Ooooh ! Le beau !

Logiciels crapuleux, trompeurs, effrayants, inutiles, etc. ...

Modérateur: Modérateurs et Modératrices

Ooooh ! Le beau !

Messagede pierre » 13 Avr 2007, 01:50

Bonsoir

vicman.net

Une page de ce site : par exemple
http:// www .vicman.net/lib/pc-doctor.htm

Les 12 premiers logiciels de cette page sont, en réalité, le même outil crapuleux "error doctor" sous différents noms !

Il est affilié à clickbank, un programme de gestion d'affiliation qui semble condenser la totalité des éditeurs véreux.

Mais il veut le cacher. Alors il passe par un site intermédiaire, par exemple http:// illlll .com/errordoctor/dl-errordoctor.html (il en utilise plusieurs) sur lequel on trouve juste un script de redirrection instantané. Pour le cacher un peu plus, un bon vieux truc : le script est écrit après une centaine de lignes blanches comme ça, si un rigolo (comme moi) tente d'intercepter la page intermédiaire il y a des chance pour qu'il ne voit que du feu (enfin qu'une page blanche) et laisser tomber.

Une fois mise en page, voici la page (j'introduis des césures sinon la ligne fait un km de long
Code: Tout sélectionner
<html>

   <head>
      <title>DOWNLOAD</title>
      <script>window.status = ' ';</script>
      <script>document.write(unescape("%3c%66%72%61%6d%65%73%65%74%20%62%6f%72%64%65%72%3d %30%20%66%72%61%6d%65%73%70%61%63%69%6e%67%3d%30%20%66%72%61%6d%65%62%6f%72%64%65 %72%3d%30%20%72%6f%77%73%3d%2a%3e%3c%66%72%61%6d%65%20%6d%61%72%67%69%6e%77%69%64 %74%68%3d%30%20%6d%61%72%67%69%6e%68%65%69%67%68%74%3d%30%20%73%72%63%3d%68%74%74 %70%3a%2f%2f%6c%6c%6c%6c%6c%6c%6c%6c%6c%2e%62%75%67%64%6f%63%74%6f%72%2e%68%6f%70%2e %63%6c%69%63%6b%62%61%6e%6b%2e%6e%65%74%3f%73%70%3d%33%3e%3c%2f%66%72%61%6d%65%73
%65%74%3e%3c%6e%6f%66%72%61%6d%65%73%3e"))</script>
      <script>document.write(unescape("%3c%2f%6e%6f%66%72%61%6d%65%73%3e"))</script>
   </head>

</html>


Aie ! Illisible ! Mais votre oeil exercé a tout de suite reconnu le codage (légitime) dit en "échappement %"

Hop, copie des trucs codés et direction la boite à outils d'assiste et, plus particulièrement, la page
http://assiste.com.free.fr/p/code_decod ... s_utf8.php
(beurk - elle est encore dans l'ancienne version du site - je vais la passer en V4)

La première ligne signifie
<frameset><frame></frameset><noframes>
La seconde ligne signifie
</noframes>

Ce qui veux dire : j'affiche la page http:// lllllllll .bugdoctor.hop.clickbank.net dans un frameset qui lui va porter le nom de http:// www .vicman.net

Autrement dit, ce que vous voyez dans la zone d'adresse, en haut de votre navigateur est vicman.net alors que vous êtes sur le site lllllllll.bugdoctor.hop.clickbank.net

On ré-écrit le code html, pour le plaisir et pour voir ?

Code: Tout sélectionner
<html>

   <head>
      <title>DOWNLOAD</title>
<frameset><frame></frameset><noframes></noframes>

   </head>

</html>


Mais ce n'est pas fini ! Pour bien brouiller les pistes, la page http:// lllllllll .bugdoctor.hop.clickbank.net?sp=3 recommence le même camouflage ! Un vrai jeu de pistes ! Et, même chose, le script renvoyé 50 lignes plus bas pour ne pas être vu par ceux qui tentent de lire le code source de la page !

