Bloquer les faux antivirus - sophos.com · Les faux antivirus sont l'une des menaces les plus répandues sur la toile aujourd'hui. ... des mots de passe, est que le faux antivirus

1Livre blanc Sophos - Septembre 2011

Les faux antivirus sont l'une des menaces les plus répandues sur la toile aujourd'hui. Également connus sous le nom de scarewares ou de logiciels escrocs, les faux antivirus utilisent l'ingénierie sociale pour attirer les utilisateurs vers des sites malveillants, leur faire croire qu'ils ont été infectés et leur faire acheter de faux outils de suppression des menaces.

Ce livre blanc vous explique d'où viennent les faux antivirus et comment ils se propagent, ce qui se produit lorsqu'un système est infecté et comment faire pour protéger vos utilisateurs et votre réseau contre toute infection.

Bloquer les faux antivirus : Comment éliminer les scarewares de votre réseau

Bloquer les faux antivirus : comment éliminer les scarewares de votre réseau


Que sont les faux antivirus ?Les faux antivirus sont des logiciels de sécurité factices qui prétendent détecter des menaces telles que les virus sur votre ordinateur. Le contrôle initial est gratuit mais si vous voulez nettoyer les soi-disant "menaces", il vous faudra payer.

Cette catégorie de malwares affiche de faux messages d'alertes pour informer l'utilisateur que son ordinateur à été infecté par des menaces qui en réalité n'existent pas. Il est ensuite invité à cliquer sur un site où on lui demande de payer pour nettoyer ces prétendues menaces. Le faux antivirus ne cesse d'envoyer ces alertes intrusives et dérangeantes jusqu'à ce que le paiement ait été effectué ou que le malware ait été supprimé.

Ce livre blanc vous explique d'où viennent les faux antivirus et comment ils se propagent, ce qui se produit lorsqu'un système est infecté et comment faire pour protéger vos utilisateurs et votre réseau contre toute infection.

Pourquoi les faux antivirus sont-ils si prisés des cybercriminels ? Tout simplement parce qu’ils permettent de générer d'énormes revenus. En effet, l'avantage par rapport aux autres types de malwares tels que les réseaux zombies (botnets), les programmes de téléchargement de chevaux de Troie ou encore d'usurpation des mots de passe, est que le faux antivirus piège directement la victime et l'oblige à effectuer un paiement sur le compte du pirate. Généralement, elle paie une moyenne de 120 USD par carte bancaire pour obtenir le logiciel supposé résoudre le problème.

Les faux antivirus sont également largement exploités par les communautés prospères de réseaux affiliés qui récupèrent de grosses sommes d'argent en redirigeant le trafic vers les boutique en ligne de leurs partenaires.1. Les affiliés peuvent gagner de l’argent très rapidement étant payés entre 25 et 35 USD pour une simple «génération de leads» en infectant d’autres ordinateurs.

3


Livre blanc Sophos - Septembre 2011

Fig.1

Fig.2

Fig.3

Fig.4

Aux SophosLabs, nous voyons émerger sans cesse de nouveaux types de faux antivirus. Les Mac sont devenus l'une des cibles principales, avec des attaques d'ingénierie sociale spécialement conçues pour viser ces systèmes d'exploitation. Suivant de près les développements de malwares Mac OS X, nous avons pu constater que les faux antivirus pour Mac gagnent du terrain par rapport aux malwares Windows.

Outre les sujets d’actualité, les pirates exploitent également les images ainsi que l'empoisonnement des recherches d'images pour infecter les utilisateurs avec de faux antivirus. De plus, les SophosLabs voient les noms de faux antivirus proliférer, se faisant passer pour des produits véritables pour induire les utilisateurs en erreur.

Signes classiques d'infectionLes faux antivirus utilisent généralement un grand éventail de techniques d'ingénierie sociale pour se propager. Parmi les campagnes identifiées, on peut citer :

Les fausses mises à jour de Ìsécurité Windows 2

Les fausses pages de Virus-Total Ì 3

Les fausses applications sur Facebook Ì 4

Les arnaques du 9/11 Ì 5

Une fois installé sur un système, le faux antivirus présente des signes de comportement récurrents :

Des fenêtres d'avertissement De nombreuses familles de faux antivirus affichent des fenêtres pop-up (voir fig. 1-5).

