BackWeb

Egalement connu sous les noms
Active Update (Compaq, Cisco, Hewlett-Packard, Ericsson, IBM, Schlumberger Dowell etc. ...
ActivSurf (Packard Bell)
BackWeb Light Client

Variantes
BackWeb Lite
BackWeb Server

Description
BackWeb (site de la société BackWeb) est un outil client-serveur. Il est identifié pour être livré, au moins, par les sociétés IBM, Compaq, HP Hewlett-Packard, Network Associates, Real Networks, Logitec, F-Secure, McAfee, Western Digital, Kodak Digital Camera Sync Software, Kodak Software Updater (Kodak Easyshare digital cameras), Packard Bell ActivSurf, Deloitte, Raiffeisen, GE Healthcare, Enhanced Care Initiatives, Siemens, Boehringer, KLA Tencor, Fidelity Investments, BT, Biotronik, Kaeser, Netstal, Lam Research, Blt Systems, Owens, ACNielsen, Guidant, DDY Interactive ... (Exemple de clients BackWeb). Certains sont même partenaires de BackWeb : SAP, Oracle, BEA, Plumtree. BackWeb existe depuis 1996. Général Motor, l'une des toutes premières entreprises du monde, fut un des tout premiers clients. La société BackWeb est cotée au Nasdaq et est spécialiste des infrastructures de communication Internet.

Le comportement du logiciel BackWeb est fonction de son paramétrage d'exploitation par la tâche qui le sollicite.

BackWeb pratique le téléchargement silencieux. Il est utilisé par les vendeurs de logiciels et de matériel (et dans d'autres métiers) qui le livrent en groupage (bundle) avec leurs produits logiciels pour, d'une manière pro-active, distribuer du contenu à leurs clients. Ils prétendent ainsi permettre des mises à jour automatiques de leurs produits type drivers (pilotes de périphériques) ou applications. Il s'agit d'une forme de communication de contenu dite "push" - ce n'est pas vous qui allez chercher les mises à jour, ce sont les vendeurs qui entrent dans vos machines et vous les imposent. Par exemple, ce qu'en disent HP et Compaq :

"What is BackWeb?
HP partnered with BackWeb Technologies to develop the Updates from HP (and Compaq Connections) messaging service. BackWeb is the provider of Polite^® Communications technology, based in San Jose, California. If you want to learn more about BackWeb, please visit http://www.BackWeb.com."

BackWeb utilisé à bon escient en outil de mises à jour automatiques

Un exemple d'implémentation de BackWeb BackWeb peut être utilisé à bon escient et, par exemple, en 1999, la société SAP, éditrice de la gamme de logiciel du même nom, SAP (solutions commerciales et comptables pour les très grands groupes multinationaux), à passé un accord avec la société éditrice de BackWeb afin que SAP, par sa plate-forme de maintenance mySAP, puisse diffuser des alertes ou mises à jour auprès de ses clients en utilisant la plate-forme Internet de BackWeb. Des tâches "client BackWeb" sont donc "à la réception". La technologie "BackWeb" permet donc de créer des "réseaux privés". Dans le cadre de ces "réseaux privés", BackWeb permet de faire de la promotion sur des cibles déjà clientes et non pas au simple stade de prospect.

BackWeb sert surtout à télécharger des données de type "informations sur les nouveaux produits" et à les afficher sous forme de pop-up. Il a donc, à ce titre, un comportement strictement d'adware.

