| RemoveIT Pro - Attention |
 |
||
 Logiciel "crapware" inutile ou piégé ou trompeur ou frauduleux ou crapuleuxNe pas télécharger - Ne pas utiliser - Ne pas acheter - Ne pas tester Fraude ou tromperie ou crapulerie ou piège 
Software “crapware” useless or trapped or misleading or fraudulent or villainousDo not download - Do not use - Do not buy - Do not try Fraud or racket or villainy or trap |
 |
|
 |
RemoveIT Pro |
|||||||||
| Groupe | Damjan Irgolic (InCode Solutions) |
||||||||||
| Classe | Anti-spywares; Anti-adwares (Classe des anti-trojans) |
||||||||||
| Autres noms | RemoveIT Pro RemoveIT Pro v4 - SE RemoveIT Pro v4 Enterprise |
||||||||||
| Observations | RemoveIT Pro de la société Damjan Irgolic (InCode Solutions) Voir également la discussion entammée le 20 juin 2007 sur nos forums RemoveIT Pro - Un "Remover" like !!! http://assiste.forum.free.fr/viewtopic.php?t=16896 Il s'agit d'un scanner "On demand" exclusivement et pas d'un outil "On access". Lire ce papier à propos des scanners "On Demand" et "On Access" Antivirus et Anti-trojans : Insignifiance des tests "On demand" Ce produit figurait dans « The Spyware Warrior List of Rogue/Suspect Anti-Spyware Products & Web Sites - Eric L. Howes". » http://www.spywarewarrior.com/rogue_anti-spyware.htm Eric a dé-listé ce produit mais je l'ai laissé dans la crapthèque. http://assiste.com.free.fr/p/craptheque/removeit_pro.html Je fais régulièrement des analyses des codes des logiciels par le service VirusTotal et DrWEB signalait encore RemoveIT Pro, le 10 avril 2007, en "downloader.trojan". (Voir capture d'écran de cette analyse ci-dessous).  Suite à une alerte le 20 juin 2007 suivie d'une demande de sortie de la crapthèque par l'auteur de RemoveIT Pro, j'ai :
Comportement de RemoveIT Pro: Ce n'est pas un scanner de fichiers comme tous les scanners « traditionnels » - il ne calcule pas la signature (hash MD5 ou hash SHA1, par exemple) des fichiers pour la comparer à une base de signatures Ce n'est pas un scanner d'emplacements privilégiés (l'archétype et initiateur de cette technique étant Spybot S&D) Lorsque l'on observe la zone en bas à gauche de sa fenêtre, on voit défiler des noms de fichiers comme :
La base de pseudo " signatures " de RemoveIT Pro est massivement constituée de noms de fichiers aléatoires tels que nous les évoquons dans la base de référence mondiale à http://assiste.com.free.fr/p/pacman/pacman_startup_list_aleatoires.html Je procède donc, sous un compte administrateur et sous un XP Pro SP2 totalement à jour à la manipulation simple suivante :
Le scanner propose alors de faire une analyse de tous les fichiers J'accepte et demande l'analyse de ma partition contenant un échantillon de parasites RemoveIT Pro ressort les 3 "parasites ci-dessus" et ne voit strictement rien d'autre. Je ne corrige pas et je recommence alors une analyse sous un compte Windows limité Il ne trouve plus que 2 parasites (quid du troisième ? Il ne voit plus le fichier &0123456789 qui se trouve dans un sous-répertoire de " Program Files" or ce répertoire n'est pas interdit de consultation par un compte limité donc RemoveIT Pro est mal écrit par un mauvais programmeur et mal testé avant commercialisation !) Par contre il me trouve un nouveau parasite dans les répertoires temporaires du compte limité ouvert (même remarque que ci-dessus : sous un compte administrateur, les conteneurs du compte limité auraient dû être analysés donc RemoveIt Pro n'analyse pas tous les répertoires et est donc mal écrit et mal testé. 
Je fais donc immédiatement analyser ce fichier par le service VirusTotal et aucun antivirus ou anti-trojans ne voit rien (Il s'agit donc d'un faux positif). 
