Attention ! Danger ! Logiciel crapuleux


Analyse du logiciel WinFixer 2005
Analyse du logiciel WinFixer 2005 par 28 outils antivirus et anti trojans le 18.09.2006 en utilisant VirusTotal et Jotti's virus scan:
Il s'agit d'un cheval de Troie (trojan) ayant, comme charge active, un downloader.







Analyse des sites et du dialogue Winfixer.
WinFixer n'est pas un prétendu utilitaire de sécurité mais un prétendu utilitaire de réparation et optimisation de la base de registre et des surfaces disques, de récupération de fichiers endommagés et d'effacement de vos traces.

• Il utilise de l'ingénierie sociale, en diffusant de fausses informations sur l'état de santé de votre ordinateur, pour vous persuader de passer à l'acte d'achat immédiat
  
• Il utilise diverses techniques globalement appelées "drive by download" pour s'implanter de force dans votre ordinateur.
  
• Vous êtes infecté, le plus souvent, en visitant un site quelconque affilié à Winfixer. Cet affilié sera rémunéré au nombre de téléchargements et installations réussis du parasite et chaque site affilié peut utiliser ses propres techniques de piégage.
  

Le piège, à partir de sites affiliés, commence par une ouverture d'un lien profond sur un serveur de WinFixer où sont stockés et maintenus à jour les suites du piège jusqu'à une pop-up finale décrite plus loin.

Donc, peu importe la méthode utilisée par le site affilié, vous voici sur le site francophone WinFixer.

Vous commencez par être affolé avec un histogramme horizontal qui progresse et vous fait croire que votre ordinateur est en cours d'inspection par un outil de sécurité tandis qu'un compteur d'erreurs, bien visible, tourne à toute vitesse pour s'arrêter à un nombre considérable d'erreurs trouvées. En réalité, rien n'a été analysé : c'est un petit film en "flash" qui est passé. C'est une tromperie.

Vous pouvez d'ailleurs parfaitement visualiser l'animation flash en cliquant ici - c'est sans aucun danger. Amusez-vous à cliquer sur cette stupidité plusieurs fois. Les "résultats" sont chaque fois différents avec entre 35 et 65 "erreurs" détectées ! Je n'ai pas réussi a obtenir plus de 65 ! Cela est tellement stupide que cela prétend trouver des erreurs dans la base de registre de Windows même sur les machines qui ne sont pas sous Windows mais sous Linux ou n'importe quoi d'autre !

Ci-après, la "page d'accueil" du piège WinFixer 2005.



Vous êtes déjà piégé. Vous ne pourrez plus quitter cette page sans que WinFixer ne tente de télécharger de force leur parasite, quelque soit votre navigateur. Il y arrivera facilement avec Internet Explorer et aura plus de mal avec Firefox.

Que vous cliquiez sur le bouton "Cliquer ici !" ou non, le résultat sera le même :




Tous les mouvements de la souris sont analysés et absolument tous conduisent au même résultat. La démarche naturelle est de quitter cette mascarade. Eh bien, non ! Une fenêtre surgit vous disant que l'analyse n'est pas fini !




Evidemment, on se dit que le bouton "Annuler" doit être piégé et qu'il faut mieux en finir en fermant cette fenêtre par les moyens Windows (en cliquant sur la croix blanche sur fond rouge, en haut à droite. Que nenni ! Une seconde fenêtre apparaît et tout se passe comme si vous aviez cliqué sur le bouton "Ok", ci-dessus ou sur le bouton "Cliquez ici" sur la page du site !




Donc, on recommence. Clic sur la croix rouge offerte et rebelotte, tout se passe comme si l'on avait appuyé sur le bouton Ok ! Et crac ! La pop-up. Heureusement, sous un navigateur bien paramétré (ici, Firefox), celle-ci est bloquée, comme signalé ici.





Dans les autres cas, le téléchargement est lancé automatiquement. Là encore, si le paramétrage de votre navigateur vous laisse le contrôle des opérations de téléchargement, vous serez averti et l'on vous demandera si vous voulez exécuter le logiciel ou le télécharger sur votre disque.




Dans la foulée, il tente de télécharger le parasite ce qui, généralement, réussira car vous êtes mal protégé. Sur la machine de test, la tentative est vouée à l'échec (en sus, au moment du test, une erreur dans leur script rend le téléchargement de Winfixer impossible depuis ce piège et on tombe sur le téléchargement de ErrorSafe, du même gang). Nota : c'est le même script qui prend en charge, simultanément, le téléchargement de tous les parasites de ce gang, à savoir, le jour du test (18.09.2006) :

• WinFixer 2005 scanner
  
• WinFixer 2005
  
• ErrorSafe scanner
  
• ErrorSafe
  
• Winantivirus scanner
  
• Winantivirus
  

Clauses contractuelle significatives :

• "Le logiciel qui accompagne cette licence (le "Logiciel") est la propriété de WinSoftware Ltd. ou des fournisseurs des licences."
  