Fig.5



Des contrôles facticesLe faux antivirus prétend généralement analyser l'ordinateur et identifie des menaces qui n'existent pas. Dans certains cas, il crée lui-même une série de fichiers malveillants qu'il feindra de détecter par la suite6 (voir fig. 6-8).

Il exploite tout un éventail de noms convaincants pour se faire passer pour un produit légitime auprès des internautes. Par exemple :

Security Shield Ì

Windows XP Recovery Ì

Security Tool Ì

Internet Defender Ì

PC Security Guardian Ì

BitDefender 2011 Ì

Security Defender Ì

Antimalware Tool Ì

Smart Internet Protection Ì

AntiVirus AntiSpyware 2011 Ì

Malware Protection Ì

XP Security 2012 Ì

Security Protection Ì

XP Antivirus 2012 Ì

XP Anti-Spyware 2011 Ì

MacDefender Ì

Mac Security Ì

Il est possible de créer des milliers de variantes pour chaque famille grâce à des techniques telles que le polymorphisme côté serveur, très utilisées pour modifier l'exécutable du faux antivirus. L'exécutable étant modifié hors connexion, c'est donc un fichier différent qui est délivré lors de la demande de téléchargement. Ce procédé peut se répéter de nombreuses fois sur une période 24 heures. Par exemple, la famille appelée “Security Tool”7 est connue pour délivrer un fichier différent presque chaque minute. C'est ainsi qu'une seule famille peut créer un si grand nombre d'échantillons.

Beaucoup de familles partagent le même code de base sous les multiples versions polymorphiques. L'application est simplement modifiée pour donner un aspect différent, mais le comportement reste le même.

Fig.6

Fig.7 Fig.8

5



Fig.9

Les vecteurs d'infection

Comment les postes d'utilisateurs se retrouvent-ils infectés ?Bien que l'on observe de nombreuses méthodes d'infection des systèmes, la plupart des vecteurs de propagation utilisent l'ingénierie sociale. Le but est toujours le même : piéger l'utilisateur pour qu'il exécute le programme d'installation, à l'instar des autres chevaux de Troie. Les auteurs de faux antivirus font preuve d'une grande ingéniosité pour sans cesse renouveler leurs ruses sur les sites d'ingénierie sociale.

Dans ce livre blanc, nous passerons en revue les sources d'infection les plus courantes.

L'infection par techniques de SEO Ì(optimisation de moteur de recherche)

Les campagnes de spam Ì

Les sites web compromis et Ìles charges d'exploits

Les téléchargements de faux Ìantivirus par d'autres malwares

L'infection par techniques de SEO (optimisation de moteur de recherche)L'un des vecteurs les plus courants de propagation de faux antivirus est l'infection des résultats des moteurs de recherche classiques. Grâce à l'utilisation de techniques de Blackhat SEO, les cybercriminels s'assurent que les liens dirigeant vers les sites de téléchargement de faux antivirus figurent en grand nombre dans les résultats de recherche 8. Dès qu'il clique sur le lien, l'internaute tombe alors sur un site contrôlé par un faux antivirus qui affiche une page de contrôle en ligne factice l'informant que son ordinateur a été infecté et qu'il doit télécharger un produit de désinfection Autre alternative : l'affichage d'une fausse page de téléchargement de film, où l'internaute est invité à télécharger un codec pour pouvoir visionner la vidéo. Ce codec est en réalité un programme qui vise à installer un faux antivirus.

Google Trends, un des services fournis par Google, recense les termes les plus recherchés dans son célèbre moteur de recherche. Voici un exemple illustrant la façon dont les termes de recherche issus de Google Trends sont infectés par les pirates. Faisons une recherche pour les pages contenant les termes les plus recherchés ("Hot Search") (voir fig.9).



En sélectionnant plusieurs de ces termes et en les recherchant dans Google, on obtient plusieurs résultats infectés (voir fig. 10).

