SpywareStopper est un produit de Paul Kurland, bien connu pour son célèbre SpyBlocker.
SpywareStopper est le compagnon naturel de SpyBlocker. Il ajoute à SpyBlocker des capacités de gestion et de log là où spyblocker se contente d'assurer une navigation saine et il ajoute des capacités purement préventives là où SpyBlocker travaille en temps réel pur, à la volée.
Sa première activité est de s'attaquer aux contrôles ActiveX. Cette technologie propre à Microsoft mais qui se développe sous la forme de projets commerciaux ou open source pour Netscape ou Mozilla, est la plaie de la navigation sur Internet. C'est elle qui conduit l'introduction et l'installation de quasiment toutes les malveillances, depuis les adwares jusqu'aux RATs et spywares. SpywareStopper va donc stopper tous les contrôles ActiveX connus pour leur hostilité.
Les contrôles ActiveX et le Kill-Bit.
La vaccination, purement préventive, contre les contrôles
ActiveX hostiles connus, utilise un "drapeau" de la base de registres de Windows, appelé le "Kill-Bit" (ou "Bit d'arrêt" en Français), pour les taguer. Ceci est décrit dans la base de connaissances de Microsoft : article 240797 disponible en français de la "KB" (
Knowledge
Base - Base de connaissances) à
http://support.microsoft.com/kb/240797/fr.
Des utilitaires se chargent de cela. Ces utilitaires
Anti-ActiveX ne doivent absolument pas être confondus avec un quelconque scanner recherchant et éliminant des parasites préalablement installées. Le scan anti-trojans (et donc anti-ActiveX) doit être exécuté, séparément, avec la fonction scanner d'un
anti trojan classique. Dans la vaccination il s'agit d'un travail en amont afin, simplement, de les empêcher de s'installer. Les contrôles
ActiveX ainsi bloqués sont de toutes natures et, souvent, de plusieurs natures simultanément:
Par la même occasion ce sont de très nombreuses
pop-up publicitaires, servant de pourvoyeurs de
spywares, qui sont bloquées. Les contrôles
ActiveX licites ne sont pas affectés. Vous pouvez exécuter Internet Explorer en confiance avec la technologie
ActiveX activée. Internet Explorer ne chargera jamais, n'exécutera jamais et ne vous demandera même jamais l'autorisation d'installer un
contrôle ActiveX hostile (
dans la limite de ceux connus par l'utilitaire), tous les autres (ce qui inclut les contrôles ActiveX hostiles pas encore connus) fonctionnant normalement.
- Lorsqu'une page piégée essaiera d'installer un composant présent dans cette liste, elle échouera.
- Lorsqu'une page essaiera d'exploiter un composant présent dans cette liste, même si celui-ci était préalablement réellement installé dans votre machine, elle échouera également.
Les contrôles
ActiveX sont identifiés au moyen d'un identificateur unique, de type
GUID (Global Unique IDentifier), appelé Class identifier - CLSID. Le fonctionnement des utilitaires de vaccination consiste à installer dans la base de registre de Windows tous les CLSID hostiles connus (dans la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility). La technique de blocage utilisée est celle du "kill bit" telle que décrite par Microsoft dans son article
KB240797, bloquant ainsi toute tentative d'installation ultérieure. Une fois cela fait, il n'est d'aucune utilité de laisser l'utilitaire tourner. Il ne prend donc aucune place en mémoire et ne consomme aucun temps de calcul. La méthode est totalement statique. Il suffit d'exécuter une mise à jour, périodiquement. Accessoirement, la technique du Kill Bit peut empêcher l'exécution de certains contrôles
ActiveX hostiles qui se seraient installés préalablement, en désactivant leurs CLSIDs, mais il faudra les éliminer physiquement de votre ordinateur avec la fonction scanner d'un
anti trojan classique. Cette technique de la vaccination (kill bit) est applicable dans :
- IE 4.0 for Windows NT 4.0
- IE 4.01 for Windows 98 SP 1
- IE 4.01 for Windows 98 SP 2
- IE 4.01 for Windows NT 4.0 SP 1
- IE 4.01 for Windows NT 4.0 SP 2
- IE 5.0 for Windows 98
- IE 5.0 for Windows 98 Second Edition
- IE 5.0 for Windows NT 4.0
- IE 5.01 for Windows 2000 SP 1
- IE 5.01 for Windows 2000 SP 2
- IE 5.01 for Windows 98 Second Edition SP 1
- IE 5.01 for Windows 98 Second Edition SP 2
- IE 5.01 for Windows 98 SP 1
- IE 5.01 for Windows 98 SP 2
- IE 5.01 for Windows NT 4.0 SP 1
- IE 5.01 for Windows NT 4.0 SP 2
- IE 5.5 for Windows 2000 SP 1
- IE 5.5 for Windows 2000 SP 2
- IE 5.5 for Windows 98 Second Edition SP 1
- IE 5.5 for Windows 98 Second Edition SP 2
- IE 5.5 for Windows 98 SP 1
- IE 5.5 for Windows 98 SP 2
- IE 5.5 for Windows Millennium Edition SP 1
- IE 5.5 for Windows Millennium Edition SP 2
- IE 5.5 for Windows NT 4.0 SP 1
- IE 5.5 for Windows NT 4.0 SP 2
- IE 6 for Windows 2000
- IE 6 for Windows 98
- IE 6 for Windows 98 Second Edition
- IE 6 for Windows Millennium Edition
- IE 6 for Windows NT 4.0
- IE 6 for Windows XP
- IE 6 for Windows XP 64-Bit Edition
Lors d'un test comparatif du 15.12.2003, les produits utilisant cette technique préventive comportaient, dans leur base:
- SpywareStopper, 808 CLSID d'ActiveX hostiles (+ de très nombreuses autres fonctions)
- SpywareBlaster, 776 CLSID d'ActiveX hostiles (+ les cookies à spywares)
- SpyBot Search and Destroy, 506 CLSID d'ActiveX hostiles (détecte la présence de SpywareBlaster et conseille de l'utiliser)
- RegBlock, 335 CLSID d'ActiveX hostiles
- Aluria Spyware Eliminator, 206 CLSID d'ActiveX hostiles
- ImmunizeNow!, pas comparé
Lors d'un test comparatif du 27.01.2004, après mise à jour et exécution de
SpywareBlaster (qui ajoute plusieurs nouvelles CLSID) puis de
SpyBot Search and Destroy (qui n'ajoute rien), exécution de
SpywareStopper. Ce dernier trouve encore à ajouter 62 nouvelles CLSID dont plusieurs CoolWebSearch, Gator, IeToolBar, IGetNet, Keen Value, NewDotNet, PrecisionPop, Rank, Roings, S-A-C, SearchBar, Tx4.
Malgré la gratuité des second, troisième et sixième produits de la liste ci-dessus, le premier,
SpywareStopper, confirme son très net avantage. Nous recommandons l'acquisition de
SpywareStopper qui se révèle un cran au dessus des autres. Quant aux 2 autres produits comparés,
RegBlock et
Aluria Spyware Eliminator, dans le domaine de la protection par Kill-Bit, ils sont inexistants.
SpywareStopper effectue également un contrôle en temps réel des cookies et offre un système de gestion de ceux-ci.
SpywareStopper vous alerte en temps réel sur des évènements suspects et vous offre des choix d'actions afin que vous repreniez votre place : c'est vous le maître de votre navigation !
SpywareStopper dispose d'outils de nettoyage, d'un anti-hijack et d'un panneau de contrôles des services de Windows.
Le tout en fait un outil très puissant et un utilitaire utile.