cas d’installation de programmes (ex: Unchecky – nous le testerons avec vous en vidéo pour voir les limites de ce dernier).

Je vous invite si vous ne l’avez pas fait encore à visiter la page de suppression de Malwares/Adwares que nous avions publié il y a quelques temps.

Enfin pour éviter de se faire tracer par les navigateurs et sites internet, il existe d’autres navigateurs tels que Comodo Dragon, Epic Browser ou Tor, nous en parlerons bientôt ainsi que tout ce qui touche à la confidentialité et aux fameux cookies.

Si vous avez des enfants, outre les accords parentaux des éditeurs de logiciels antivirus, il existe des méthodes comme l’utilisation de OpenDNS qui vous protégeront vous aussi des exploits intrusifs sur votre navigateur de prédilection.

 

Laisser un commentaire