BackWeb est un Adware

Dans son activité apparente, BackWeb repère les "temps morts" des utilisateurs et en profite pour leur projeter des fenêtres publicitaires (pop-ups). On ne sait pas exactement ce que fait l'ensemble du produit client/serveur BackWeb. Exemple d'implémentation de BackWeb Un portail de push off line et on line L'infrastructure "push polite" du moteur BackWeb est prisée par de nombreux sites ou éditeurs désireux de mettre en oeuvre des portails d'information personnalisés permettant de diffuser des informations ciblées vers un destinataire précis. Ainsi, on a vu récemment le fournisseur multi-contenu nfactory s'associer à l'éditeur, SAP s'est également laissé séduire par la technologie en l'intégrant à sa plate-forme d'e-commerce -MySAP.com-, enfin RealNetworks a inclus le logiciel dans son produit de diffusion automatisée de musique numérique via Internet -RealJukebox-. Offrir une solution clé en main à partir de backweb L'agence de marketing interactif DDY Interactive est allée plus loin et a conçu une plate-forme -web2me- à partir de la technologie. Destinée à agréger des contenus de sites partenaires complémentaires, elle permettra d'offrir ainsi à leurs annonceurs un nouveau support publicitaire .../... L'intérêt de l'application est de proposer le contenu à l'internaute en mode off line ou on line .../... Sur différentes fenêtres .../... Le rafraîchissement des informations est réalisé par le serveur Backweb selon une fréquence déterminée au préalable avec le site partenaire. Celui-ci intervient dans le respect de l'optimisation de la bande passante de l'internaute. Des animations promotionnelles à tout instant... Sur quel modèle économique est basé ce service à l'internaute ? Une fois encore, sur la publicité. L'agence propose en fait de vendre aux annonceurs des sites un nouvel espace promotionnel (les revenus publicitaires seront partagés). D'une part sur le portail, et d'autre part via des animations graphiques qui peuvent être diffusées à tout instant vers l'utilisateur où qu'il soit sur son bureau Windows. Un peu intrusif tout de même... "L'intérêt est de pouvoir capter l'utilisateur à un moment donné même lorsqu'il n'est pas connecté pour lui soumettre par exemple un formulaire ou un sondage" Extraits de journaldunet.com L'implémentation dans SAP a été aussi faite pour que le produit puisse diffuser des informations (la diffusion d'"informations" sur les nouveaux produits de SAP n'est rien moins que de la "publicité" et BackWeb se comporte tout simplement en adware). L'équipe de Securitoo (antivirus F-secure et pare-feu proposé par la société Nordnet, le plus souvent par l'intermédiaire d'un prestataire de service tierce partie comme Wanadoo / Orange ) peut communiquer avec vous de deux façons principales : par e-mail (messagerie électronique) et par un système de flash. Un flash est une petite fenêtre informative aux couleurs du logiciel Securitoo Anti-Virus que vous possédez. Encore une fois, de quoi je me mêle ! BackWeb faisait lui même sa publicité sur son site avant que cette page ( http://www.backweb.com/customers/kodak.cfm ) ne disparraisse : "BackWeb enables Kodak to automatically deliver software updates and notifications to millions of customers based on specific user preferences."

Mais être un adware intrusif est là le moindre des soucis que pose BackWeb. BackWeb aurait un comportement, pas encore prouvé, malicieux. Il est très suspect dans son comportement et dans son installation à tel point que beaucoup d'observateurs le classe parmi les Keyloggers et les Spywares. En réalité, tout dépend du paramétrage de BackWeb fait par chaque éditeur de logiciel qui le livre en paquettage (bundle) avec son propre produit. Avec le même outil certains peuvent avoir un comportement tout à fait sain et d'autres le paramétrer pour un comportement voyou.

BackWeb est classé en risque 2 (sur une échelle de 0 à 5) par Uniblue (LiUtilities)
http://www.liutilities.com/products/wintaskspro/processlibrary/backweb/

BackWeb se classe 1er dans les problèmes de sécurité les plus recherchés sur le site de sécurité processlibrary.com
http://www.liutilities.com/news/articles/article10/
"BACKWEB.EXE:
Process Name: Backweb Adware
backWeb.exe is an adware by Backweb Technologies which offers news and entertainment services in exchange for personal usage information regarding the PC being sent back to BackWeb's servers for analysis. Many high range computer manufactorers have entered into an agreement with backweb to install this product by default on work-stations in exchange for other services from the backweb application. This program is a registered security risk and should be removed immediately. Security Threat Rating is 2."

