Téléchargement de FormatFactory sur CCM infecté

Fermé
VeriFile - 27 mai 2022 à 21:33
brucine Messages postés 17590 Date d'inscription lundi 22 février 2021 Statut Membre Dernière intervention 8 novembre 2024 - 30 mai 2022 à 14:38
Bonjour,

Afin de vous informer, Avira détecte "FFSetup5.10.0.0.exe infecté par PUA/Agent.WT" suite Téléchargement de FormatFactory sur votre site CCM. Pouvez-vous confirmé s'il y a un problème ou pas? Est-vous au courant de cette situation?

Merci d'avance

Configuration: Windows / Firefox 100.0
A voir également:

3 réponses

MPMP10 Messages postés 41636 Date d'inscription vendredi 28 avril 2017 Statut Membre Dernière intervention 8 novembre 2024 16 051
Modifié le 27 mai 2022 à 22:17
Bonsoir,
Effectivement pas très saint manifestement :
25 security vendors and no sandboxes flagged this file as malicious
De plus Windows Defender le mais en quarantaine juste après le téléchargement....


Merci pour le signalement.
1
brucine Messages postés 17590 Date d'inscription lundi 22 février 2021 Statut Membre Dernière intervention 8 novembre 2024 2 565
28 mai 2022 à 00:06
Bonsoir,

Il ne s'agit pas d'un virus mais, comme signalé, d'un PUA (en français application potentiellement indésirable).

Ce comportement est sans risque de sécurité mais consiste à financer des programmes soi-disant gratuits par le biais d'adwares.

La situation n'est hélas pas propre à Format Factory, elle est le plus souvent la conséquence de cases à cocher d'installation d'exécutables tiers qui n'ont pas été prises en considération lors de l'installation du logiciel principal.

Certaines sources soutiennent que, dans le cas qui nous intéresse, des PUA seraient installés quand bien même les cases coupables auraient été décochées, je n'ai pas vérifié.

En pareille situation, on peut souvent avoir la paix en condamnant les demandes qui seront faites par ces PUA si on a un logiciel de pare-feu et défense correctement paramétré qui intercepte ces demandes mais en laissant l'utilisateur final seul maître à bord: à cet égard, le comportement d'Avira ou de Windows Defender est stupide, mais le premier est connu pour tout signaler ne serait-ce que pour pousser l'utilisateur à acheter la version payante, c'est quelque part une autre forme de PUA.

Sur le fond, ce comportement est bien sûr tout sauf éthique; j'entends bien que, dans certains domaines, des logiciels libres ne puissent pas être satisfaisants et que le travail des développeurs doit être rémunéré: mais quand on est honnête, cela passe par une période d'essai ou quelque chose de ce genre.
1
MPMP10 Messages postés 41636 Date d'inscription vendredi 28 avril 2017 Statut Membre Dernière intervention 8 novembre 2024 16 051 > brucine Messages postés 17590 Date d'inscription lundi 22 février 2021 Statut Membre Dernière intervention 8 novembre 2024
28 mai 2022 à 09:22
Salut,
Il n'y a pas qu’une seule application potentiellement indésirable sur le lien virustotal.com, mais 27 détections et pas que du PUA ou du faux-positif non plus… !
1
brucine Messages postés 17590 Date d'inscription lundi 22 février 2021 Statut Membre Dernière intervention 8 novembre 2024 2 565 > MPMP10 Messages postés 41636 Date d'inscription vendredi 28 avril 2017 Statut Membre Dernière intervention 8 novembre 2024
28 mai 2022 à 09:56
Ce n'est pas du faux positif, ce sont bel et bien du PUA, mais le nombre n'en est pas certain et sûrement pas cumulatif: comme en matière de virus, ransomwares ou ce qu'on voudra, chaque éditeur baptise du nom de fantaisie qui lui plaît et qui n'est pas normalisé, autrement dit il est plus que probable que cette multi-détection correspond souvent sinon toujours à la même chose.

Mais il ne faut pas me faire dire ce que je n'ai pas dit: le risque de confidentialité ou de gêne (popups) est réel (comme dans ce dernier cas le nombre de faux positifs Avira ou Avast dont les mauvaise langues prétendront qu'il n'a d'autre but que de pousser à acheter les versions commerciales), celui de virus étant par contre nul.

Cela dit, j'ai aussi écrit que, quand bien même il n'y a pas de danger, je réprouve ce genre de logiciel mais que, si vraiment on veut s'en servir, il suffit de censurer via pare-feu et logiciel de défense les communications entrantes ou sortantes, et cela que les scripts indésirables soient codés en dur dans l'exécutable principal ou plutôt, à mon sens, dans des exécutables annexes qui sont téléchargés avec le logiciel.

