NoAdware du groupe NoAdware / Spyware Assassin


Sous le nom de SpyBan :
Le site de téléchargement "download.com" du groupe "c|net" avait retiré SpyBan de son site puis l'a réintroduit alors même que le site de SpyBan a disparu (une tentative d'accès à http://www.spyban.com affiche que le nom de domaine est à vendre mais propose également d'accéder à SpyBouncer, un autre faux utilitaire de sécurité) ! Je soupçonne "c|net" d'être rémunéré au nombre de téléchargement, SpyBan étant probablement lui-même rémunéré au nombre d'installations par les commanditaires des spywares qu'il embarque. En fait, SpyBan n'est qu'un dropper, une forme minimaliste de trojan. Il est sûrement déjà réapparu sous un autre nom, quelque part. Il y a tellement d'anti-spywares aux noms de Spyxxx Spyyyy Spyzzz etc…

Analyse de SpyBan par Patrick Kolla (l'auteur de SpyBot Search and Destroy) : "Présenté sur www.spyban.net, il y a un soi-disant logiciel anti-spyware nommé SpyBan. Ce logiciel n'a même pas terminé son installation sur nos machines de test, alors qu'il avait installé de multiples variantes de malware et de spyware, comme VX2/h (ABetterInternet) et une nouvelle variante de Look2Me. Donc en réalité ce logiciel ne supprime pas de spyware, mais il en installe, et nous vous conseillons de vous abstenir de seulement essayer de l'installer, à moins d'avoir un autre outil de suppression pour nettoyer les saletés que SpyBan génère."

Ressources à propos de la version commercialisée sous le nom de "SpyBan" de NoAdware :
http://www.zdnet.co.uk/zdnetuk/news/internet/security/0,39020375,39145496,00.htm
http://www.pcsympathy.com/article379.html
http://www.netrn.net/archives2/000364.html
http://www.kephyr.com/spywarescanner/library/spyban/index.phtml
http://news.com.com/2100-1032_3-5153485.html
http://www.safer-networking.org/index.php?page=news&detail=2003-10-26

Sous le nom de Spyware Assassin :
14-Mar-2005, 18:22
Un vendeur de logiciels qui a essayé de gonfler ses ventes en proposant de supprimer des espiogiciels inexistants a vu son activité temporairement arréte par la justice américaine.
Selon la Federal Trade Comission, les fabriquants de Spyware Assassin ont tenté d'effrayer les consommateurs, via popups et emails clamant que leurs ordinateurs ont été infectés par divers codes malicieux, afin de les orienter vers l'achat de leur logiciel.
Le scan gratuit proposé par la société MaxTheater a mis en évidence la présence de logiciels espions même sur des stations de travail totalement propres. De plus son logiciel Spyware Assassin, vendu $29.95, ne supprimait en réalité aucun vrai spyware présent sur le système.
Un tribunal américain a alors demandé à la société et à son propriétaire, Thomas Delanoy, d'arréter immédiatement ses activités liées au logiciel. La société devrait d'ailleurs être également condamnée à rembourser l'intégralité des sommes perçues pour les ventes de Spyware Assassin.
Source: http://www.echu.org/portail/modules/soapbox/article.php?articleID=81
Source: http://www.ftc.gov/opa/2005/03/maxtheater.htm
Source: http://www.ftc.gov/os/caselist/0423213/050311comp0423213.pdf
Source: http://www.ftc.gov/os/caselist/0423213/050311tro0423213.pdf

La plupart de domaines faisant la promotion de l'un ou l'autre de ces clones ne propose ni contrat d'utilisation (EULA) ni déclaration de politique "Vie Privée".


Voici le genre de Spam "calme et persuasif" que vous êtes susceptible de recevoir : Une lecture en diagonale doit faire sauter à vos yeux les mots ou expressions que nous avons soulignés en gras ici. Chaque fois que vous voyez des choses similaires, vous devez jeter immédiatement la correspondance. Ce genre de correspondances doit aller directement à la poubelle dès la lecture du sujet, sans même ouvrir (en code source uniquement si vous le faites et connexion coupée) pour voir le contenu.