BackWeb serait un spyware et un keylogger

BackWeb n'a jamais été complètement exonéré d'être un parasite ni formellement convaincu d'être un parasite mais son installation silencieuse, son fonctionnement silencieux et certains aspects de son comportement le rende suspect. L'un de ses composants, iadhide3.dll, écoute ce qui se passe au clavier, à la souris et dans le lancement d'applications, travail habituel des logiciels espions de type keyloggers, même si BackWeb se défend de noter quoi que se soit et déclare ne chercher qu'a détecter les périodes de "pose" des utilisateurs pour afficher des pop-ups publicitaires. On ne comprend pas pourquoi F-Secure "plombe" sa crédibilité en faisant appel à BackWeb pour les mises à jour de ses produits antivirus et pare-feu, alors que tous les éditeurs de logiciels de sécurité possèdent leurs propres routines de mises à jour automatiques qui offrent de meilleurs services et sont dépourvues de publicités. En sus, certains logiciels de sécurité dénoncent BackWeb et l'éradiquent de nos systèmes. L'un des client BackWeb (F-Secure) se défend Mais cela ne justifie pas l'usage de BackWeb. F-Secure déclare : L'une des DLLs qui est lancée par le processus BackWeb est "IadHide3.dll". Cette DLL est capitale pour le bon fonctionnement du client BackWeb. Cette DLL est incrustée profondément dans le noyau de Windows en tant que traqueur d'évènements ("system hook" à l'aide d'une API standard Win32) et piège les évènements suivants : Activité du clavier Activité de la souris Activité des applications (Ouverture et fermeture de processus) Ces évènements ne sont notés nulle part (disque, réseau etc. ...). L'occurrence d'un évènement et le moment où il se produit sont signalés au client BackWeb (qui tourne sur la même machine). Le client BackWeb utilise ces informations pour: Afficher des flashs d'informations en Pop-Up (également appelés "BackWeb Flash" et exécutés par un script nommé "BALI" ou "Sprite") d'une manière respectueuse (NDT : "Pop-Up respectueuse" est un oxymore!), par exemple uniquement si l'utilisateur est inactif depuis un certain temps (paramétrable). Dès qu'un évènement au clavier ou à la souris est intercepté, l'utilisateur est considéré actif et aucune Pop-Up n'est affichée. Désactiver les Pop-Up et la communication lorsque certaines applications (liste paramétrable) sont actives. De même, si une application fonctionne en plein écran, comme une présentation PowerPoint, le client BackWeb désactive les Pop-Ups. La DLL note seulement la survenue de la dernière utilisation du clavier ou de la souris ainsi elle sait quand activer BackWeb, mais elle ne note pas l'usage actuel qui en est fait tel que les touches du clavier utilisées ou l'icône cliqué à la souris. Certains fournisseurs d'anti-trojans et anti-spywares considèrent ce processus comme inacceptable et suppriment BackWeb de votre ordinateur. Dans le cas de F-Secure, Antivirus ou Internet Security, cela interrompt le téléchargement automatique des mises à jour. Mais Hewlett Packard fait tout autrement HP (Hewlett Packard) est l'un de ces fournisseurs de matériel utilisant la technologie BackWeb mais lui (et sans doute les autres mais on ne le sait pas encore) a paramétré différemment BackWeb ainsi son logiciel Internet Netropa ping régulièrement un serveur pour maintenir une connexion vivante et transmet l'usage des touches de fonction étendues des claviers type One Touch Internet Keyboard. Là, il s'agit d'un véritable keylogger. Newsgroups/comp.security.misc Q: Why do ALL the spyware detection scanners (3 out of 3 I've tried) consistently ID Backweb components as "spyware"? R: it's installed by stealth (at least it used to be) and WDC's privacy policy is such that it may be used for whatever they want, and I do believe advertising was mentioned, at least in the past. That's why it's considered spyware. Newsgroups/comp.security.misc Answersthatwork.com (Analyses et explications sur les tâches qui s'exécute sur un système Windows) BackWeb started life as push technology software which enabled you to subscribe to various information channels of your choice so that your selected information channels would pop up on your screen with the latest world news, entertainment news, etc…, whatever you might have chosen You can configure the original BackWeb to download the news for later viewing, to display the news as desktop background, ticker, or popup window. This did not take off as well as expected and, crucially, it was also not paying for itself. As a result BackWeb quickly went into other markets, two of them significant ones. (1) Advertising adware where websites, ISPs, or software manufacturers include BackWeb on their site, in their ISP software, or in their software and, whenever you connect to the Internet, BackWeb also connects to retrieve advertisements which are then displayed on your screen or in your browser. (2) BackWeb is also routinely installed on new PCs by specific computer manufacturers with the aim being that BackWeb will automatically check for vital updates to the PC’s setup whenever the end-user connects to the web. Such manufacturers include Compaq, Hewlett-Packard, LogiTech, Kodak, although some or all of these may have stopped this practice at the time of writing of this entry (April 2002). Recommendation : Unless you are using BackWeb for news content, we strongly recommend de-installing it. It is often a serious resource hog, in most cases it is also advertising adware, it slows down your Internet connection, unacceptably if you connect by modem, and it has the potential for sending out information from your PC. De-install via the "Add/Remove Program" icon in the Control Panel... ( http://www.answersthatwork.com/Tasklist_pages/tasklist_b.htm ) PacMan Startup List (Analyses et explications sur les tâches qui se lancent au démarrage d'un système Windows) Détecte automatiquement une connexion internet et télécharge toutes les mises à jour disponibles. Typiquement sur les PCs Compaq et HP, mais non limité à ces OEMs. Dévoreur de ressources, et crée souvent des disfonctionnements. Disponible via Démarrer -> Programmes (Version française officielle de la PacMan)

