BitGuard : un système de recherche forcée

Cela fait un an que les utilisateurs sont confrontés à un système pour le moins agressif doté de plusieurs composants qui est difficile à éliminer soi-même, et ce en dépit de l’existence de programmes de désinstallation formels. Il s’agit de BitGuard dont la fonction consiste à substituer les pages d’accueil et les résultats de recherche.

BitGuard est considéré comme un système malveillant car il modifie les paramètres des navigateurs à l’insu de l’utilisateur. Il intègre également une fonction de cheval de Troie de la famille Inject (injection de son code dans les processus connexes) et StartPage (substitution des pages d’accueil des navigateurs et des pages de résultats). Une partie de sa fonction correspond également au comportement de Trojan-Downloader (téléchargement de fichiers malveillants depuis Internet).

Afin de simplifier les explications, nous utiliserons dans le cadre de cet article le nom générique BitGuard (nom d’un des modules exécutables) pour désigner l’ensemble de la famille de programmes et de modules qui possèdent un comportement similaire.

BitGuard est diffusé avec des barres d’outils (MixiDJ, Delta Search, Iminent, Rubar, etc.) qui rapportent de l’argent à leurs auteurs via le transfert de l’utilisateur à l’aide de liens vers des pages présentant des résultats de recherche qui ne sont pas pertinents. Nous supposons que BitGuard est utilisé dans plusieurs partenariats.

Barres d’outils

Une des méthodes illégitimes utilisées pour augmenter la popularité d’un site consiste à présenter aux internautes des pages de résultats de recherche dans lesquelles les sites à promouvoir sont placés en tête de liste; Cette méthode repose sur l’utilisation de moteurs de recherche particuliers et d’extensions spéciales pour les navigateurs (des barres d’outils) qui redirigent l’internaute vers une page contenant des résultats non pertinents. C’est la stratégie adoptée par quelques partenariats.

L’opération se déroule de la manière suivante :

  • Un moteur de recherche et une extension pour le navigateur (barre d’outils de recherche) contenant un champ pour la saisie de la recherche sont développés.
  • Le programme d’installation de la barre d’outils est stocké sur le serveur d’un service d’hébergement d’où il peut être téléchargé par les installateurs du partenariat.
  • L’internaute lance une recherche et tente de télécharger le morceau, le logiciel ou la vidéo qui l’intéresse, mais il télécharge en réalité le programme d’installation intermédiaire du partenariat. Une fois exécuté, il lance l’installation de la barre d’outils (avec l’accord de l’utilisateur dans certains cas).
  • L’internaute saisit le texte de sa recherche dans le champ de la barre d’outils et il est redirigé vers une page de résultats récupérés par le système associé à la barre d’outils.
  • Le lien vers le site à promouvoir se trouve en tête des résultats sur cette page.
  • L’internaute clique sur les liens proposés et se retrouve sur le site du commanditaire de la publicité.
  • Le propriétaire de la page obtient son trafic.
  • Les propriétaires de la barre d’outils obtiennent un revenu.

De plus, il est possible de louer des espaces publicitaires sur la page des résultats, ce qui constitue une source de revenus complémentaires pour les développeurs du moteur de recherche.

Le mode de propagation de ces barres d’outils dépend du partenariat.

Le plus souvent, elles sont diffusées via des sites proposant des logiciels gratuits : elles peuvent figurer dans des installateurs via réseau ou dans des logiciels gratuits légitimes.

Supposons qu’une organisation mette en place une plateforme Internet qui permet aux développeurs de freeware et de shareware de diffuser leurs applications. En général, le programme d’installation est commun à l’ensemble des applications de ce site. Il contient un extension de recherche pour navigateur qui pourrait se retrouver sur l’ordinateur de l’internaute lorsque celui-ci télécharge des applications depuis le site. Les propriétaires du partenariat versent une commission aux propriétaires de la plateforme.

Dans le cadre de ce mode de diffusion, l’utilisateur télécharge le programme d’installation de l’application qui l’intéresse et lance l’installation. Dans certains cas, le programme d’installation peut télécharger une application légitime et dans d’autres, il se contente d’imiter le processus d’installation d’une application utile. Lors de l’installation, l’utilisateur est invité à installer la barre d’outils.