• "Si le système du client écroule quel que soit le motif, vous devrez vous informer d’une telle situation via le Service Clients avant de faire la demande de remboursement. Si vous ne contactez pas le Service Clients, il N’Y AURA PAS de remboursement."
  
• "Certains de nos produits ne pourront pas être exécutés par un autre logiciel."
  
• "Nous nous réservons le droit de désinstaller les produits incompatibles."
  
• "Le client NE POURRA PAS réclamer un remboursement invoquant une confiscation ou élimination du logiciel incompatible."
  La coexistence de certains produits peut provoquer plusieurs effets déplaisants ainsi que le ralentissement du système du client. Pour cette raison, l’utilisation de WinFixer 2005 oblige à la désinstallation des produits qui représentent un risque pour le système.
  
• "Les problèmes repérés par le client peuvent être causés par l’interaction du Logiciel avec des différents systèmes ou un autre logiciel."
  
• "WinSoftware Ltd. ne répond pas pour les interactions nocives."
  
• "L’entreprise ne sera pas tenu par responsable dans le cas où le système du client ait été restauré ou réparé, et ON NE VA PAS conférer des remboursements dans ces cas-là."
  
• "WinFixer 2005 peut fonctionner défectueusement sur systèmes surchargés et endommagés. Dans des tels cas, WinSoftware ne peut pas assumer la responsabilité."
  
• "WinSoftware, Ltd. ne garantie pas que WinFixer 2005 va s'adapter a Vos besoins, ou bien que le fonctionnement de WinFixer 2005 sera ininterrompu et surtout pas que WinFixer 2005 sera libre d’erreurs."
  
• "Au moment de l’installation de WinFixer 2005, d'autres produits ou d’autres composants pourront être désinstallés afin d’éviter l’incompatibilité avec WinFixer 2005."
  

Guid connus
{25A3C995-10C8-474B-A167-99460AB4AB2B}
{287A2BAD-6590-4EFF-9BBC-494385664A73}
{290B5B73-4963-4BA1-9D2D-07CB566CB7FA}
{8C65AEF6-E413-4314-815B-82717A3F1603}
{E8928E69-C050-42A9-8884-94DE85E888A2}
{08C71FB1-1E66-4D22-9F32-4C045A451306}
{1CDEB41B-905A-4183-AA20-26E075419B46}
{38EDB9E2-D7C4-4575-8905-FE65414FFEAD}
{48349992-1402-4C67-B45B-2E619E641FDB}
{538BC8F3-2E1E-4D2D-A261-158DF6E9B407}
{53ABACCB-434C-4756-A02B-8C2A3F29FB7D}
{66A9C4D0-BC54-4841-8FAA-DB98CBB77BAD}
{84C43108-013C-4513-8578-F50080B9C9D0}
{9CC1BE04-3B42-4442-9A46-77E8BC1108F9}
{AA69BBFC-1D28-4960-8061-93C1BB156238}
{B096A483-0ABD-4AF0-856A-CAD36145AF5C}
{B5E427F9-AB38-4348-9076-86870C2BE860}
{C0BC364F-AB33-4778-8047-5A2148E0ECDA}
{C427B3E3-28DC-4001-9590-D99B6776119B}
{CAE8A9B1-ABBD-4159-A485-1DA045A5D4A1}
{F41C1430-CFDE-4AD3-B38D-7890F0843E47}
{08C71FB1-1E66-4D22-9F32-4C045A451306}
{1CE1C25B-F8B4-4974-99D2-5D4AE96B9900}
{35096C29-3507-4ABE-B6D8-C7CC881BE020}
{38F743A2-210F-49DE-9B79-DCD501CED284}
{3EEC290D-FC13-4C83-803D-4802651EEB61}
{41A5BBF6-3C9D-4CF9-9A99-32DD37CC290B}
{4E4F38D9-8736-41AE-B192-E829AE194398}
{4F79D1C5-24F9-4E59-8022-604D4B41D5CA}
{66484903-09F4-4330-927D-1F6C214221AC}
{7FA14AD6-D8E5-465F-9BD1-A37E26C1A74F}
{9E984934-CD94-4763-9DBC-618E483D4B7F}
{B115BD8E-B008-46F4-B8B6-3405EB325C3C}
{B9DFCF32-B679-4CAD-B7FC-518A48CE3922}
{CAE8A9B1-ABBD-4159-A485-1DA045A5D4A1}
{CBEEF194-EBC5-4758-9B51-AC34FC135E70}
{CD3604CC-2B95-43EE-AFC9-E7444C21BE1C}
{D21040FE-0A57-4FAB-8ED2-F0E653E55809}
{D7A2488E-53E4-4EDD-AEAA-F24778BEB100}
{D7A6DF8D-B6CF-4C27-8E99-ECA2CE370EA7}
{F41C1430-CFDE-4AD3-B38D-7890F0843E47}
{F6C1582E-B11C-4724-B8F6-240457EF1D2A}
{FB787D5E-0C7C-4BAB-B45D-20325FB886DB}
{0E9F6AC0-A21A-4591-910F-E2C6F3CA094C}
{30ED49A5-CA6C-4918-B5F3-5E6818C91D8B}
{4DCEEA42-794D-4855-9ECC-20DCF5F4FEA7}
{6A077841-5016-42C8-92C8-F2D6B865BCD1}
{AD70AC89-F460-4E7E-B5A5-7EAF7E207736}
{B6625280-8CD8-4632-97C0-83CEC12A49A3}
{F458ADAE-D53B-4859-B99F-9FA127791278}
{FC76A5B8-DB35-4F3E-8B9A-BF0EEA098D64}


