Cycle de vie d’un Rogue : Albinos Defender

Albinos Defender, Defender Unlimited…

Tout commence par l’annonce, presque anodine par la force de l’habitude, d’un nouveau produit frauduleux sur le marché, un faux antivirus (un rogue, du type scareware) répondant au doux nom de Albinos Defender (sic). Comme tant d’autres produits du même genre, il se propage à travers des bandeaux et fausses publicités, tous affirmant que l’ordinateur utilisé est « rempli de virus ». Nous n’avons pas pu retrouver la trace de l’une de ces publicités mais si vous fréquentez les sites pour adultes ou traitant de sujets sensibles, vous avez certainement dû en croiser plusieurs fois.

La page de téléchargement d’Albinos Defender

La recherche sur Google de ce malware a été vite fructueuse, car le site « officiel » est bien référencé et apparaît en tête des résultats. Sa simple visite confirme les soupçons et les diverses mises en garde : Ce site n’est qu’une façade, masquant une escroquerie malheureusement encore trop fréquemment rencontrée.

Les pages d'accueil et de téléchargement du site: les liens des rubriques générales fonctionnent et c'est à peu près tout. Les autres liens en bas de page n'ont aucune destination.

La page de téléchargement est la plus éloquente, avec un bloc où inscrire son adresse mail afin de recevoir un lien de téléchargement. Nous l'avons testé avec une adresse isolée, mais nous n'avons malheureusement rien reçu. Si la personne derrière récupère l'adresse email, en tout cas elle n'en profite pas pour diffuser son programme par ce biais. Ou cela a été retiré...

Pour acheter, rien de plus simple: cliquez sur le bouton correspondant et remplissez les champs de "création" de compte...et de numéro de carte bancaire.

Après la transaction, vous êtes invités à télécharger et à entrer la clé de licence du logiciel. Cela fonctionne t-il? Avis aux amateurs, nous n'avons pas été plus loin, si vous avez trop d'argent...

Le code source de la page n'indique pas grand chose d'intéressant...et c'est bien dommage.

Nous avons trouvé un site "jumeau", à une autre adresse, cette fois-ci Firefox a bien signalé la nature frauduleuse aux utilisateurs...mais le site est en presque identique au précédent.

Une petite vérification du nom de domaine nous donne tout de même pas mal d'informations: Un registrar chinois, un webmail de contact, un nom certainement d'emprunt et une adresse physique qui est celle...d'un hotel Best Western! Cependant, le site jumeau nous livre plus d'informations, avec cette fois-ci une adresse russe, d'une société basée à Moscou et dont les serveurs hébergeraient d'autres sites du genre.

Un petit air de déjà vu? C'est normal, le même modèle est appliqué pour tous les produits, répondant aux doux nom de "Quickdefender", "ActiveGuard" ou "Active Broom" (sic). On remarque par exemple le bloc de certifications, le descriptif éblouissant et les témoignages de satisfaction perclus de fautes...tous récurrents et bien formatés.

Les url des sites? Plus ou moins signalées comme sites frauduleux par le navigateur, mais pour la plupart là et bien là...Les chances de les voir disparaitre ne sont pas énormes, tant que les utilisateurs ne signalent ces pages aux différents acteurs du web. Et bien évidemment, cela ne s'arrête pas là car en cas d'infection il faut passer au nettoyage...

Devinez quoi! Beaucoup de sites se proposent de fournir des solutions pour désinfecter les ordinateurs compromis par Albinos Defender et les autres...en téléchargeant des antispyware payants! La boucle est bouclée, il suffit pour l'escroc de créer un site proposant une méthode de nettoyage pour doubler la mise! Mais qui serait assez retors pour effectuer une telle manoeuvre...?

Conclusion: un rogue n'est jamais à prendre à la légère. En cas d'infection par celui-ci, une bonne dose de Malware Bytes Anti malware et vous êtes tranquille. En revanche, ce marché enrichit tous les jours des escrocs qui tablent sur la naïveté des internautes. Comme vous avez pu le voir, ce système bien rodé continue de susciter l'intérêt des fraudeurs de tous poils, qui disposent de ressources à la mesure de leurs ambitions. Qui se nourrit de cette économie parallèle? Cela pourriat faire l'objet d'un autre article.