La barre d’outils de recherche peut être téléchargée et installée de manière autonome et non pas en tant qu’ajout à un programme d’installation tiers. N’importe quel webmaster peut télécharger un constructeur de barre d’outils et configurer des fonctions complémentaires. Une fois terminée, la barre d’outils est placée sur un site en vue d’être téléchargée par les internautes et le webmaster est payé par les propriétaires du partenariat.

Vu que dans ce cas, l’utilisateur doit télécharger lui-même la barre d’outils de recherche, ses auteurs tentent d’attirer l’attention du « client » potentiel via le design de la page Web d’où la barre d’outils est téléchargée ou vantant ses mérites (facilité d’utilisation, fiabilité, « recherche en ligne optimale, « meilleure que toutes les autres solutions du marché »).

Installation de la barre d’outils

A titre d’exemple, nous allons examiner l’installation de Delta Search Toolbar et de Mixi.D.J. Elles appartiennent à un partenariat et elles utilisent souvent le même référentiel (groupe de serveurs) pour héberger leurs composants. Ces barres d’outils sont diffusées sur plusieurs site comme mixi.dj, deltasearchtoolbar.loyaltytoolbar.com.


Téléchargement du programme d’installation

Une fois lancé, le programme d’installation ouvre la fenêtre d’installation de la barre d’outils.


Fenêtre du programme d’installation de Delta Search Toolbar

Afin que l’utilisateur ne soit pas tenté de refuser d’installer l’extension, le bouton « Skip » (ignorer) est pratiquement invisible.


Fenêtre du programme d’installation de Delta Search Toolbar

L’interface de l’installateur de Mixi.DJ (proportions des boutons, polices, séquences de l’installation) ressemble à celle du programme d’installation de Delta Search, ce qui laisse penser qu’une seule personne se trouve derrière ces programmes d’installation et ces barres d’outils.


Fenêtre du programme d’installation de Mixi DJ

Comme nous le voyons, les propriétaires de ces barres d’outils exploitent les ruses les plus diverses pour parvenir à installer leur application sur les ordinateurs des internautes.

Toutefois, la moindre application qui redirige l’utilisateur vers des sites qui ne proposent rien d’utile sera considérée comme indésirable par cet utilisateur et supprimée. C’est la raison pour laquelle les barres d’outils sont accompagnées d’un module qui empêche la modification des paramètres du navigateur après que la barre d’outils a été installée. Ainsi, les auteurs de la barre d’outils obligent la victime à voir les pages ciblées contenant les liens des sites promus, même après la suppression de la barre d’outils elle-même.

BitGuard est un de ces modules. Sa tâche consiste à remplacer en permanence les adresses configurées dans le navigateur (y compris la page d’accueil et la page de recherche) par les adresses des pages de résultats de recherche non pertinents contenant les liens vers les sites promus par la barre d’outils.

Installation de BitGuard

BitGuard peut être téléchargé avec n’importe quelle barre d’outils associée à un partenariat. L’installation s’opère via un programme d’installation unique. La barre d’outils est d’abord installée, puis (dans le cadre de ce même processus), c’est BitGuard qui est installé.

Les utilisateurs ne sont pas prévenus. L’installation et le lancement de BitGuard s’opèrent sans la confirmation de l’utilisateur. L’adresse et les noms des dossiers dans lesquels sont installés les composants peuvent varier à chaque fois (par exemple, « BitGuard », « Browser Defender », « BProtect », etc.)

Le nom du fichier exécutable à installer varie en fonction de l’installateur et de la version de la barre d’outils. Ainsi, Delta Search Toolbar lance l’application sous le nom de « browserprotect.exe ».

Vous trouverez ci-après des exemples d’adresses de répertoires dans lesquels l’ensemble de composants BitGuard a été installé.