Balise "description" du site
WinFixer 2006 is useful utility to scan and fix any system, registry and hard drive errors. It ensures system stability and performance, frees wasted hard drive space and recovers damaged Word, Excel, music and video files.

Registrant winfixer.com (propriétaire du nom de domaine - Whois)
WinFixer
P.O. Box 3
Kiev, NA 04114
UA Ukraine
+(380) 97 939 09 44
hostmaster@winfixer.com

Registrant winfixer.net (propriétaire du nom de domaine - Whois)
Keyword Marketing, Inc. (WINFIXER-NET-DOM)
P.O. Box 556
Main Street
Charlestown, West Indies
KN Saint-Kitts-Et-Nevis
+852.30164984
+852.30164984
message@keywordmarketinginc.com

Registrant winfixer.org (propriétaire du nom de domaine - Whois)
Web Advertising, Corp.
Kings Court, Bay Street
P.O. Box N-3944
Nassau
BS Bahamas
Tél : +852.30162320
Fax : +852.30162320
information@webadvertisingcorp.com

Registrant winfixer.info (propriétaire du nom de domaine - Whois)
Greg D. Hanson
Pine Bluff
Little Rock
Arkansas
29544
US
+001.6512244742
gregdhanson@gmail.com
Test 16.09.2006 : Ce site sort en erreur 403

Registrant remove-winfixer.com (propriétaire du nom de domaine - Whois)
Donnée non divulguée par le serveur Whois

Registrant remove-winfixer.net (propriétaire du nom de domaine - Whois)
Donnée non divulguée par le serveur Whois

Registrant remove-winfixer.org (propriétaire du nom de domaine - Whois)
Donnée non divulguée par le serveur Whois

Registrant remover-winfixer.com (propriétaire du nom de domaine - Whois)
Click Cons. Ltd Whois Privacy and Spam Prevention by Whois Source
Kings Court, Bay Street
P.O. Box N-3944
Nassau,
BS Bahamas
Tél : +852.30178436
Fax : +852.30178436


Liste noire Hosts : Domaines et machines du groupe winfixer / winantivirus / errorsafe
winfixer.com #ip 89.149.196.161 Netdirekt E.k
winfixer.net #ip 64.20.33.131 California - San Pedro - Interserver Inc
winfixer.org #ip 64.20.33.4 California - San Pedro - Interserver Inc
winfixer.info #ip 88.85.66.7 Webazilla
blockwinfixerpop-up.com #nom de domaine à vendre
remov-ewinfixer.com #nom de domaine à vendre
remove-winfixer.com #ip 68.178.129.209 Arizona - Scottsdale - Go Daddy Software Inc
remove-winfixer.net #ip 68.178.232.100 Arizona - Scottsdale - Go Daddy Software Inc
remove-winfixer.org #ip 68.178.232.100 Arizona - Scottsdale - Go Daddy Software Inc
remover-winfixer.com #pas de site actif
removw-winfixer.com #nom de domaine à vendre
v-twinfixer.com #nom de domaine à vendre
winfixer-antivirusprogram.com #nom de domaine à vendre
winfixerpop-upwindow.com #nom de domaine à vendre
winfixerpop-upwindow.org #nom de domaine à vendre
www-winfixer.com #nom de domaine à vendre
wwwlremove-winfixer.com #nom de domaine à vendre
wwwremove-winfixer.com #nom de domaine à vendre
wwwremove-winfixer.org #nom de domaine à vendre
download.winfixer.com
errorsafe.com
errorsafe.net
errorsafe.org
errorsafe.info
remove-errorsafe.com
remove-errorsafe.net
remove-errorsafe.org
winantivirus.com
winantivirus.net
winantivirus.org
winantivirus.info
remove-winantivirus.info
locator.cdn.imageservr.com
cdn.imageservr.com
imageservr.com
locator1.cdn.imagesrvr.com
cdn.imagesrvr.com
imagesrvr.com
scanner.sysprotect.com
sysprotect.com
sysprotect.net
remove-sysprotect.com
remove-sysprotect.info
winantiviruspro.com
winantiviruspro.net
winantiviruspro.org
download.cdn.winsoftware.com
cdn.winsoftware.com
winsoftware.com
softwareprofit.com #affilié

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com