Quelques mises au point concernant utorrent et les virus.
On peut lire toute sorte de choses concernant utorrent et les processus/fichiers utorrentie.exe (Web Helper), un peu comme cacaoweb, ou il suffit que quelques pages mentionnent un virus pour avoir un emballement sur le sujet.
Le but est de bien comprendre quels sont les dangers liés à utorrent.
Introduction
utorrent (noté µTorrent) est un client P2P Torrent.
A partir de site proposant des torrents (petit fichier contenant les données de téléchargement), vous pouvez télécharger depuis un réseau P2P tous types de fichiers à travers le client utorrent. Chaque client Bittorrent servant de clients/serveurs afin de diffuser ces fichiers.
Souvent, il s’agit de fichier illégaux (films, logiciels crackés etc), néanmoins, il est possible de télécharger des fichiers ISO de distribution Linux par exemple.
Depuis 2006, utorrent est un logiciel propriété, comme tout logiciel propriété, le but de la société BitTorrent, Inc. est de monétiser ce dernier.
Dans cet article, il s’agit de clarifier quelques aspects concernant utorrent et les virus, puisqu’on peut lire souvent tout et n’importe quoi.
Le site officiel utorrent est http://www.utorrent.com/intl/fr/ – bien entendu, si vous utilisez des moteurs de recherche, vous pouvez tomber sur des sites arnaques qui utilisent le nom utorrent pour diffuser des arnaques ou PUP (programmes potentiellement indésirables).
Exemple avec bing…
Plus d’informations, sur la page : La guerre des moteurs de recherche sur internet
uTorrent et Bundle
La première méthode pour monétiser, consiste à proposer des logiciels additifs lors de l’installation.
Ces méthodes ne sont pas nouvelles et de plus en plus utilisés, ainsi notamment Java et Adobe Flash utilisent ces procédés.
Plus globalement, se reporter à la page : Dossier Adwares/PUPs : programmes indésirables et parasites
Ainsi lors de l’installation de µTorrent, le programme Search Protect est ainsi proposé.
Search Protect est très bien connu, il s’agit d’un programme de protection de la page de démarrage (du même type que Lavasoft Web Companion) qui, en réalité, verrouille la page de démarrage des navigateurs WEB, notamment pour le moteur de recherche trovi.com
Le but est de gagner de l’argent à travers le trafic de recherche sur trovi.com
La société BitTorrent, Inc gagne de l’argent à chaque installation réussie de Search Protect
Search Protect est un Browser Hijacker.
Pour Search Protect, rendez-vous sur la page : Comment supprimer Search Protect
L’installeur utorrent fait aussi la promotion d’Avast! lors de l’installation.
Certains antivirus peuvent d’ailleurs, ce bundle à travers des détections FusionCoreInstall, il s’agit de la plateforme de diffusion FusionCoreInstall.
Ainsi une analyse VirusTotal peut donner :
| SHA256: | 93b92e20d422bc8f4273fe5a910e1a8c812dd56391f161eaf00f0ad52dbdd16a |
| Nom du fichier : | uTorrent.exe |
| Ratio de détection : | 3 / 61 |
| Date d’analyse : | 2017-04-30 10:46:17 UTC (il y a 16 minutes) |
| Antivirus | Résultat | Mise à jour |
|---|---|---|
| Cyren | W32/FusionCoreInstall.A.gen!Eldorado | 20170430 |
| F-Prot | W32/FusionCoreInstall.A.gen!Eldorado | 20170430 |
| Invincea | virus.win32.sality.at | 20170413 |
utorrentie.exe et Web Helper
L’autre mention de virus concernent le fichier et processus utorrenti.exe.
Ce dernier se trouve dans le profil utilisateur de Windows : « C:\Users\<user>\AppData\Roaming\uTorrent\updates\3.5.0_43580\utorrentie.exe »
Une recherche sur Google montre de faux sites de désinfection, qui ne sont là que pour refourguer des logiciels de désinfections payants comme SpyHunter ou Yac!, peuvent donner l’impression que ce processus est lié à un virus.
Ces sites de désinfection créent des fiches bidons, le but est de vous faire tomber dessus et vous faire installer et acheter SpyHunter.
C’est le principe des faux blogs de désinfection : Faux blogs de sécurité et de désinfection
En réalité, utorrentie.exe est un processus qui gère les publicités qui s’affichent sur utorrent :
On peut d’ailleurs facilement visualiser les connexions établies par utorrentie.exe qui sont relativement nombreuses.
Il s’agit ici donc de la seconde méthode pour monétiser, le chargement de publicités sur l’interface de utorrent :
A noter que ces publicités et utorrentie.exe peuvent avoir un impact sur l’utilisation processeur et peuvent donc ralentir Windows.
Torrent piégé
Enfin, il reste les torrent piégés, ce n’est pas vraiment nouveau car du temps d’Emule ce type de vers existaient.
La page suivante en parle : Les dangers du Peer-To-Peer, Emule etc..
Plus récemment, d’autres malwares visant à pousser des torrents piégés sont sortis, notamment évoqué à travers le Trojan Sathurbot :
Les sites diffusant des trojans peuvent aussi diffuser des logiciels malveillants ou arnaques à travers les publicités (principe des malvertising / publicités malveillantes).
Pour plus d’informations sur les dangers, se reporter à la page : Les sites de streaming et les virus
Il s’agit du même principe.
Conclusion
Utorrent ne diffuse pas de virus en soi, mais des programmes parasites type (PUP : programmes potentiellement indésirables) durant l’installation.
Le processus utorrentie.exe n’est pas non plus malveillant, il s’agit de charger des publicités sur l’interface utorrent.