En cliquant sur ces liens, l'internaute est renvoyé vers une page de contrôle factice, où on l'informe que son ordinateur est infecté et qu'il doit télécharger un programme de nettoyage payant (voir fig. 11-13).

Fig.10

Fig.11

Fig.12

Fig.13

Fig.14

Fig.15

Autre variante : l'internaute est redirigé vers une fausse page de téléchargement d'un film, où on l'informe qu'il doit télécharger un codec pour pouvoir visionner la vidéo (voir fig. 14 et 15).

Dans tous les cas, même scénario : on trompe l'utilisateur pour lui faire télécharger et lancer un exécutable inconnu, autrement dit l'installateur du faux antivirus.

7



Fig.16

Fig.17

Fig.18

Fig.19

Les campagnes de spamLe faux antivirus est souvent envoyé directement à la victime sous la forme d'une pièce jointe ou d'un lien dans un spam. La plupart du temps, le message est envoyé par email, mais on observe d'autres formes de spam pour distribuer de faux antivirus, telles que les applications de messagerie instantanée, notamment Google Talk10. Généralement, le message de spam lui-même utilise des techniques d'ingénierie sociale pour piéger l'utilisateur et l'inciter à exécuter le fichier joint ou cliquer sur le lien. Les techniques exploitées varient : demande de réinitialisation des mots de passe, messages d'échec de distribution et autres arnaques du type "vous avez reçu une carte postale virtuelle".

Parmi les exemples de campagnes de spam diffusant de faux antivirus, on peut citer :

Les arnaques de suspension de Ìcompte : la victime reçoit un message électronique l’informant que l'accès à un compte spécifique a été bloqué et qu'elle doit exécuter le fichier joint pour régler le problème.

Les arnaques de cartes virtuelles : Ìla victime reçoit un email indiquant provenir d'une société légitime de cartes virtuelles. En fait, il contient un installateur de faux antivirus (voir fig. 17).

Les arnaques de réinitialisation de Ìmot de passe : la victime reçoit un message censé provenir d'un site Web populaire, l'informant que son mot de passe a été réinitialisé et que le nouveau est dans le fichier joint.

Les arnaques de livraison de colis : Ì la victime reçoit des informations sur l'envoi (fictif) d'un colis dans un fichier joint. En réalité, la pièce jointe installe un faux antivirus (voir fig. 19).



Les sites web compromis et les charges d'exploitsParfois, les internautes peuvent être redirigés vers des sites de faux antivirus en naviguant sur des sites légitimes ayant été compromis (dont les pages ont été infectées par du code malveillant). Le piratage s'effectue en pénétrant le serveur d'hébergement du site Web visé et en ajoutant (généralement) du code Javascript aux pages HTML qui sont hébergées. Ce code peut être utilisé pour renvoyer le navigateur vers n'importe quelle page hébergeant du malware, comprenant des faux antivirus et des kits d'exploit. Le code Javascript est la plupart du temps extrêmement camouflé et Sophos détecte ce type de malware comme des variantes de Troj/JSRedir 11.

Les SophosLabs ont également vu des pirates compromettre des sources commerciales légitimes pour charger du code malveillant à la place. Cela peut prendre la forme d'un exploit qui télécharge et exécute un binaire de faux antivirus comme la charge utile ou un simple iframe qui rédirige le navigateur vers une page web de faux antivirus.12, 13.

Les téléchargements de faux antivirus par d'autres malwaresLes faux antivirus peuvent être téléchargés sur les ordinateurs par d'autres types de malware. Les SophosLabs maintiennent de nombreuses machines "pot à miel" infectées de différents malwares, afin d'observer leur comportement et s'assurer que la protection est toujours active lorsque de nouvelles variantes sont téléchargées. On a vu plusieurs familles installer de faux antivirus sur des machines infectées, et notamment TDSS, Virtumundo et Waled14. Le célèbre ver Conficker a également été observé pour installer de faux antivirus sur des postes infectés15. Le pirate ayant infecté un ordinateur avec TDSS ou Virtumundo pourra inciter sa victime à acheter un antivirus et accroître ainsi ses gains financiers.