Je poursuis par l'analyse complète de tous les fichiers. Il ne voit toujours rien de ma collection de parasites, affiche toujours les 2 fichiers vides et le faux positif mais, dans son décompte, il affiche désormais 4 (quatre) dangereux fichiers (?). Encore une fois, programme écrit n'importe comment et pas testé !   L'analyse est évidemment ultra rapide puisque rien n'est analysé - seuls des noms des fichiers sont comparés, et encore... on ne sait pas comment puisque je fait la manipulation suivante : j'ai, dans mon ordinateur, un autre disque système monté actuellement en disque secondaire. Je crée les mêmes 3 fichiers que ci-dessus, avec les mêmes hiérarchies, et lance l'analyse dessus. Incroyable mais RemoveIt Pro n'a rien vu ! Conclusions Ce produit (version Free) fait une analyse par enveloppe (par contenant) et non par contenu ! Nous avons déjà dénoncé avec force ce comportement irresponsable, scandaleux, primaire (et je mâche mes mots pour ne pas exprimer le fond de ma pensée). Il faut impérativement interdire ce type de comportement et il faut totalement interdire, tout particulièrement, RemoveIT Pro qui me rappelle furieusement « Le Remover » dont notre analyse avait lancé tant de débats sur le Net : voir http://assiste.com.free.fr/p/craptheque/remover.html Comment fonctionne RemoveIT Pro : Dans la première phase il cherche la présence de noms de fichiers qu'il à en "base de signatures" à des emplacements où ils ont été vus. Dans la seconde phase il fait l'inverse : il lit les noms des fichiers et les cherche dans sa base de signatures. C'est tout ! Il n'y a aucune analyse !
RemoveIT Pro est un bricolage d'un amateurisme le plus complet et c'est un danger pour les systèmes ! Regarder les pages d'ajouts de signatures dans RemoveIT Pro, par exemple http://www.incodesolutions.com/virl11.php On y trouve des centaines de noms aléatoires ! Une hérésie ! Par exemple, voici quelques uns des noms de fichiers introduits le 24 décembre 2006 - combien sont totalement inconnus de la scène sécuritaire et de tout l'Internet ? Tous ! Ils ne sont connus que de RemoveIT (et pour 6 d'entre eux, sont donnés en exemple par PrevX ! Pourquoi ? Parce qu'un nom de fichier généré aléatoirement lors de son installation NE PEUT PAS ETRE CONNU D'AVANCE ! Soit il a déjà été utilisé et ne sert plus à rien car il n'y a quasiment aucune chance pour qu'il réapparaisse une seconde fois (c'est pour cela que les criminels du Net font des générateurs de noms aléatoires !) soit il est en gestation dans un algorithme d'un parasite et la seule manière de jouer au devin serait d'inscrire en signature toutes les combinaisons possibles utilisées par l'algorithme soit, pour un nom de fichier simple et court de 8 caractères utilisant uniquement les lettres et les chiffres (sans signes spéciaux), un nombre de combinaisons égal à 36 puissance 8 (36^8 soit 2.821.109.907.456 noms de fichiers possibles !). Recherches Google zqeenlkr.exe - 1 occurrence(s) sur tout Google ! zqbtletr.exe - 1 occurrence(s) sur tout Google ! zjtbreln.exe - 1 occurrence(s) sur tout Google ! zernlcnz.exe - 1 occurrence(s) sur tout Google ! xtztnert.exe - 1 occurrence(s) sur tout Google ! xrnelsxs.exe - 1 occurrence(s) sur tout Google ! xlxektlr.exe - 1 occurrence(s) sur tout Google ! xjjhlbqn.exe - 1 occurrence(s) sur tout Google ! xhzenqnj.exe - 1 occurrence(s) sur tout Google ! xblkenwj.exe - 1 occurrence(s) sur tout Google ! wtnkhhkh.exe - 1 occurrence(s) sur tout Google ! wrzbccjj.exe - 1 occurrence(s) sur tout Google ! wklnlclx.exe - 1 occurrence(s) sur