A cette aulne, un grand nombre d'applications (et pas seulement pour vérification de leurs mises à jour) peuvent être classés dans cette catégorie: y compris dernières en date l'application Photos de Windows ou Edge, demandent des connexions Internet alors qu'on ne s'en sert jamais et qu'on ne leur a rien demandé (dans le dernier cas, il semblerait que Edge arrive à tourner en tâche de fond et cherche à mettre régulièrement à jour ses widgets qu'on n'a pas non plus demandés et dont il est très difficile de se débarrasser, par exemple la météo).
1
MPMP10 Messages postés 41636 Date d'inscription vendredi 28 avril 2017 Statut Membre Dernière intervention 8 novembre 2024 16 051 > brucine Messages postés 17590 Date d'inscription lundi 22 février 2021 Statut Membre Dernière intervention 8 novembre 2024
28 mai 2022 à 10:16
Ce n'est pas du faux positif, ce sont bel et bien du PUA

Je n'ai mentionné nulle part que ce PUA était un faux positif !
1
MPMP10 Messages postés 41636 Date d'inscription vendredi 28 avril 2017 Statut Membre Dernière intervention 8 novembre 2024 16 051
28 mai 2022 à 09:31
Correction pour le lien :
 27 security vendors and no sandboxes flagged this file as malicious  
1
bazfile Messages postés 56334 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 8 novembre 2024 19 260
28 mai 2022 à 10:47
Bonjour.
Wouhaaa quelle révélation !
Tous les logiciels gratuits ont un modèle économique ce que trouve Avira ce n'est qu'un adware (web companion) dont on peut annuler l'installation en décochant une case lors de l'installation de Format Factory, mais pour cela il faut lire et regarder avant de cliquer sur "suivant".

Il faut arrêter de croire que tout est gratuit s'il n'y avait pas d'adwares il y aurait beaucoup moins de logiciels gratuits, d'ailleurs même les antivirus gratuits ont les mêmes pratiques en envoyant des POP UP afin que l'utilisateur achète la version payante ainsi que les modules complémentaires qui sont le plus souvent inutiles, en résumé si tu ne veux pas d'adwares tu achètes tes logiciels, si tu veux rester en gratuit tu acceptes les pubs et autres désagréments.
1
Bonjour,
Je dis un grand merci pour toutes vos réponses. Effectivement, Avira (gratuit) a mis ce truc en quarantaine, et j'ai compris, ce n'est pas forcement néfaste, mais il peut avoir des ennuis si je l'installe ... donc une perte de temps pour ce coup de poker. A la retraite de l'informatique depuis deux ans, et forcement plus dans le bain, et au risque de polémiquer, il y a deux choses qui m'étonne quand même: 1. le fait qu'on trouve d'adware (malware?) sur un site de téléchargement respectable et 2. ce qui est sans doute lié, l'attitude -- puisque les développeurs doivent vivre de leur travail, les adware sont un prix a payer pour avoir des logiciels gratuits. Pourquoi pas, si les adware sont bien validés et identifies en amont. Mais ce n'est pas le cas. C'est un peu comme acheter une voiture, avec quelques "options", autopilot, boîte noire, et un tas d'autres gadgets électroniques dont vous ignorez l'existence, et dont vous n'avez pas besoin, et qui ne sont que des pannes à venir. Evolution des moeurs à les GAFA?
0
brucine Messages postés 17590 Date d'inscription lundi 22 février 2021 Statut Membre Dernière intervention 8 novembre 2024 2 565
30 mai 2022 à 14:38
Bonjour,

Non, à nouveau, pas vraiment.

Il s'agit d'une régie publicitaire, un peu comme les sponsorisations par bandeaux de sites Web, et où l'éditeur reçoit parfois des bandeaux à caractère, comment dirai-je, particulier ou tout simplement en contradiction avec la la ligne éditoriale mais là, souvent, ils ne sont pas choisis.

Je ne sais pas si l'éditeur de Format Factory est respectable, c'est une autre question, mais dans le cas d'espèce, on ne parle pas de malware mais d'adware: il s'agit cette fois-ci de partenariats commerciaux que l'éditeur a choisis délibérément.

Dans le même ordre d'idée, j'ai eu la surprise lors d'une mise à jour de Linux Mint de me voir imposer, sans de mémoire que la question me soit posée, une version personnalisée et bridée de Firefox: pourtant, il paraît qu'à la fois Linux Mint et Mozilla sont "respectables" dans ce "partenariat".
0