Bonjour 21PhilC1,
Effectivement, l'un des premiers gestes à faire, le premier réflexe, est de soumettre à
VirusTotal - Analyse de fichiers - Multi-antivirus gratuit en ligne ou
Metascan - Analyse de fichiers - Multi-antivirus gratuit en ligne.
On cherche le site pour ne jamais télécharger depuis un site de téléchargement mais uniquement depuis le site de l'auteur
http://www.wisecleaner.com/Téléchargement (de la version portable - la version installable embarque un hijacker : la barre d'outils Ask)
En plus, les versions portables n'intéressent pas les sites de téléchargement car ils ne peuvent pas faire un
Repack de logiciel (Repacking).
Analyses
C'est, à priori, propre (en termes d'antivirus).
Mais il y a d'autres gestes à faire et, pour commencer, chercher à qui on a à faire.
On se rend sur le site et on fonce sur le bas de page où se trouvent les trois contrats habituels :
EULA (en français ; CLUF - Contrat de Licence Utilisateur Final (CLUF))
Privacy (vie privée)
Terms (clauses contractuelles générales)
On ne trouve qu'un contrat "Privacy Statement " que je m'empresse d'archiver.
Ensuite, lecture de ce contrat.
Ce n'est pas un contrat puisqu'il a lieu entre un site (wisecleaner.com) et un logiciel (wisecleaner) d'une part, l'utilisateur d'autre part.
wisecleaner.com et wisecleaner ne sont ni une personne morale, ni une personne physique.
On cherche alors qui a déposé le nom de domaine wisecleaner dans le
TLD - Top Level Domain .com
http://whois.domaintools.com/wisecleaner.comL'enregistrement est fait chez GoDaddy de manière masquée (totale anonymisation par utilisation de la substitution "Domains By Proxy, LLC").
Donc on ne sait pas à qui on a à faire.
On cherche autrement : après décompression, clic droit sur l'exe > propriétés > signature numérique
On trouve un boîte en Chine
CN = Lespeed Technology Ltd.
O = Lespeed Technology Ltd.
L = BeiJing
S = BeiJing
C = CN
Qui c'est, Lespeed Technology Ltd.
Recherches Google
wisecleaner.com est indexé lorsqu'on cherche Lespeed Technology Ltd.
Curieux, je regarde le code source de quelques pages du site et recherche Lespeed dans le code source. Rien !
Je lance une recherche de Lespeed dans tout le site :
https://www.google.fr/?gws_rd=ssl#newwi ... om+LespeedRien !
On en parle une fois dans le forum et dans le sous-domaine assist (sans e)
Ce sous-domaine est en relation avec un .exe qui vient avec Wise Disk Cleaner : Assisant.exe, qui est un moteur de recherches menteur appartenant à Lespeed Technology Ltd. !
Ce truc pèse 1,46 Mo ! (1 536 248 octets !) pour nous mettre en relation avec le site euask dot com
Ils trouvent le moyen de nous planter un
Inutilitaire même avec la version portable, sans installeur !
Note : euask aussi n'a qu'une police " Privacy " dans laquelle les recherches des mots Wise et Lespeed ne trouvent rien ! Là aussi, on ne sait pas à qui on a à faire !
Analyse de assistant.exe :
https://www.hybrid-analysis.com/sample/ ... onmentId=1Risk Assessment
Spyware/Leak
Contains ability to open the clipboard
Contains ability to retrieve keyboard strokes Network Behavior
Contacts 3 domains and 1 host.
ThreatAnalyzer results for Assisant.exe
Analysis ID: 7810
Date Analyzed: 2016-03-23 14:02:06
Sandbox Attributes:
MD5 Hash: 14193fd8d4584f548ced2f7ebbebbe88
Filename: Assisant.exe
File Type: PE32 executable for MS Windows (GUI) Intel 80386 3
Digital Behavior Traits
Injected Code NO
More than 5 Processes NO
Copies to Windows NO
Windows/Run Registry Key Set NO
Makes Network Connection YES
Creates EXE in System NO
Starts EXE in System NO
Starts EXE in Documents NO
Deletes File in System NO
Hooks Keyboard YES
Creates Hidden File YES
Creates DLL in System NO
Creates Mutex YES
Alters Windows Firewall NO
Checks For Debugger YES
Could Not Load NO
Opens Physical Memory NO
Modifies Local DNS NO
Starts EXE in Recycle NO
Creates Service NO
Modifies File in System NO
Deletes Original Sample NO
Bon, jetons un œil à WiseDiskCleaner.exe
On coupe toutes les connexions Internet (on retire le câble Ethernet et on coupe la Wi-Fi).
On lance la tâche de manière à ce qu'elle soit vue et s'inscrive dans le pare-feu.
Dans le pare-feu, on lui interdit tout trafic Internet
Version 9.21.639
Sauf si vous êtes sur un ordinateur partagé entre plusieurs utilisateurs
ET sans qu'il y ait de compte utilisateur (ou le même compte pour tout le monde), décochez tout ce qui concerne " Traces dans l'ordinateur " (ce que j'appelle les " traces internes " depuis des années).
Je lance l'analyse deux fois, pour voir ce qu'il suggère (chaque fois en " Nettoyeur simple ) :
1/ Avec nettoyage des traces internes : 2693 fichiers, 25,6 GB, 17573 traces internes
2/ Sans nettoyage des traces internes :
Plusieurs bons points :
On voit les fichiers proposés à la destruction
Pour chaque fichier, un double clic sur le nom de ce fichier ouvre l'explorateur qui se positionne sur le fichier
, vers ce fichier
Ne touchez à rien
Pour comparaison :
Explorateur Windows > Clic droit sur C: > Onglet " Général " > Clic sur " Nettoyage de disque " : 1,27 GO
Suite à demain...