tout Google ! whjtrhtz.exe - 2 occurrence(s) sur tout Google ! weebjtst.exe - 1 occurrence(s) sur tout Google ! vzlejkjs.exe - 1 occurrence(s) sur tout Google ! vwxrtsjj.exe - 1 occurrence(s) sur tout Google ! vskrsbet.exe - 1 occurrence(s) sur tout Google ! vlvsrwqn.exe - 1 occurrence(s) sur tout Google ! vhzvjwjh.exe - 1 occurrence(s) sur tout Google ! vbtxtxhj.exe - 1 occurrence(s) sur tout Google ! tzkbnljl.exe - 1 occurrence(s) sur tout Google ! txncjzjs.exe - 1 occurrence(s) sur tout Google ! tszwslkc.exe - 1 occurrence(s) sur tout Google ! tsnknrbt.exe - 1 occurrence(s) sur tout Google ! tsllknjl.exe - 1 occurrence(s) sur tout Google ! trzxbljk.exe - 1 occurrence(s) sur tout Google ! trscelkn.exe - 1 occurrence(s) sur tout Google ! trqtbbtn.exe - 1 occurrence(s) sur tout Google ! trjrkshn.exe - 1 occurrence(s) sur tout Google ! tqtnrbzt.exe - 1 occurrence(s) sur tout Google ! tlncslrk.exe - 1 occurrence(s) sur tout Google ! tkcknstb.exe - 1 occurrence(s) sur tout Google ! tjxbwjhk.exe - 1 occurrence(s) sur tout Google ! tjsbvskl.exe - 1 occurrence(s) sur tout Google ! thhkqqcz.exe - 1 occurrence(s) sur tout Google ! teswhnxv.exe - 1 occurrence(s) sur tout Google ! teqknsbv.exe - 1 occurrence(s) sur tout Google ! tbvezswl.exe - 1 occurrence(s) sur tout Google ! tbrejntt.exe - 1 occurrence(s) sur tout Google ! tbkhrwtk.exe - 1 occurrence(s) sur tout Google ! sxhqvlbl.exe - 1 occurrence(s) sur tout Google ! sxcnjbsj.exe - 1 occurrence(s) sur tout Google ! ssntejkt.exe - 1 occurrence(s) sur tout Google ! sslwbbne.exe - 1 occurrence(s) sur tout Google ! ssblhheq.exe - 1 occurrence(s) sur tout Google ! sqnxhnrr.exe - 2 occurrence(s) sur tout Google ! sqjwkrbj.exe - 1 occurrence(s) sur tout Google ! rvkbrkrn.exe - 1 occurrence(s) sur tout Google ! qlzeslns.exe - 1 occurrence(s) sur tout Google ! obhasb.exe - 1 occurrence(s) sur tout Google ! nztbkvbv.exe - 1 occurrence(s) sur tout Google ! lvtqexbz.exe - 1 occurrence(s) sur tout Google ! lnxkrwcx.exe - 1 occurrence(s) sur tout Google ! leeeczne.exe - 1 occurrence(s) sur tout Google ! klxvsjsj.exe - 1 occurrence(s) sur tout Google ! khvxnbcw.exe - 1 occurrence(s) sur tout Google ! khkekcnh.exe - 1 occurrence(s) sur tout Google ! jjxrntsb.exe - 1 occurrence(s) sur tout Google ! hlbtbjbs.exe - 2 occurrence(s) sur tout Google ! erbjwxjs.exe - 1 occurrence(s) sur tout Google ! bnlekerc.exe - 1 occurrence(s) sur tout Google ! bktzejjb.exe - 1 occurrence(s) sur tout Google ! bkrvbsks.exe - 1 occurrence(s) sur tout Google ! bewwnrrc.exe - 1 occurrence(s) sur tout Google ! belsrlnh.exe - 1 occurrence(s) sur tout Google ! behrnthe.exe - 1 occurrence(s) sur tout Google ! bebwtben.exe - 1 occurrence(s) sur tout Google ! bebkejzl.exe - 1 occurrence(s) sur tout Google ! bceqwcsw.exe - 2 occurrence(s) sur tout Google ! bbwlvvxt.exe - 1 occurrence(s) sur tout Google ! bbwkswvx.exe - 1 occurrence(s) sur tout Google ! bbthszks.exe - 2 occurrence(s) sur tout Google ! bbstlnhn.exe - 1 occurrence(s) sur tout Google ! bbslntkr.exe - 1 occurrence(s) sur tout Google ! bbsjtejb.exe - 2 occurrence(s) sur tout Google ! bbsbzkzx.exe - 1 occurrence(s) sur tout Google ! Ces noms peuvent tout aussi bien être des faux, des inventions pures et simples ! Rien ne permettrait de le confirmer ou de l'infirmer. D'où sort-il ces noms qui n'existent pas sur tout l'Internet mondial ? J'ai peut-être une méthode : cherchons avec Google si le fichier grum.exe existe... Non ! Donc on peut le mettre dans la base de signatures de RemoveIT Pro Incidemment on remarquera que RemoveIT Pro ne sait même pas de quel parasite il peut bien s'agir lorsqu'il propose de détruire un fichier. On est en plein univers des suppositions ! Par exemple, &0123456789.exe est donné pour être le parasite sys32.