From: "No-adware" <noreply@zaphier.com> Subject: Urgent Spyware Notice Reply-To: noreply@zaphier.com Date: Wed, 30 Mar 2005 01:00:34 -0600 **** Urgent Spyware Notice **** Your Machine may be infected! **** Millions of computers already infected Is your computer running slow? This is a very urgent notification about spyware that is currently doing the rounds on the internet, please read this email and forward it to as many people you know. Recently a whole bunch of my clients have had their computers infected with spyware, adware and Trojan scripts. If you don't know what spyware, adware and Trojans are, here is a quick breakdown for you. Spyware: Spyware is a script (software) that runs without the user's knowledge. Its aim is to share your private files over the internet with its creator. Adware: Adware is a script or series of scripts installed on your computer (most often without your knowledge) that will trigger irritating pop up adverts on your computer. Trojans: Trojans are scripts that are installed on your computer (most often without your knowledge) that are aimed at downloading your private files over the internet. Besides the obvious threat of your private content landing up in someone else's hands and the intrusion of your privacy with pop up advertising all over your computer, these scripts can seriously damage your machine. Because these malicious scripts use a lot of system resources, your machine often lands up running at maximum capacity, which could result in burnt out processors and crashed hard drives. If you have noticed that your machine is running slower than normal, you are more than likely infected. There is a quick and simple solution to all of this, and even if you don't think you are infected it is worth taking two seconds to check and protect yourself against future threats... TRUST ME! You can use this free tool to check at: http://www.techdirect.co.za/spyware.htm P.S Even if your antivirus application says it blocks these harmful scripts, I strongly recommend you use the free tool and check since most antivirus applications do not adequately protect you against these kinds' of threats. Use the free tool at http://www.techdirect.co.za/spyware.htm P.P.S After using this tool, please forward this message to as many people as you know. ------------------------------------------------------------- Assc programs zaipher TD12561 ------------------------------------------------------------- TECH-direct · P.O. Box 165 · Hillcrest, South Africa 3610

Dans le spam ci-dessus, on peut voir que le domaine de téléchargement de l'outil "gratuit" à un TLD (Top Level Domain) = à "za" ce qui correspond à l'Afrique du Sud (vois les Codes pays - TLDs - Norme ISO 3166-1 - ccTLD). L'Afrique du Sud ne possède pas de serveur Whois, il n'est donc pas aisé d'avoir des informations sur le serveur co.za mais nous avons quelques infos archivées en 2003 et 2004:

• Search on data called techdirect.4
  0a. Last Update: Wed Aug 6 15:11:16 SAST 2003
  0b. Sender: dns-admin@hit.co.za
  0c. Posted: Wed, 6 Aug 2003 15:10:50 +0200
  0d. Subject: techdirect.co.za
  0g. Hist Cnt: 1
  0h. Inv Number: 301566
  0i. Contract: NEW
  0j. Coza Version: $Revision: 1.92 $ $Date: 2003/01/14 12:26:27 $
  1a. Domain: techdirect.co.za
  1b. Action: N
  2a. Domain Owner: Wickhit.com
  2b. Owner Postal: P.O. Box 1442, Pinetown, 3600
  2c. Owner StAddr: 509 Musgrave Office Towers, 115 Musgrave Rd,
  2d. Payment: 150
  2e. Ac/Inv/Chqe: I
  2f. Bill/Acct: Conn
  2g. Mail Bill to: accounts@hit.co.za
  2h. NoDelayWord: **set**
  2i. Invoice Addr: P.O. Box 1442, Pinetown, 3600
  2j. Owner Phone: +27 86 022 2377
  2k. Owner Fax: +27 31 201 4503
  2l. Owner E-Mail: admin@hit.co.za
  3a. Opp Date: 2003/08/06 15:11:02
  3b. CNAME Base:
  3c. CNAME sub1:
  3d. CNAME sub2:
  4a. Adm Contact: Zaltsman, Ivan
  4b. Adm Title: Network Administrator
  4c. Adm Company: Wickhit.com
  4d. Adm Postal: P.O. Box 1442, Pinetown, 3600
  4e. Adm Phone: +27 86 022 2377
  4f. Adm Fax: +27 31 201 4503
  4g. Adm E-Mail: admin@hit.co.za
  4h. Adm Nic:
  5a. Tec Contact: DNS Administrator
  5b. Tec Title: DNS Administrator
  5c. Tec Company: Wickhit.com
  5d. Tec Postal: P.O. Box 1442, Pinetown, 3600
  5e. Tec Phone: +27 86 022 2377
  5f. Tec Fax: +27 31 201 4503
  5g. Tec E-Mail: dns-admin@hit.co.za
  5h. Tec Nic:
  6a. Prim NS FQDN: dns.hit.co.za
  6b. Prim NS IP: 196.7.50.194
  6e. Sec NS1 FQDN: dns.connx.co.za
  6f. Sec NS1 IP: 196.7.50.34
  