On observe également un modèle de "paiement par installation". Dans ce scénario, le pirate contrôle l'ordinateur de la victime (via TDSS ou un virus équivalent ) et il est payé par l'auteur du faux antivirus pour installer ce dernier sur l'ordinateur infecté.

9



Familles de faux antivirusNous allons maintenant expliquer plus en détail le comportement d'un faux antivirus une fois qu'il a infecté un système.

Installation du registreLe comportement classique d'un faux antivirus est de copier le programme d'installation sur le système et de créer un registre qui lancera l'exécutable au démarrage.

Le programme d'installation est souvent copié dans la zone du profil utilisateur (par ex. C:\Documents and Settings\<user>\Local Settings\Application Data), ou dans un espace de fichiers temporaires (par ex. C:\windows\temp) avec un nom de fichier généré de façon aléatoire. De ce fait, le faux antivirus est rendu conforme à la fonction UAC (User Account Control) sur les machines Windows ayant cette fonction activée16 , évitant ainsi l'apparition d'une fenêtre d'avertissement pendant l'installation. Cependant, certaines familles font abstraction de la fonction UAC, et créent leurs fichiers dans des répertoires Windows ou Program Files.

Une clé d'exécution est alors créée dans le registre qui exécutera le fichier lorsque le système démarrera. Généralement, elle sera ajoutée à la fin d'un chemin tel que :

HKCU\Software\Microsoft\Windows\ ÌCurrentVersion\RunOnce

HKCU\Software\Microsoft\ ÌWindows\CurrentVersion\Run

HKLM\Software\Microsoft\ ÌWindows\CurrentVersion\Run

Exemples :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runwpkarufv

c:\documents and settings\<user>\local settings\application data\tqaxywicl\chgutertssd.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceCUA

c:\windows\temp\sample.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run85357230

c:\documents and settings\all users\application data\85357230\85357230.exe



Démarrage du contrôle facticeUne fois le faux antivirus installé, il essaie généralement d'entrer en contact avec un site Web sur du HTTP et de télécharger le composant principal. Ensuite, le contrôle fictif du système démarre et trouve des menaces non existantes. L’interface principale du faux antivirus a souvent un design très professionnel et les victimes peuvent être facilement convaincues qu'elles ont affaire à un véritable produit de sécurité (voir fig. 20-25).

Fig.20

Fig.21

Fig.22

Fig.23

Fig.24

Fig.25

11



Fig.27

Fig.29

Fig.28

Fig.30

Une fois que les menaces fictives ont été identifiées, l'utilisateur doit enregistrer ou activer le produit pour pouvoir les nettoyer. Il est donc redirigé vers un site d'enregistrement (via le navigateur ou l'application du faux antivirus), où il est invité à saisir son numéro de carte de crédit et d'autres informations personnelles. Ces pages ont une apparence authentique et n'hésitent pas à recourir à l'usage illégal de logos et de marques déposées d'entreprises reconnues dans l'industrie telles que Virus Bulletin17 et West Coast Labs18 (voir fig. 26-31).

Fig.26

Fig.31



Fig.32

Fig.33 Fig.34

Autre comportement de faux antivirusCertaines familles de faux antivirus peuvent causer des dommages encore plus importants en interférant avec l'activité normale du système. Par exemple, elles peuvent désactiver le gestionnaire des tâches et l'utilisation de l'éditeur de registre, interdisant à certains processus de s'exécuter ou en redirigeant même les demandes d'accès au Web. Ce comportement renforce la conviction de l'utilisateur qu'il y a un problème sur son système et augmente ses chances d’acheter un faux antivirus. Cette activité peut se manifester de sous plusieurs formes :

Arrêt de processus : Ì le faux antivirus empêche certains programmes de fonctionner, affichant un message d'avertissement à la place (voir fig. 32, 33).

Le FakeAV ne bloque pas généralement l'explorateur ni Internet Explorer, donc le fait de renommer l'exécutable explorer.exe ou iexplore.exe devrait lui permettre de fonctionner.