&0123456789.exe qui est un parasite imaginaire. Dans sa base de signatures, le principe même d'incertitude est affiché : le fichier &0123456789 pourrait être (d'après lui mais cela n'a jamais été vérifié sur le Net) un composant de : virusrescue ou virus-bursters ou pesttrap ou pcodec ou intcodec ou elitecode etc. ... En fait, il ne sait pas du tout ce que c'est et s'en fiche - il lance une alerte, c'est tout : "dangereux virus ou vers" sans plus. Il ne sait strictement rien de ce qu'il y a dans ce fichier et lance une supposition que c'est dangereux avec suggestion de l'effacer parce qu'un jour, un parasite "on ne sait pas lequel" a créé un fichier portant ce nom ! Il ne sait même pas de quel type de parasites il parle et, en l'occurrence, pour &0123456789, pas de chance car les noms de parasites probables que l'on peut déduire à la lecture des noms des sous-répertoires dans lesquels ils se trouveraient ( virusrescue, virus-bursters, pesttrap, pcodec, intcodec, elitecode ...) ne sont ceux d'aucun vers ni virus mais de crapwares (appelés PUP par certains - Potentialy Unwanted Program) ! Lorsque l'on recherche un nom de fichier sur le site de RemoveIT Pro, ce dernier ne donne que, laconiquement et invariablement, la même réponse : "c'est un parasite connu de nous" ! C'est tout - on n'en saura jamais plus ! Le nom que RemoveIT Pro donne aux "parasites" est win32 ou sys32 etc. ... suivi du nom du fichier ! Il y a gros à parier que son auteur n'y connaît absolument rien en parasites ni en convention de nommage et aligne des noms de fichiers aléatoires (qui, par essence, ne servent à rien puisqu'ils sont aléatoires) trouvés en écumant les bases de Prevx, Symantec etc. ..., sites qui donnent quelques exemples de noms aléatoires (pour de vrais parasites) qui ont de fortes chances de ne plus jamais se re-présenter à nouveau. Quand bien même les fichiers détruits sans analyse seraient ceux de parasites, je rappelle avec force que lors de la découverte d'un parasite, la conduite a tenir n'est que marginalement l'éradication du parasite ! Il faut se renseigner sur ce parasite pour savoir ce qui s'est passé en amont et imaginer ce qui va se passer en aval (qu'est-ce qui a été compromis, quelle faille a été utilisée qu'il convient de rechercher et corriger sinon cela va recommencer, quelles sont les conséquences de la compromission en matière de sécurité comme en matière de données compromises (risque industriel, commercial, juridique etc. ...). Lire impérativement : Réactions face à la découverte d'un parasite http://assiste.com.free.fr/p/abc/a/reactions_face_a_la_decouverte_d_un_parasite.html Jamais un fichier n’est dangereux ! Seul le contenu d’un fichier, dont le nom importe peu, est plus ou moins dangereux ou pas du tout. Qu’un contenu dangereux ait été vu dans un fichier nommé « machin » à un instant de raison ne permet à aucun moment de déclarer que le fichier « machin » est définitivement dangereux : le nom d’un fichier est complètement sans intérêt et a fortiori s’il s’agit de noms aléatoires. La détection par enveloppe est une faute lourde. Aucun outil ayant de tels agissements ne sera jamais autorisé à citer. Cette démarche était déjà pathétique il y a 15 ou 20 ans alors que l’on savait déjà faire des signatures de contenus, même sommairement avec des crc16 ou 32. Aujourd’hui, même les md5 ou