…appdatalocaltempnsv96a4.tmp
…local settingstempnsi19.tmp

En règle générale, l’ensemble de composants contient les éléments suivants :

  • module exécutable principal (il peut porter un des noms suivants : browserprotect.exe, bprotect.exe, bitguard.exe, browserdefender.exe etc.) ;
  • bibliothèque utilisée pour l’insertion dans d’autres processus (browserprotect.dll, browserdefender.dll, bprotect.dll, bitguard.dll, etc.) ;
  • fichier de configuration contenant les liens vers les pages de recherches ciblées et fichiers de mise à jour cryptés (BitGuard obtient les paramètres du programme d’installation et en général ils correspondent aux paramètres de la barre d’outils installée par ce même programme d’installation) ;
  • scripts des extensions pour Firefox ou Chrome (en fonction des versions).

La bibliothèque et le module exécutable portent la signature « Performer Soft LLC » délivrée par ForwardTech Inc. Actuellement, cette signature a été révoquée et n’est plus considérée comme valide par notre logiciel antivirus.

Après la première exécution, le module exécutable s’installe dans Application Data avec les modules associés. Le fichier EXE peut être renommé en browserprotect.exe, browserdefender.exe ou n’importe quel autre nom en fonction de sa version. Il agit de la même manière avec les autres composants :

browserprotect2.6.1249.132{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}browserprotect.exe
browserprotect2.6.1249.132{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}browserprotect.dll
browserprotect2.6.1339.144{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}browserprotect.settings

Il convient de signaler que les barres d’outils originale peuvent être supprimées à l’aide d’outils traditionnels, ce qui n’est pas le cas de BitGuard. Sa suppression requiert des outils complémentaires comme un logiciel antivirus ou un utilitaire de suppression des extensions indésirables du navigateur). Son fonctionnement ne dépend pas de la présence de la barre d’outils en elle-même dans le système. Il est associé au module de recherche original via les paramètres. Le dossier contenant les modules « BitGuard » contient un faux programme de désinstallation (uninstall.exe) qui est en réalité une copie conforme de browserprotect.exe. Le processus de suppression lancé à l’aide de ce programme se contente en réalité de supprimer BitGuard de la liste des applications installées. La suppression physique des objets du système n’a pas lieu.

Enregistrement dans le système et préparatifs du fonctionnement

Après la copie des fichiers, certaines versions de browserprotect.exe peuvent s’enregistrer en tant que service Windows, ce qui lui permet de se charger avant winlogon.

Ensuite, browserprotect.exe crée une tâche pour son propre lancement à l’aide des possibilités standard du Planificateur de tâches Windows.

system32schtasks.exe », » »system32schtasks.exe » /delete /f /tn « BrowserProtect »
system32schtasks.exe » /delete /f /tn « BrowserProtect »

system32schtasks.exe » /create /tn « BrowserProtect » /ru « SYSTEM » /sc minute /mo 1 /tr
« system32sc.exe start BrowserProtect » /st 00:00:00
system32schtasks.exe », » »$system32schtasks.exe » /create /tn « BrowserProtect » /ru « SYSTEM » / sc minute /mo 1 /tr « system32sc.exe start BrowserProtect » /st 00:00:00

Le système BitGuard conserve sous forme cryptée les URL cibles sur lesquelles la substitution des adresses des pages d’accueil et des pages de recherche aura lieu dans le fichier browserprotect.settings et dans ses propres clés du registre.

« hkcusoftware5e2d9dce63abf472.6.1339.144 » -> « iexplore homepages » -> home.mywebsearch.com/index.jhtml?n=77DE8857&p2=^Z7^xdm354^YY^in&ptb=F2FA09DD-6451-49C9-AF7B-B9E9D2D44840&si=124514_race_gcIND

« hkcusoftware5e2d9dce63abf472.6.1339.144 » -> « firefox homepages » -> « home.mywebsearch.com/index.jhtml?ptb=F2FA09DD-6451-49C9-AF7B-B9E9D2D44840&n=77fcbc67&p2=^Z7^xdm354^YY^in&si=124514_race_gcIND », « home.mywebsearch.com/index.jhtml?ptb=F2FA09DD-6451-49C9-AF7B-B9E9D2D44840&n=77fd0772&p2=^Z7^xdm354^YY^in&si=124514_race_gcIND »