Redirection de page Web : Ì certaines familles de faux antivirus redirigent les demandes d'accès à des sites légitimes vers un message d'erreur ou un autre type de message d'avertissement. Cela accroît les craintes de l'utilisateur, l'incitant une fois de plus à acheter un faux antivirus (voir fig. 34).

Davantage de malwares installés : Ìles faux antivirus sont connus pour télécharger d'autres types de malwares au moment de leur installation, tels que des chevaux de Troie bancaires, des rootkits et des réseaux zombies de spam.

Prévention et protectionIl est possible de bloquer les faux antivirus à plusieurs niveaux : le Web, la messagerie et la sécurité des systèmes. Étant donné la complexité des malwares, protéger l'environnement informatique des entreprises est un travail à temps plein. Les logiciels antivirus ne sont qu'un point de départ. Il est donc indispensable de mettre en place une protection robuste capable de réduire les risques pour votre entreprise en protégeant tous les vecteurs d'attaque.

La défense la plus efficace contre les faux antivirus consiste en une solution complète qui protège à tous les niveaux. La détection devrait avoir lieu à chaque étape de l'infection.

13



Vous pouvez créer ce type de défense multi- niveaux en agissant sur les cinq axes suivants :

Limiter la surface d'attaque – Pour ce faire, Sophos filtre les URL et bloque le spam, empêchant ainsi les faux antivirus d'atteindre les utilisateurs. On peut neutraliser l'infection de manière définitive en bloquant les domaines et les URL à partir desquels les faux antivirus sont téléchargés. Les clients de Sophos sont protégés par le filtrage des URL, composant de Sophos Web Security and Control19 et de la dernière version de Endpoint Security. Sophos Email Security and Data bloque le spam contenant des faux antivirus avant même que l'utilisateur ne s'en aperçoive20.

Protéger à tous les niveaux – Mais ces mesures ne sont pas suffisantes. C’est pourquoi Sophos rajoute des fonctions de protection du Web, de protection "Live" et de pare-feu. Sophos Endpoint Security and Control analyse le contenu Web et détecte le code JavaScript et HTML utilisé sur les pages proposant de faux antivirus et codecs. La détection à ce niveau empêche les fichiers du faux antivirus d'être téléchargé (par ex., Mal/FakeAvJs, Mal/VidHtml).

De plus, grâce à la Sophos Live Protection, Sophos Endpoint Security et Control peut directement interroger les SophosLabs lorsqu'il rencontre un fichier suspect afin de déterminer s'il s'agit d'un antivirus ou de tout autre malware. Cela permet le blocage automatique des nouvelles attaques de malware en temps réel avant que celles-ci n'aient le temps de s'exécuter. Cet accès immédiat vous permet de combler la faille pouvant exister entre le moment où les SophosLabs détectent une attaque et celui où les utilisateurs sont effectivement protégés.

Avec le Sophos Client Firewall, le pare-feu client peut être configuré pour bloquer toute connexion sortante de programmes inconnus et ainsi empêcher les faux antivirus d'effectuer des “call home” pour recevoir des téléchargements ou renvoyer les données bancaires de la victime.

Neutraliser les attaques – Vous avez besoin d’un logiciel antimalware, mis à jour en permancence avec les derniers correctifs, et de la détection run-time. Pour détecter le fichier du faux antivirus de manière proactive, notre agent Sophos assure une protection complète : une seule analyse permet la détection des malwares, des adwares, des fichiers et comportements suspects, et des logiciels non autorisés. Grâce à la technologie Behavioral Genotype, de nombreux fichiers de faux antivirus peuvent être détectés avec une seule identité. Le nombre d'échantillons actuellement détectés comme variantes de Mal/FakeAV et Mal/FakeAle dépasse un demi-million.