sha1 sont sur la sellette car des collisions seront probablement obtenues à la demande prochainement et les successeurs de ces algorithmes sont en développement. Les noms aléatoires sont par nature innombrables et innommables. La détection du code contenu est le strict minimum aujourd’hui. Nous n’en sommes d’ailleurs même plus là depuis longtemps avec le polymorphisme et les hooker (rootkit). L’analyse comportementale est nécessaire. La marche en avant est celle des sandbox et autres virtualisation à la Geswall. Ce n’est pas un hasard si le classement AV Comparative fait ressortir les multi-moteurs avec virtualisation (voir l’avant dernière colonne du tableau dans http://assiste.com.free.fr/p/presse_news/c_est_microsoft_windows_onecare_qu_on_assassine.html RemoveIT Pro est incapable, par conception même, de donner le moindre nom de parasite - il est donc impossible d'agir : on efface des fichiers aveuglément et c'est tout ! C'est d'une imbécilité crasse ! Donc RemoveIT, toutes versions, est une dangerosité (et probablement une escroquerie pour la version payante que je n'ai pas testée) et sa position dans la crapthèque est renforcée. |
||||||||||
| RogueRemover Pro SmitFraudFix |
Empêchez l'installation, même par erreur, de crapuleries : RogueRemover et RogueRemover Pro. Protégez-vous avec nos kits de sécurité. |
||||||||||
| Tromperie | |
||||||||||
| Agression / Peur | |
||||||||||
| Faux (positifs / négatifs) | Des problèmes de "faux positifs", admis par l'auteur, ont été corrigés dans la version 2.4.2006 du 19.02.2006 Faux positif à http://forum.avast.com - 1 Faux positif à http://forum.avast.com - 2 Deux mois après cette correction, on signale encore, le 8 avril 2006, des faux positifs Faux positifs sur Wilders Security On peut lire, sur le site de RemoveIt Pro, page "removeitent" et sur d'autres pages, comme un trophé ou une fierté : "Now RemoveIT Pro has advanced hash" à propos de la version Version XT2 Enterprise (29.7.2006) ce qui corrobore notre analyse d'une détection basée sur les noms et emplacements des fichiers (signature par enveloppe) et non sur le contenu (signature par hash code). Nous avons développé la critique virulente de cette approche à propos d'un autre outil appelé "Remover". Descente en flammes sur wilderssecurity.com où la détection est signalée basée sur les noms et emplacements des objets ! Ce produit génère encore des faux positifs (vérifié le 21 juin 2007) non par volonté de faire peur et de provoquer un acte d'achat mais par conception même, indigente, erronée, du produit. |
||||||||||
| Usurpation / Hijacking | |
||||||||||
| Installation silencieuse | |
||||||||||
| CyberSquatting | |
||||||||||
| Piratage logiciel | |
||||||||||
| Piratage BdD | |
||||||||||
| Trojan | |
||||||||||
| Témoignages | |||||||||||
| Conditions Vie Privée Privacy |
Aucune clause (ou pas trouvée) Aucune clause concernant la vie privée bien que :
|
||||||||||
| Conditions Clauses Générales du site Terms |
http://www.incodesolutions.com/license.php |
||||||||||
| Conditions Agrément de licence Eula (End User Licence Agrement) |
http://www.incodesolutions.com/license.php
|
||||||||||
| Version d'essai Trial |
Oui |
||||||||||
| Rédemption |
|
||||||||||
| Mettre en liste noire | Les domaines (sites) et machines suivants peuvent être bloqués. Utilisez Hosts pour bloquer les domaines suivants. incodesolutions.com Utilisez votre pare-feu pour bloquer les machines suivantes (adresses IPs). 70.85.83.4 |
||||||||||