Observons que, pour permettre la mise à jour des pilotes de périphériques et des logiciels installés, le client BackWeb doit prendre connaissance de ce qui est installé sur la machine et faire remonter cette information au serveur du constructeur d'ordinateur ou de l'éditeur du logiciel.

BackWeb se comporte en cheval de Troie dont la charge utile est un scanner

Compaq utilise la technologie BackWeb pour son service Active Update comme Cisco, Hewlett-Packard, Ericsson, IBM, Schlumberger Dowell etc. ... Le but apparent est de permettre à ces constructeurs d'accéder à tous leurs ordinateurs ! De quoi je me mèle ? Ils veulent impérativement, obligatoirement, accéder à tous les ordinateurs qu'ils vous ont vendus parce que nous sommes infantilisés et considérés comme incapables de faire, par nous mêmes, nos mises à jour. Même Microsoft n'y avait pas pensé mais cela est dans ses cartons avec un projet de mises à jour obligatoires échappant à l'utilisateur ! Ils veulent télécharger des composants logiciels et des mises à jour automatiquement, dès que vous êtes connectés. Or ceci nécessite un scan de l'ordinateur pour savoir quels logiciels sont installés, dans quelles langues, avec quelles numéros de version etc. ... et quels périphériques... Y a-t'il un seul naïf pour croire un seul instant qu'ils trient l'information et ne font remonter que ce qui les concerne ...? BackWeb est donc un cheval de Troie embarquant un scanner et faisant remonter l'information, c'est à dire embarquant un spyware de tracking. Cette information reçue le 06.05.04 A noter qu'actuellement Logitech avec ses claviers et souris, proposent et demande au client (lors de l'installation de pilote) d'activer (ou non) ce "service". Lorsque vous refusez, il essaie encore une fois de s'installer malgré le refus, mais il suffit de réitérer ce refus. Nicole L.