Il est très important de procéder aux mises à jour et à l'installation des correctifs pour actualiser le logiciel antimalware et l'appliquer à tous les niveaux de la protection. Le logiciel antivirus doit bénéficier des mises à jour automatiques afin que vous bénéficiez de la meilleure protection en permanence. D'autres logiciels tels que le système d'exploitation et les applications quasi-universelles comme Adobe Reader devraient également avoir leurs correctifs à jour pour assurer qu'ils n'introduisent pas de vulnérabilité. Une sécurité «statique» ne peut pas suivre les nouvelles variations, car les attaques changent en permanence. Il est donc important de permettre les mises à jour et d'appliquer les correctifs dès qu'ils sont disponibles.

La détection Run-time est importante car si un exécutable de faux antivirus réussit à échapper aux autres niveaux de protection, le système HIPS de Sophos (Host Intrusion Prevention System) peut détecter et bloquer le comportement d'un échantillon de faux antivirus lorsqu'il tente de s'exécuter sur le système21. Le HIPS comprend des règles qui ciblent spécifiquement les faux antivirus. En bref, si le programme s'aperçoit que le faux antivirus effectue une action dangereuse, il ferme le logiciel (un autre niveau de protection entre en jeu).



Maintenir la productivité – Vos utilisateurs ne se soucient pas vraiment de la sécurité informatique. Ils veulent pouvoir faire leur travail, c'est tout. C'est pourquoi Sophos donne aux responsables informatiques une visibilité sur la détection des faux antivirus, envoie des alertes pour informer que le malware a été bloqué et supprime le malware des ordinateurs de vos utilisateurs. Vous pouvez choisir une configuration qui permet aux utilisateurs de recevoir ces notifications ou envoyer ces messages seulement à l'équipe de la sécurité.

Sensibiliser les utilisateurs – La sensibilisation auprès des utilisateurs joue un rôle important dans le processus de défense. Les utilisateurs devraient savoir qu'ils ne doivent pas cliquer sur des liens suspects. Mais on doit également leur rappeler que leur service informatique s'occupe de la protection antivirus pour leurs ordinateurs. S'ils ont des inquiétudes au sujet de l'antivirus ou s'ils ont des messages étranges qui s'affichent, ils doivent contacter leur service IT et ne pas essayer de régler le problème tout seuls. Il est aussi important de refuser catégoriquement tout logiciel antimalware qui offre un contrôle gratuit mais vous force à payer pour le nettoyage. Les éditeurs respectables ne font pas cela. Une évaluation gratuite d'antivirus devrait vous laisser essayer la détection et la désinfection avant de vous demander d'acheter.

Fig.35

CompleteSecurity

URL Filtering

Web ApplicationFirewall

Redu

ce at

tack surfa

ce Protect everywhere

Keep people workingStop atta

cks and b

reac

hes

Visibility Patch Manager

Anti-malware

Endpoint WebProtection

Clean up

Live Protection

Educate Users

Bloquer les faux antivirusProtection complète contre une menace rampante

15



Voici trois conseils supplémentaires pour vous aider à protéger les utilisateurs Macs :

Si vous utilisez Safari, vous devez Ìdécocher la case autorisant l'ouverture automatique après téléchargement. Cela empêche les fichiers tels que les programmes d'installation ZIP créés par les auteurs de scarewares de s'exécuter automatiquement si vous cliquez sur leurs liens par accident.

Ne vous fiez pas à XProtect, le détecteur Ìde malware intégré d'Apple. C'est mieux que rien, mais il ne détecte que les virus qui utilisent des techniques basiques et

sous un certain nombre de conditions. Par exemple, il ne détecte pas les malwares sur une clé USB de même que tout malware se trouvant déjà sur votre Mac. Et il se met à jour une seule fois toutes les 24 heures, ce qui est insuffisant.

Installez un logiciel antivirus authentique. ÌIroniquement, le magasin Apple App Store n'est pas un bon endroit pour acheter ; le règlement d'Apple exige que tous les antivirus vendus via l'App Store excluent le composant de filtrage basé sur le noyau (appelé contrôleur sur accès ou en temps réel) pourtant nécessaire pour une prévention antivirus fiable.

ConclusionLes faux antivirus continuent d'être une menace persistante qui, étant donné les avantages financiers qu’ils rapportent aux cybercriminels, n'est pas prête de disparaître.