« hkcusoftware5e2d9dce63abf472.6.1339.144 » -> « firefox keywords » -> « search.mywebsearch.com/mywebsearch/GGmain.jhtml?st=kwd&ptb=F2FA09DD-6451-49C9-AF7B-B9E9D2D44840&n=77fcbc67&ind=2013052007&p2=^Z7^xdm354^YY^in&si=124514_race_gcIND&searchfor= »

« hkcusoftware5e2d9dce63abf472.6.1339.144 » -> « firefox search engines » -> « My Web Search »

Suivi des opérations

Le module exécutable (browserprotect.exe) écrit le chemin d’accès à la bibliothèque browserprotect.dll dans la clé de registre Applnit_DLLs, ce qui permet de l’introduire dans tous les processus lancés sur l’ordinateur de l’utilisateur. Lors du chargement, la bibliothèque détermine quel est le processus parent et intercepte quelques fonctions, surtout la lecture/l’écriture dans le fichier. BitGuard surveille toutes les opérations sur les fichiers de tous les processus, mais il s’intéresse uniquement aux fichiers de configuration des navigateurs.

Lors des opérations de lecture/écriture, la bibliothèque vérifie habituellement si les paramètres des navigateurs installés n’ont pas été modifiés. Par exemple, quand Chrome s’arrête, il enregistre la configuration actuelle dans un fichier. BitGuard surveille cette opération, ouvre le fichier de configuration et y écrit les adresses des pages de recherches ciblées. Il en va de même si l’utilisateur tente de modifier la configuration lui-même dans un éditeur de texte.

La bibliothèque est compatible avec de nombreux navigateurs populaires (Internet Explorer, Chrome, Mozilla, Opera, etc.) et elle adopte une démarche unique pour chacun d’entre eux. Par exemple à la fermeture, Chrome mémorise les derniers onglets ouverts. BitGuard est capable d’indiquer la page de résultats ciblée non seulement comme page d’accueil, mais également comme dernier onglet ouvert.

Mise à jour des paramètres

A certains intervalles, la fonction d’interception vérifie la présence de mises à jour des composants et des paramètres (la même chose se passe de temps à autre avec le module exécutable principal). Tout le contenu est téléchargé depuis le service d’hébergement « Amazon Web Services » et/ou Cloudfront. Les paramètres sont enregistrés dans les fichiers cryptés dwl.bin, bl.bin. Les liens de téléchargement ne sont pas conservés de manière visible. Ils sont créés au départ de fragments cryptés pendant le fonctionnement.

Exemples de liens :

http://protectorlb-1556088852.us-east-1.elb.amazonaws.com/service/dwl.php
http://protectorlb-1556088852.us-east-1.elb.amazonaws.com/service/kbl.php

Extension de la fonction, chargement de modules complémentaires

Pour se protéger contre une suppression/un endommagement potentiel et afin d’élargir l’arsenal des méthodes de fonctionnement avec différents navigateurs, le système est en mesure de télécharger des modules complémentaires.

Par exemple, parmi les programmes complémentaires, il pourrait télécharger des modules pour Firefox. Voyons en détail comment cela se produit.

BitGuard contacte le serveur à intervalle régulier et tente de télécharger un fichier texte contenant des liens vers des archives qui renferment des modules complémentaires. Le lien vers le fichier texte est créé sur la base d’éléments de lignes qui se trouvent dans les ressources de la bibliothèque elle-même.
d1js21szq85hyn.cloudfront.net/ib/138/fflist.txt.

Qui plus est, les valeurs ib et 138 dans la ligne d’URL auront leur propre valeur pour chaque version de BitGuard. Par conséquent, en cas de réussite du téléchargement du fichier texte, chaque version de BitGuard obtient sa propre sélection de liens à mettre à jour. Le contenu du fichier texte peut ressembler à ceci :