Enfin, notons qu'aucun logiciel est 100% sans erreur (error free) - cela n'existe pas - donc, plus vous avez de logiciels communiquant installés et plus vous ouvrez des failles de sécurité.

BackWeb ouvre des failles de sécurité

Si BackWeb est une faille de sécurité par destination, avec sa capacité à télécharger du code arbitraire et à l'exécuter sans notre consentement et sans que nous en ayons connaissance, nous sommes, en sus, victime des failles de sécurité du logiciel BackWeb lui-même. Comment les utilisateurs, dont la plupart ignore complètement sa présence sur leur machine, pourraient appliquer des correctifs éventuels à un logiciel dont ils ignore la présence. BackWeb a ses propres failles comme en témoigne ces avis dont l'un provenant de l'un des Cert français (Computer Emergency Response Team), celui de la Defense National, le CERTA. AVIS DU CERTA - Objet : Vulnérabilité dans F-Secure BackWeb F-Secure BackWeb 6.31 Security Update Hotfix (April 7, 2004) Vulnerability in the BackWeb Polite Agent Protocol BackWeb Polite Agent Protocol Infopak spoofing

Notons qu'un vrai FireWall bidirectionnel (comme OutPost Pro), mais pas du tout le gadget appelé FireWall dans Windows XP, suffit à le bloquer. Il est impératif de supprimer backweb sur tous les ordinateurs familiaux et individuels et de demander précisément de le faire au directeur du SI pour les grands comptes.

Les fichiers BackWeb sont téléchargés depuis main.cameocast.com

Activités

• Publicité
  Oui, sous la douce appellation de "distribution d'informations". D'après des notes de cexx.org il ressemble à DSSAGENT et à CameoCast.
  
  
• Violation de la vie privée
  Oui. BackWeb est installé sur de très nombreuses machines dès l'origine. Par nature, les mises à jour automatiques nécessitent que de l'information soit collectée sur nos ordinateurs, on ne sait pas exactement laquelle, et renvoyée vers des serveurs, on ne sait pas exactement lesquels. Il est légitime de se demander qu'est-ce qui peut pousser un bête pilote de souris (Logitech) qui ne connaît qu'extrêmement rarement, voire jamais, de mise à jour, à demander des connexions Internet ! Même interrogation en ce qui concerne les pilotes Western Digital (les disques durs n'utilisent plus de pilote depuis des années).
  
  
• Introduction d'une faille de sécurité
  Oui. Par nature, les mises à jour automatiques sont destinées au téléchargement et à l'installation de code, non vérifié et non vérifiable, sur nos machines, avec impossibilité de s'y opposer.
  
  La position constante d'Assiste.com consiste à dire :
  Nous recommandons avec insistance de ne jamais avoir de tâche de nature "Mise à jour automatique" active dans vos ordinateurs (sauf en ce qui concerne les bases de signatures des antivirus et des anti-trojans). Il est impossible de savoir exactement à quoi elles servent, quelles informations elles collectent et transmettent, à qui elles les transmettent etc. ... D'autre part il est impossible de savoir quels programmes sont téléchargés et installés dans nos ordinateurs, ni d'en contrôler le code, ni de s'y opposer. Toutes les tâches de mises à jour automatique doivent être considérées comme de graves failles de sécurité. Seule la tâche de mise à jour de votre antivirus doit être autorisée car sa fréquence (plusieurs fois par jour) ne permet pas un suivi manuel. Les pilotes (drivers) connaissent 1 à 2 mises à jour par an, au début de leur sortie, puis plus rien ou presque. Les pare-feu (firewall) également n'ont pas à disposer d'une mise à jour automatique qui se connecte périodiquement. Même le simple avertissement de publication d'une nouvelle version ou d'un correctif, sans installation automatique, sous-entend que la tâche s'est connecté et a envoyé des données. Enfin ces tâches ralentissent le démarrage du système et certaines causent des crashs. Et, cela va sans dire mais il semble que cela aille beaucoup mieux en le disant : Si vos périphériques fonctionnent correctement il n'y a strictement aucune raison de chercher à corriger un problème qui n'existe pas, quitte à en amener un qui n'existait pas. Si quelque chose va réellement mal, naviguez sur les pages de pilotes (drivers) de vos fournisseurs et téléchargez celui dont vous avez besoin, au moment où vous en avez besoin, c'est tout.
  