  
  
• Search on data called techdirect.3
  0a. Last Update: Tue Apr 27 15:45:55 SAST 2004
  0b. Sender: dns-admin@hit.co.za
  0c. Posted: Mon, 26 Apr 2004 15:30:39 +0200
  0d. Subject: techdirect.co.za update
  0g. Hist Cnt: 2
  0h. Inv Number: 0
  0i. Contract: NEW
  0j. Coza Version: $Revision: 1.103 $ $Date: 2004/03/26 07:30:52 $
  1a. Domain: techdirect.co.za
  1b. Action: U
  2a. Domain Owner: Qinet cc Trading as Techdirect
  2b. Owner Postal: P.O. Box 1442, Pinetown, 3600
  2c. Owner StAddr: Unit 32 Waterfall shopping centre, Waterfall
  2d. Payment: 0
  2e. Ac/Inv/Chqe: I
  2f. Bill/Acct: Conn
  2g. Mail Bill to: accounts@hit.co.za
  2h. NoDelayWord: **set**
  2i. Invoice Addr: P.O. Box 1442, Pinetown, 3600
  2j. Owner Phone: +27 31 763 5643
  2k. Owner Fax: +27 31 201 4503
  2l. Owner E-Mail: admin@hit.co.za
  3a. Opp Date: 2004/04/27 15:45:09
  3b. CNAME Base:
  3c. CNAME sub1:
  3d. CNAME sub2:
  4a. Adm Contact: Zaltsman, Ivan
  4b. Adm Title: Network Administrator
  4c. Adm Company: Wickhit.com
  4d. Adm Postal: P.O. Box 1442, Pinetown, 3600
  4e. Adm Phone: +27 86 022 2377
  4f. Adm Fax: +27 31 201 4503
  4g. Adm E-Mail: admin@hit.co.za
  4h. Adm Nic:
  5a. Tec Contact: DNS Administrator
  5b. Tec Title: DNS Administrator
  5c. Tec Company: Wickhit.com
  5d. Tec Postal: P.O. Box 1442, Pinetown, 3600
  5e. Tec Phone: +27 86 022 2377
  5f. Tec Fax: +27 31 201 4503
  5g. Tec E-Mail: dns-admin@hit.co.za
  5h. Tec Nic:
  6a. Prim NS FQDN: dns.hit.co.za
  6b. Prim NS IP: 196.7.50.194
  6e. Sec NS1 FQDN: dns.connx.co.za
  6f. Sec NS1 IP: 196.25.97.67
  
  

Ce serveur répond sur la machine 64.202.166.12
Cette machine est blacklistée en tant que spammeur dans les RBL de http://www.spam-rbl.com/

L'éditeur a, semble t'il, mis un terme à une partie substantielle, si ce n'est la totalité, des raisons de sa présence dans la crapthèque. Toutefois, son produit ne peut être recommandé car :

• l'état d'avancement de son produit ne permet pas d'espérer qu'il rattrape son retard
  
• il existe un peloton de tête d'excellents utilitaires de cette nature, certains étant gratuits
  
• les acteurs de ce peloton de tête ne se sont pas compromis dans des crapuleries pour réussir
  
• les acteurs de ce peloton de tête s'inscrivent dans la durée d'un service de qualité depuis des années
  
• ...
  

On ne peut donc ni pardonner ni oublier ces activités maffieuses et ces errements de quelqu'un qui prétend oeuvrer dans la sécurité informatique et de la navigation sur le Net.
Fin 2004, NoAdware a sorti une nouvelle version (version 3) de son outil et mis au pas son réseau d'affiliés (prescripteurs / revendeurs)