3;http://d1js21szq85hyn.cloudfront.net/ib/154/3.7z
5;http://d1js21szq85hyn.cloudfront.net/ib/154/5.7z
6;http://d1js21szq85hyn.cloudfront.net/ib/154/6.7z
7;http://d1js21szq85hyn.cloudfront.net/ib/154/7.7z
8;http://d1js21szq85hyn.cloudfront.net/ib/154/8.7z
9;http://d1js21szq85hyn.cloudfront.net/ib/154/9.7z
10;http://d1js21szq85hyn.cloudfront.net/ib/154/10.7z
11;http://d1js21szq85hyn.cloudfront.net/ib/154/11.7z
12;http://d1js21szq85hyn.cloudfront.net/ib/154/12.7z
13;http://d1js21szq85hyn.cloudfront.net/ib/154/13.7z
14;http://d1js21szq85hyn.cloudfront.net/ib/154/14.7z
15;http://d1js21szq85hyn.cloudfront.net/ib/154/15.7z
16;http://d1js21szq85hyn.cloudfront.net/ib/154/16.7z
18;http://d1js21szq85hyn.cloudfront.net/ib/154/18.7z

Chacune des archives est nommée conformément au numéro du lien dans la liste et contient la version de la bibliothèque qui correspond à la version définie du navigateur Firefox. Ainsi, la 16e archive contiendra la bibliothèque « bprotector-16.0.dll ».

BitGuard choisit le lien correspondant vers le module complémentaire, le télécharge et l’enregistre. Le système BitGuard obtient de la même manière des outils complémentaires pour Firefox.

Parfois, des modules complémentaires (s’ils sont disponibles) sont téléchargés. Ceux-ci permettent de télécharger les mises à jour depuis d’autres domaines en évitant AmazonAws ou Cloudfront.


Arrivée de l’application sur l’ordinateur de l’utilisateur et comportement

Exemple d’un module complémentaire

Le cheval de Troie Trojan-Downloader.Win32.MultiDL.c, détecté le 9 juillet 2013, réalise la mise à jour de la bibliothèque browserprotect.dll depuis des services alternatifs. Ce programme a été largement diffusé. Rien qu’au mois de juillet de cette même année, nous avons bloqué près de 500 000 tentatives d’infections d’ordinateurs. Sa popularité a chuté avec le temps : en janvier 2014, le nombre de tentatives bloquées n’a pas dépassé 26 000. De juin 2013 à janvier 2014, des tentatives d’infection ont été déjouées chez 982 950 utilisateurs.

Le fichier arrive sur l’ordinateur de l’utilisateur avec le programme d’installation NSIS (Nullsoft Scriptable Install System). Il télécharge BitGuard depuis un hébergement AmazonAws (par exemple, protectorlb-1556088852.us-east-1.elb.amazonaws.com) et l’enregistre dans un répertoire temporaire sous le nom setup_fsu_cid.exe.

Ensuite, BitGuard lance le processus d’installation en mode silencieux (l’utilisateur ne voit aucune boîte de dialogue) :

« …setup_fsu_cid.exe » /S

Le programme d’installation contient deux programmes. En général, un d’entre eux n’a aucun rapport avec le système de mise à jour des bibliothèques dynamiques décrit. Pour la version MultiDL.c, il s’agit de File Scout. Cette application n’existe pas en dehors du programme d’installation. Elle a probablement été créée par les individus malintentionnés pour donner l’illusion d’une charge utile. Le programme fournit des détails sur les formats de fichiers inconnus mais ne contient pas une base de données hors ligne de formats de fichiers. Il se contente de rediriger l’utilisateur vers un site tiers (il est possible que quelqu’un paie pour ce trafic redirigé).


Fenêtre de travail de l’application File Scout

Le deuxième programme est un faux Adobe Flash Player qui sert à télécharger les bibliothèques en rapport avec le système BitGuard. Le cheval de Troie se dissimule sous le nom Adobe Flash Player Update Service version 11.6 r602. Tout d’abord le programme d’installation setup_fsu_cid.exe décompacte le fichier exécutable (.exe) du faux lecteur dans un répertoire temporaire en lui donnant un nom court, par exemple usvc.exe (C:userstestwo~1appdatalocaltempnsy5f4f.tmpusvc.exe).

Ensuite, ce module exécutable est lancé et il se place dans le dossier à l’adresse C:WindowsSyswow64macromedflashflashplayerflashplayerupdateservice.exe. Il enregistre lui-même le lancement de la tâche à l’aide du service Windows standard « Tâche planifiée » (autrement dit, il utilise la même méthode que dans BitGuard).