Code: Tout sélectionner
<html>

   <head>
      <title>DOWNLOAD BUG DOCTOR HERE</title>
      <script>window.status = ' ';</script>
      <script>document.write(unescape("%3c%66%72%61%6d%65%73%65%74%20%62%6f%72%64%65
%72%3d%30%20%66%72%61%6d%65%73%70%61%63%69%6e%67%3d%30%20%66%72%61%6d%65%62
%6f%72%64%65%72%3d%30%20%72%6f%77%73%3d%2a%3e%3c%66%72%61%6d%65%20%6d%61%72
%67%69%6e%77%69%64%74%68%3d%30%20%6d%61%72%67%69%6e%68%65%69%67%68%74%3d%30
%20%73%72%63%3d%68%74%74%70%3a%2f%2f%65%66%69%78%65%72%2e%62%75%67%64%6f%63
%74%6f%72%2e%68%6f%70%2e%63%6c%69%63%6b%62%61%6e%6b%2e%6e%65%74%3f%73%70%3d
%33%3e%3c%2f%66%72%61%6d%65%73%65%74%3e%3c%6e%6f%66%72%61%6d%65%73%3e"))</script>
      <script>document.write(unescape("%3c%2f%6e%6f%66%72%61%6d%65%73%3e"))</script>
   </head>

</html>


Traduisons ! Ce qui donne

Code: Tout sélectionner
<html>

   <head>
      <title>DOWNLOAD BUG DOCTOR HERE</title>
      <frameset>
         <frame>
      </frameset>
      <noframes></noframes>
   </head>

</html>


Nous avons donc deux framesets imbriqués, avec tracking par ClickBank, avant d'arriver... où ?
Sur la page du site Error Doctor !
Alors que nous cherchions :
The Bug Doctor - Pro Edn 2007
Bug Doctor Gold Edn 2007
The PC Error Doctor Fix 2007
The Error Doctor 2007
The Error Doctor 2006
The Bug Doctor 2006
! - Error Doctor 2006
! Error Doctor 2006

Allez hop ! Tous ces sites dans hosts et tous ces prétendus softs dans la crapthèque.

Bien ! Maintenant faisons une opération complémentaire. Nous sommes désormais certain que "Bug Doctor Gold Edn 2007" est une fumisterie qui n'existe pas. Cherchons, avec notre Google préféré, les domaines qui vendent ce truc. Nous avons une belle collecte pour hosts !

A suivre...
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27055
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Houa ! la vache ça fait peur !

Messagede ifebo » 30 Avr 2007, 07:43

Bonjour.
Je suis tout nouveau sur les forums de assiste.com et j'adresse mes félicitations trés sincères au réalisateur du site ainsi qu'à ceux et celles qui lui on donné un coup de main. :D

Je viens de lire ce sujet et j'ai été parcouru par un irrépréssible frisson d'angoisse ! Car je me suis rendu compte à quel point il serait facile pour moi de me faire avoir. :oops:
Heureusement je suis très critique dans mes recherches sur les éléments apportant un peu de sécurité et c'est ce qui fait que je vous ai découvert avant de tomber sur des charlots et là je rend grâce au protecteur des ignorants s'il existe.
Je sents que je vais souvent revenir sur les forums de assiste.com merci infiniment. :D

Si Freud ou Lakan sont les découvreurs de la paranoïa, Internet en est le créateur et c'est paradoxale puisque ces deux pélerins de l'âme humaine précèdent la création d'Internet ! :roll:
Il est bien possible que assiste.com soit le remède homéopathique (soigner le mal par le mal) dont j'ai besoin pour soigner ma naissante paranoïa. :cool: Bon, il est ou le divan ? :wink:
La folie du sage c'est de manifester son existence, la sagesse du fou c'est de faire croire qu'il est raisonnable.
Avatar de l’utilisateur
ifebo
 
Messages: 2
Inscription: 30 Avr 2007, 07:03
Localisation: TOURS

Messagede nickW » 30 Avr 2007, 09:08

Bonjour,

Bienvenue! :D

A bientôt,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France


Retourner vers Crapthèque

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 4 invités