  
• Introduction d'une instabilité du système
  Oui. Il a été signalé le message d'erreur "BackWeb caused an invalid page fault in module BackWeb.EXE at 017f:004024f9." "Runner Error Invalid Backweb application id". Ce message d'erreur est souvent signalé, suivi d'un code. Il s'agit probablement de l'usage d'un anti-spyware qui a partiellement ou totalement désinstallé BackWeb alors qu'une application tente d'y accéder. Il peut s'agir aussi de l'installation concurrente de plusieurs BackWeb sur le même ordinateur.
  
  

Editeur

• Backweb
  
  

Autres produits du même éditeur

• ?
  
  

Méthode de distribution

• D'origine avec de très nombreux constructeurs d'ordinateurs (et d'en d'autres métiers dont le marketing/publicité).
  
  

Détection

• Les utilitaires anti-trojans.
  PestPatrol a retiré BackWeb de sa base de signatures et ne donne plus d'informations d'éradication.
  SpyBot Search & Destroy
  Spy Sweeper
  
  

La présence de lignes de ce type dans un log HijackThis permet de détecter BackWeb en paquettage (bundle) avec :

• Logitech Desktop Messenger - de Logitech
  Voici un usage complètement inattendu et incompréhensible.
  C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
  O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
  O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
  O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
  O4 - HKCU\..\Run: [Logitech Desktop Messenger] C:\Program Files\Logitech\Desktop Messenger\8876480\Users\nom-utilisateur\NewVersion\setup-8876480.exe
  O4 - Global Startup: Logitech Desktop Messenger Agent.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
  
  
• Antivirus F-Secure ou Securitoo - de F-Secure
  C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
  C:\PROGRA~1\F-SECU~1\backweb\7309581\Program\SERVIC~1.EXE
  C:\Program Files\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
  C:\Program Files\F-Secure Internet Security\backweb\7309581\program\fsbwsys.exe
  C:\Program Files\F-Secure Internet Security\backweb\7309581\Program\BackWeb-7309581.exe
  C:\Program Files\F-Secure Anti-Virus\backweb\4476822\Program\fspex.exe
  O4 - Global Startup: F-Secure 2006.lnk = C:\Program Files\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
  O23 - Service: F-Secure Anti-Virus 2005 (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
  O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
  O23 - Service: F-Secure Internet Security 2004 (BackWeb Client - 7309581) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\7309581\Program\SERVIC~1.EXE
  O23 - Service: F-Secure Internet Security 2004 (BackWeb Client - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
  O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe
  O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure Internet Security\backweb\7309581\program\fsbwsys.exe
  
  
• Kodak EasyShare - de Eastman Kodak Company
  C:\Program Files\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
  O4 - Global Startup: KODAK Software Updater.lnk = C:\Program Files\KODAK\KODAK Software Updater88971\Program\backWeb-7288971.exe
  
  
• HP Center - de Hewlett Packard
  C:\Program Files\hp center\137903\Program\BackWeb-137903.exe
  O4 - Global Startup: hp center.lnk = C:\Program Files\hp center\137903\Program\BackWeb-137903.exe
  
  
• Connection - de CABC
  C:\Program Files\BackWeb\BackWeb Client\6.1.4.45L\Program\splash.exe
  C:\Program Files\The Connection\8086459\Program\backWeb-8086459.exe
  C:\The Connection\8086459\Program\backWeb-8086459.exe
  O4 - HKLM\..\Run: [CABC] D:\Content Download\731439\Program\backWeb-731439.exe -startup
  O4 - HKLM\..\Run: [CABC] C:\Program Files\CoolAgent\6477905\Program\backWeb-6477905.exe -startup
  O4 - HKLM\..\Run: [The Connection] c:\Program Files\The Connection\8086459\Program\backweb-8086459.exe -startup
  O4 - Global Startup: BearingPoint TV.lnk = D:\The Connection\8086459\Program\backWeb-8086459.exe
  O4 - HKLM\..\Run: [CABC] C:\Program Files\The Connection\8086459\Program\backWeb-8086459.exe -startup
  O4 - HKLM\..\Run: [CABC] C:\The Connection\8086459\Program\backWeb-8086459.exe -startup
  
  
• Active Update - de COMPAQ/HP
  c:\program files\compaq\activeupdate\backweb\program\backweb. exe
  C:\Program Files\Compaq Connections\1940576\Program\BackWeb-1940576.exe
  C:\Program Files\Updates from HP\309731\Program\Updates from HP.exe
  C:\CPQS\BWTOOLS\SCCENTER.EXE
  C:\CPQS\BWTOOLS\BWTRAY.EXE
  C:\Program Files\BackWeb\Program\backweb.exe
  C:\PROGRAM FILES\BACKWEB\PROGRAM\FREXT.EXE
  O4 - startup: compaq activeupdate.lnk = c:\program files\compaq\activeupdate\backweb\program\backweb. exe
  O4 - Global Startup: ActiveUpdate.lnk = C:\COMPAQ\ActiveUpdate\BackWeb\Program\backweb.exe
  O4 - Global Startup: Compaq Connections.lnk = C:\Program Files\Compaq Connections\1940576\Program\BackWeb-1940576.exe
  O4 - Startup: MINIFERT.PIF = C:\CPQS\TOOLS\MINIFERT.EXE
  O4 - Global Startup: Updates from HP.lnk = C:\Program Files\Updates from HP\309731\Program\Updates from HP.exe
  O4 - HKLM\..\Run: [Service Connection] c:\cpqs\bwtools\sccenter.exe
  O4 - HKLM\..\Run: [Service Connection] c:\cpqs\bwtools\bwtray.exe
  O4 - Startup: HP Updates.lnk = C:\Program Files\BackWeb\BackWeb\Program\backweb.exe
  On trouve encore un processus nommé "HP Info Express" (pas de commande identifiée)
  
  
• ActivSurf - de Packard Bell
  C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
  O4 - HKLM\..\Run: [ActivSurf] C:\apps\ActivSurf\4448364\Program\backweb-4448364.exe
  
  
• Western Digital's Data Lifeline BackWeb Lite Installer - de Western Digital
  Voici un usage complètement inattendu et incompréhensible.
  Processus Data LifeGuard LifeLine Lite installer (commande DLGLI.EXE)
  Processus DLG (commande DLGCHBW.exe)
  
  

Informations techniques

• Outre un paramétrage très "ouvert", la technologie BackWeb repose sur une architecture ouverte qui permet à des tierces parties d'ajouter aisément des plug-ins donc il ne peut être tiré de conclusion générale quant-au produit backweb de base dont les caractéristiques et la dangerosité peuvent être augmentés et personnalisés dans chaque implémentation. L'un de ces plug-in identifié est "BackWeb Polite Upstream" (c'est un oxymore !) qui permet de renvoyer de l'information vers les serveurs.
  
  
• Utilise le port 6670.
  
  
• Utilise un protocole basé sur UDP.
  
  

Eradication

• Eradication manuelle
  Vous devez connaître et maîtriser les actions manuelles suivantes
  • Tuer un processus actif
    
  • Retirer une entrée de la liste de démarrage
    
  • Détruire des fichiers
    
  • Détruire des répertoires
    
  • Détruire des clés de registre
    
  • Détruire une entrée dans une clé de registre
    
  • Désenregistrer des DLLs
    
    
  Commencez par rechercher une procédure de désinstallation dans "Ajout/Suppression de programmes". Elle semble exister assez régulièrement.
  