…system32schtasks.exe » /create /tn « AdobeFlashPlayerUpdate » /ru « SYSTEM » /sc hourly /mo 1 /tr « …system32flashplayerupdateservice.exe /w » /st 00:00:0

Ensuite, ce cheval de Troie commence à télécharger les mises à jour des bibliothèques dynamiques. Chaque modification de MultiDL réalise le téléchargement depuis plusieurs domaines. Les liens vers les mises à jour sont différents de ceux que nous observons dans BitGuard (AmazonAws et Cloudfront ne sont pas utilisés). La liste des sites change en fonction des modifications. Les liens sont enregistrés de la même manière que dans la bibliothèque browserprotect.dll : sous la forme de fragments cryptés. Le lien final est créé pendant le fonctionnement de l’application. Voici quelques exemples de domaines d’où la bibliothèque est téléchargée :

autoavupd.net
autodbupd.net
srvupd.com
srvupd.net
updsvc.com
updsvc.net

La majorité des domaines était enregistrée dans la Fédération de Russie, mais certains étaient enregistrés en Ukraine et d’autres en Grande-Bretagne.

Il arrive parfois que le contenu hébergé sur les serveurs ne soit pas accessible. Au moment de la publication de cet article (mars 2014), aucun téléchargement n’avait lieu depuis ces sites.

Ces modules complémentaires servent d’assurance en cas de suppression ou d’endommagement de la bibliothèque (browserprotect.dll / browserdefender.dll / bprotect.dll, etc.) qui est le principal outil de surveillance des navigateurs utilisé par le système BitGuard. Si l’utilisateur parvient d’une manière ou d’une autre à supprimer la bibliothèque, ces modules de secours la charge à nouveau et le processus de modification des paramètres du navigateur n’est pas interrompu.

Conclusion

Le système BitGuard modifie les paramètres du navigateur à l’insu de l’utilisateur. Il introduit son code dans des processus connexes, remplace les pages d’accueil et les pages de recherche des navigateurs et télécharge des programmes malveillants depuis Internet. Cet ensemble de fonctions malveillantes sert à gagner de l’argent : les propriétaires de BitGuard sont membres d’un partenariat qui assure la promotion de sites Internet via des méthodes illégitimes (les liens vers les pages Web sont déplacés vers le haut des résultats).

Nous pensons que les propriétaires de BitGuard et les propriétaires des systèmes de recherche et des barres d’outils sont des personnes/des organisations différentes. Un individu a développé pour une certaine somme un SDK ou un moteur qui maintient les paramètres du navigateur sur l’ordinateur de l’utilisateur dans une configuration qui convient aux propriétaires des systèmes de recherche.

Tout d’abord, les paramètres de la logique de BitGuard semblent l’indiquer. Le fait est que le paquet en lui-même ne sait pas exactement qu’elle recherche définir dans le navigateur. Les adresses des pages sont reprises dans le fichier de configuration de BitGuard qui est fourni avec la barre d’outils. Deuxièmement, on observe de sérieuses différences entre certaines barres d’outils, alors que d’un point de vue conceptuel, il n’y a pas de différences entre les composants de BitGuard.


Schéma discuté de l’obtention de revenus grâce à l’installation de BitGuard

BitGuard peut être téléchargé avec n’importe quelle barre d’outils associée à un partenariat. Ces barres d’outils possèdent une multitude de sources de diffusion. Ceci s’explique par la grande quantité d’ordinateurs infectés à travers le monde.


Répartition géographique des tentatives d’infection d’ordinateurs par des composants de BitGuard.

Depuis le 25 août 2013, les fichiers de BitGuard ont été bloqués sur les ordinateurs de 3,8 millions d’utilisateurs. Quand on sait que les propriétaires des sites dont la promotion est assurée de la sorte paie de 2 à 10 cents par visite sur le site cible, on peut estimer à peu près les revenus des participants au partenariat.

Nous détectons :
Les composants de BitGuard comme :
Trojan.Win32.Bromngr and Trojan-Downloader.Win32.MultiDL

Barres d’outils comme :
not-a-virus:PDM:WebToolbar.Win32.Cossder
not-a-virus:WebToolbar.Win32.Dsearch

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *