ICPP Online - Violation de droits d'auteur

Septembre 2016



Description de l'infection

Quelle est cette infection ?


Un nouveau rogue a fait son apparition. Ces derniers temps, il se développe et de nombreux cas sont recensés.
Son appellation technique : Roqgue:W32/DotTorrent.A ou FraudTool.Win32.Agent.art (Kaspersky) ou Trojan.PrivacyProtector (Ikarus)... (L'appellation varie selon les éditeurs de logiciels de protection).

Ce cheval de Troie vient de Russie.
Il tente d'escroquer les utilisateurs en leur faisant croire qu'ils ont téléchargé un fichier illégalement.
Il prétend vous mettre en règle avec la loi en payant les licences, droits d'auteur et copyright.
Sur la fenêtre qui vous alerte que vous avez été hors la loi, vous avez le choix entre "Passer le cas au tribunal" et "Arranger votre cas en ordre de pré-essai" (à savoir payer une amende).
En aucun cas vous ne devez saisir vos coordonnées bancaires !

À ce jour, l'application se nomme :
  • ARManager
  • APManager
  • IQManager
  • AIManager


Dans la suite de cet article, on parle parfois de APManager, mais si dans votre cas, il s'agit de ARManager par exemple, remplacer apmanager par celui qui vous concerne. Il y a différentes appellations pour la même infection.

Voici l'écran principal de l'infection :


Une infobulle informant de l'activité illicite peut apparaître :

Comment peut-on y croire ?


On peut être amené à se demander comment on peut se laisser prendre au piège par cette infection au point de se faire arnaquer en payant.
Plusieurs éléments entrent en compte et font que même un utilisateur averti peut se laisser piéger !
  • Intimidation (fond d'écran modifié très travaillé : rappelant une scène de crime, univers de la police)
  • Parfois, il n'est plus du tout possible d'accéder au bureau
  • Des logos paraissant officiels : Copyright Alliance, FBI Anti-Piracy, ...
  • Avec l'émergence de la recherche des pirates (loi Hadopi), l'utilisateur peut penser qu'un organisme officiel a remarqué ses activités illicites.
  • Pour retrouver un ordinateur normal (son fond d'écran, ...), l'utilisateur peut agir dans la précipitation et veut se mettre en ordre vis à vis de la justice
  • On n'a pas vraiment le choix sur l'interface graphique : on "passe le cas au tribunal" ou on régularise sa situation !
  • L'infection peut varier dans sa procédure "d'intimidation".
    • Soit elle diffuse directement un message d'alerte demandant à l'utilisateur de payer pour des téléchargements illégaux.
    • Soit en première partie, APManager se fait d'abord passer pour un gestionnaire\accélérateur de téléchargement.

Après redémarrage et dans les deux cas, l'alerte viens se substituer à l'apparition du bureau, laissant penser (à tort) que la session est bloquée.
L'infection s'attrape actuellement via des faux sites de "Direct download" par catégories (films, musique, jeux, sexe) entièrement conçus et dédiés à la diffusion du malware.

Sur ces faux sites de téléchargement où l'infection est présente, les fichiers téléchargés sont tous en réalité des "downloaders" dont le but est d'installer l'infection.
Après exécution, le dossier %appdata%\AR(AP)(AI)Manager va être créé ainsi que le sous dossier "Metafiles" où l'on retrouve un fichier *.torrent contenant des informations relatives au téléchargement effectué sur le site piégé.

Exemple du contenu d'un faux *.torrent:
Le livre d'Eli|1024000|0|url qui mène à une image de la jaquette du film, album etc....
Ce fichier servira notamment un peu plus tard lors d'un simulacre de téléchargement.

Le downloader télécharge et installe ensuite le reste de l'infection.
S'en suit l'ouverture du programme APManager dont la fenêtre laisse penser à un banal gestionnaire de téléchargement.
Le fichier torrent est alors lu et les infos qu'il contient servent à mettre en place un simulacre de téléchargement via la fenêtre du programme.
Rien n'est téléchargé en réalité mais cette pseudo procédure de téléchargement accentuera la "peur du gendarme" et le sentiment d'avoir fait quelque chose d'illégal lors de la phase d'intimidation qui interviendra plus tard.

Une fois le "pseudo téléchargement" terminé c'est alors au tour de la phase d'intimidation d'entrer en jeu comme nous l'avons vu précédemment.

Désinfection

Vous n'avez pas accès à votre bureau


Si vous avez redémarré depuis l'installation de l'infection sur votre ordinateur, vous n'avez certainement plus accès à votre bureau : pas d'icônes, pas de menu Démarrer,...

1) Tentez de rentrer la clé du produit pour que la désinstallation se fasse automatiquement :

Cette vidéo réalisée par moe vous montre comment procéder.
  • Cliquez sur "Enter a previously purchased license code" et saisissez le numéro suivant : RFHM2-TPX47-YD6RT-H4KDM puis cliquez sur "OK". La désinstallation s'effectue.



2) Faire la désinstallation manuellement
  • Lancez le gestionnaire des tâches en maintenant les touches [CTRL] + [ALT] + [Suppr] enfoncées > onglet "Processus".
  • Cliquez droit sur le processus apmanager.exe (ou armanager.exe ou iqmanager.exe ou aimanager.exe ...) puis cliquez sur "Terminer le processus".
  • Toujours dans le gestionnaire des tâches, cliquez sur "Fichier" puis sur "Nouvelle tâche". Tapez %appdata% (les signes '%' sont importants) puis [Entrée].
  • Une fenêtre s'ouvre. Ouvrez le dossier correspondant à l'infection (AP Manager ou AR Manager ou IQ Manager ou AI Manager ...) puis lancez le fichier uninstall.exe.

L'infection est alors désinstallée. Pour retrouver l'accès au bureau : Fichier > Nouvelle tâche, taper explorer.exe puis [Entrée].
Le bureau démarre, l'infection ne sera plus présente au redémarrage. Néanmoins, il est fortement conseillé de passer Malwarebytes' Anti Malware comme analyse complémentaire et de poster un message dans le forum Virus / Sécurité pour vérifier l'éradication complète de l'infection.

Vous avez accès à votre bureau

Méthode 1 : Désinstaller le logiciel infectieux


1) Tentez de rentrer la clé du produit pour que la désinstallation se fasse automatiquement :

Cette vidéo réalisée par mOe vous montre comment procéder.
  • Cliquez sur "Enter a previously purchased license code" et saisissez le numéro suivant : RFHM2-TPX47-YD6RT-H4KDM puis cliquez sur "OK". La désinstallation s'effectue.


2) Désinstallation manuelle :
  • Démarrer > "Panneau de configuration"
  • Ajout/Suppression de programmes sous XP ("Désinstaller un programme" sous Windows Vista et 7).
  • Sélectionnez le logiciel infectieux (AP Manager ou AR Manager ou IQ Manager ou AI Manager ...) et cliquez sur Désinstaller.
  • Redémarrez votre ordinateur et le fond d'écran de l'infection aura disparu.
  • Il est fortement conseillé de passer Malwarebytes' Anti Malware comme analyse complémentaire et de poster un message dans le forum Virus / Sécurité pour vérifier l'éradication complète de l'infection.

Méthode 2 : Malwarebytes' Anti Malware


Téléchargez Malwarebytes' Anti Malware

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

À l'installation, vérifiez que "Mise à jour", "Lancer programme" et "Scan complet" soient bien cochés.

Une fois à jour, le programme va se lancer. Cliquez sur l'onglet "Paramètres", et cochez la case : "Arrêter internet explorer pendant la suppression".

À la fin du scan cliquez sur "Afficher les résultats".

Vérifiez que tout soit coché et cliquez sur "<gras>Supprimer la sélection".</gras>

S'il vous est demandé de redémarrer >>> cliquez sur "Yes".

Il est conseillé de poster le rapport généré dans le forum Virus / Sécurité afin que quelqu'un vienne vous aider.

Méthode 3 : List&Kill'em


DÉSACTIVEZ VOTRE ANTIVIRUS ET PARE-FEU SI PRÉSENTS !!!!!(car il est détecté à tort comme infection)

- Téléchargez List_Kill'em et enregistre le sur le bureau

- Double-cliquer ( clic droit "exécuter en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur le bureau pour lancer l'installation

Laisser coché :

- Executer List_Kill'em

Une fois l'analyse terminée, clic sur "Terminer" et le programme se lancera seul

Choisir l'option Search

- Laisser travailler l'outil

Une fenêtre blanche apparait - c'est un peu long, c'est normal, le programme n'est pas bloqué.

- Poster le contenu du rapport qui s'ouvre aux 100 % du scan à l'écran "COMPLETED" ainsi que le rapport de Malwarebytes' Anti Malware comme préconisé plus haut , sur le forum virus sécurité afin d'avoir une éradication définitive si des restes sont trouvés.

Méthode 4 : Restauration du système


Si vous avez un point de restauration antérieur à la date/heure de l'infection, vous pouvez restaurer le système.
Attention, les fichiers et logiciels installés après ce point de restauration seront perdus ! La méthode qui suit est "optimisée" pour XP. Il peut y avoir de faibles différences sous Vista et 7 (noms des boutons parfois différents).
  • Aller dans le Menu "Démarrer" puis dans "Tous les programmes"
  • Ensuite dans "Accessoires" et enfin dans "Outils système"
  • Choisir "Restauration du système"
  • Sélectionner "Restaurer mon ordinateur à une heure antérieure"
  • Cliquer sur "Suivant"
  • Choisir dans le calendrier affiché la date du point de restauration
  • Choisir dans la liste de droite (si un choix est possible) le point de restauration précis
  • Cliquer sur "Suivant" à deux reprises
  • Le système va redémarrer pour restaurer les fichiers systèmes modifiés.


Cette méthode (comme les autres) fonctionne. Nous vous conseillons malgré tout de vérifier l'état de votre PC en postant un message sur le forum Virus / Sécurité.

Plus d'informations


Vous trouverez ci-dessous des liens, des vidéos sur cette infection :

Note : Merci à tous ceux qui ont apporté des informations sur cette discussion - notamment à mOe, jalobservateur, et gen-hackman.

A voir également :

Ce document intitulé «  ICPP Online - Violation de droits d'auteur  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.