  S'il n'y a pas de désinstalleur, exécuter les étapes suivantes :
  
  1. Tuer le processus DLGLI.EXE avec le gestionnaire de tâches (CTRL-ALT-DEL). Il peut appara^tre sous divers noms dont "Downloading Software..." ou "Resuming Downloading of Software..."
     
  2. Rechercher la clé de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run et détruire la sous-clé comportant la valeur DLGLI.EXE
     Faire Démarrer > Exécuter > Regedit > Ok > dans la fenêtre de gauche, déployer l'arborescense HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows > CurrentVersion > Run > Rechercher la sous-clé contenant la valeur DLGLI.EXE et la détruire.
  3. Rechercher le fichier Iadhide3.dll et le détruire
  4. Rechercher le fichier DLGLI.EXE et le détruire
  5. Rechercher le fichier BackWeb-XXXXXXXX.exe (où xxxxxxxx est un nombre - le numéro de version) et le détruire
  6. Rechercher le répertoire "BackWeb" et le détruire.
     Nota : Pour conserver BackWeb, au cas ou, faites les recherches ci-dessus et, au lieu de détruire les fichiers et répertoires, les renommer n'importe comment (par exemple BackWeb-XXXXXXXX.ex_ etc. ... Ceci l'empêchera de se lancer au prochain démarrage de l'ordinateur.
     
  7. Tuer le processus suivant:
     dc1.exe
     
  8. Supprimer les fichiers suivants s'ils existent
     dc1.exe
     dc10.hlp
     dc6.r
     
  9. Retirer les lignes faisant référence à BackWeb, dans la liste de démarrage, avec l'un des utilitaires préconisés (HijackThis, par exemple).
  10. Toujours exécuter l'intégralité de "La Manip" après cette désinfection.
      
      
• Eradication automatique avec son propre uninstal
  Démarree > Ajout/Suppression de programmes > BackWeb (Lorsque cette procédure existe).
  Toujours exécuter l'intégralité de "La Manip" après cette désinfection.
  
  
• Eradication automatique avec un outil
  SpyBot Search & Destroy (avec BackWeb décoché dans la liste des exclusions)
  Spy Sweeper éradique BackWeb qu'il considère comme un adware et spyware.
  Toujours exécuter l'intégralité de "La Manip" après cette désinfection.
  
  
• Conséquences de l'éradication
  Plus de publicités. Mises à jour manuelles à votre demande.
  
  

Suggestion de serveurs à ajouter à hosts
Hosts - Qu'est-ce que c'est?

• 127.0.0.1 main.cameocast.com
  
  

Suggestion d'IPs de serveurs à bloquer
Par exemple en utilisant PeerGuardian.

• ?
  
  

Cookies à éradiquer utilisés par ce parasite

• ?
  
  

Support de l'éditeur

• Email BackWeb Technical Support
  E-mail your BackWeb product question to BackWeb. There is no charge for this service.
  
  
• Email Support:
  bwsupport@backweb.com
  
  
• Phone Support
  Telephone support for the BackWeb client is also available.
  
  
• Support Hours:
  M-F 9am-6pm ET (except holidays)
  
  
• Phone Number:
  US: 408-933-1768
  800-778-1949
  
  
• Europe: +972-3-9002708
  
  

Porter plainte
Portez plainte ici
O.C.L.C.T.I.C
MINISTERE DE L'INTERIEUR
Direction Centrale de la Police Judiciaire
Sous-Direction des Affaires Economiques et Financières
8, rue de Penthièvre
75008 PARIS
Tel : 01.49.27.49.27
Télécopie : 01.40.97.88.59
oclctic@interieur.gouv.fr

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com