Même s’ils utilisent déjà un grand nombre de vecteurs pour se propager, la variété et la créativité qui caractérisent leur mode de diffusion ne feront que croître.

Heureusement, les utilisateurs peuvent se protéger grâce à une solution de sécurité complète qui détecte et protège contre les faux antivirus à tous les niveaux.

Bloquer les faux antivirus : comment éliminer les scareware de votre réseau

Boston, États-Unis | Oxford, Royaume-Uni© Copyright 2011. Sophos Ltd. Tous droits réservés. Toutes les marques appartiennent à leurs propriétaires respectifs.

Équipe commerciale FranceTél : 01 34 34 80 00Courriel : [email protected]

Sophos White Paper 9/11.dNA

Références“The Partnerka – What is it, and why should you care?” 1. dossier technique de Sophos (en anglais), http://www.sophos.com/security/technical-papers/samosseiko-vb2009-paper.html

“Fake antivirus Uses False ‘Microsoft Security Updates’” 2. Blog des SophosLabs (en anglais), http://www.sophos.com/blogs/sophoslabs/?p=8564

“Free fake antivirus at Virus-Total (That’s not VirusTotal)” 3. Blog des SophosLabs (en anglais), http://www.sophos.com/blogs/sophoslabs/?p=8885

“Phantom app risk used to bait scareware trap” The 4. Register, http://www.theregister.co.uk/2010/01/27/facebook_scareware_scam

“Scareware scammers exploit 9/11” Blog de 5. Sophos (en anglais), http://www.sophos.com/blogs/gc/g/2009/09/11/scareware-scammers-exploit-911

“Fake antivirus Generates Own Fake Malware” Blog des 6. SophosLabs (en anglais), http://www.sophos.com/blogs/sophoslabs/?p=6377

“Mal/FakeVirPk-A” Analyse de la sécurité Sophos, 7. http://www.sophos.com/security/analyses/viruses-and-spyware/malfakevirpka.html

“Poisoned search results: How hackers have automated 8. search engine poisoning attacks to distribute malware” Dossier technique des SophosLabs, http://www.sophos.com/sophos/docs/eng/papers/sophos-seo-insights.pdf

Google Trends 9. http://www.google.com/trends

“Google Talk used to distribute Fake AV” Blog de Sophos, 10. http://www.sophos.com/blogs/chetw/g/2010/03/20/google-talk-distribute-fake-av/

“More fake AV SEO poisoning” Blog des SophosLabs, 11. http://www.sophos.com/blogs/sophoslabs/?p=6765

“New York Times pawned to serve scareware pop-ups” 12. The Register, http://www.theregister.co.uk/2009/09/14/nyt_scareware_ad_hack/

“Scareware Traversing the World via a Web App Exploit” 13. SANS Institute InfoSec Reading Room, http://www.sans.org/reading_room/whitepapers/incident/scareware-traversing-world-web-app-exploit_33333

“Mal/TDSS-A” Sophos security analysis, 14. http://www.sophos.com/security/analyses/viruses-and-spyware/maltdssa.html “Troj/Virtum-Gen” Analyse de la sécurité de Sophos, http://www.sophos.com/security/analyses/viruses-and-spyware/trojvirtumgen.html “Mal/FakeVirPk-A” Analyse de la sécurité Sophos, http://www.sophos.com/security/analyses/viruses-and-spyware/malfakevirpka.html

“Conficker zombies celebrate ‘activation’ anniversary” 15. The Register, http://www.theregister.co.uk/2010/04/01/conficker_anniversary/

“User Account Control Step-by-Step Guide” Microsoft 16. TechNet, http://technet.microsoft.com/en-us/library/cc709691(WS.10).aspx

Virus Bulletin 17. http://www.virusbtn.com/

West Coast Labs 18. http://www.westcoastlabs.com/

Sophos Web Security and Control 19. http://www.sophos.fr/products/enterprise/web/security-and-control/

Sophos Email Security and Data Protection 20. http://www.sophos.fr/products/enterprise/email/security-and-control/

Sophos HIPS 21. http://www.sophos.fr/security/sophoslabs/sophos-hips/index.html