| Analyse du code | Analyse pas encore effectuée (ou absence du code dans ma collection - pourriez-vous m'indiquer un lien de téléchargement de ce code) |
||||||||||
|
Données pour chercheurs
|
|||||||||||
| Url du téléchargement | http://www.incodesolutions.com/downloads/removeit_pro.exe |
||||||||||
| MD5 | 873614557d3fc5e0c577d6efdff48cd8 d45a6131952e18e46f28fcb079eee7f8 |
||||||||||
| SHA1 | 69d0ee42a6146beb36ee5b669f4c9308f6449070 6fdc8944da672b24d72025c877062607780b55de |
||||||||||
| Programme d'affiliation | Shareit |
||||||||||
| Registrant | |
||||||||||
| Registrar | |
||||||||||
| Précautions d'usage |
|
||||||||||
| En savoir plus | La Crapthèque - Logiciels de sécurité crapuleux ou nuls à ne jamais utiliser
La liste des logiciels crapuleux de Eric L. Howes sur SpywareWarrior Bloquer les domaines (sites) crapuleux avec Hosts La logithèque L'alternathèque Les antivirus Les anti-trojans/anti-spywares Les pare-feux Réactions à avoir face à la découverte d'un parasite |
||||||||||
| Google RemoveIT Pro Google removeit_pro Google (Pas identifiée) Google RemoveIT Pro (Pas identifiée) |
|||||||||||
| A l'aide ! | Forum Forum HijackThis Analyse de logs (type HijackThis...) |
||||||||||
| Décontamination | Protocole d'auto-décontamination simple suivi d'une demande de vérification Protocole d'auto-décontamination étendu - "La Manip" Installez un Kit de sécurité |
||||||||||
| Précisions / Informations |
Merci de me signaler les erreurs et omissions.
Contact informatif à propos de cette fiche:Afin de fournir une information correcte, précise et à jour, j'encourage l'éditeur de ce produit ou service à me contacter si la moindre partie de cette fiche est à réviser. Contact information about this card:In order to provide correct, accurate and up to date information, I encourage the editor of this product or service to contact me if any part of this card is to be revised. |
| Information sur le document original |
| © Pierre Pinard et Assiste.com - 1999 - 2007. Ce document, intitulé «
», dont l'url est «
», est extrait de l'encyclopédie de la sécurité informatique « http://assiste.com ». Il est mis à votre disposition selon les termes de licence « Creative Commons » qui s'imposent à vous. Vous avez le droit de copier et modifier la copie de cette page dans les conditions fixées par cette licence et tant que cette note est reproduite intégralement et apparaît clairement dans la copie ou la copie modifiée. Lire les conditions de la licence. Toutes les marques citées appartiennent à leurs propriétaires respectifs. Le principe d'absence de responsabilité du site d'origine (Assiste.com) au regard des contenus des sites cibles pointés est rappelé par l'arrêt du 19 septembre 2001 de la Cour d'Appel de Paris. |
| Vie et maintenance du site |
| Vous avez trouvé de l'aide ? Ces pages vous ont été utiles ? Soutenez le site par une donation. |
|
| Recherches sur le Net : |
| Google Yahoo! Ask Jeeves AllTheWeb Msn Technorati Feedster Bloglines Altavista Voila |
| Rechercher "
" sur le Net : |
| Google Yahoo! Ask Jeeves AllTheWeb Msn Technorati Feedster Bloglines Altavista Voila |
| Google Yahoo! Ask Jeeves AllTheWeb Msn Technorati Feedster Bloglines Altavista Voila |
| Historique des révisions |
|
Proposer une mise à jour du site, une révision, une correction, un complément sur cette page
|
|
10.04.2007 Analyse - Maintiend dans la crapthèque
20.06.2007 Analyse approfondie 21.06.2007 Mise à jour 22.06.2007 Complément suite à demande de retrait par l'auteur 23.06.2007 Analyse des clauses Terms et EULA 25.06.2007 Mise à jour Dernière modification le |
Rédigé en écoutant :
Music
Music