CoolWebSearch
CoolWebSearch - Le Hijacker furieux
|
||||
| |
| Alias : | CoolWebSearch Ces alias sont ceux donnés par divers antivirus
|
|
| Classes : | Adware, Spyware, Hijacker, Bho |
|
| Risque : |   Ces hijackers sont horripilant et constituent, dans certaines variantes, un cauchemar à éradiquer. Nous sommes, en sus, menacé par les autres parasites conduit par CoolWebSearch (exploitant sa gestion des failles de sécurité), en cascade, dans des pratiques de type Drive-by Download. Une explosion de sites piégés envahi le Net (cybersquatting - spamdexing) par ce parasite qui sont, simultanément, pas à l'abri d'autres dangers cachés sur les sites vers lesquels nous sommes redirigés sans notre consentement), certains hijackers de la famille CoolWebSearch constituent de véritables cauchemars à éradiquer. Certaines techniques d'installations et de camouflage sont complètement novatrices et n'ont jamais été vues ailleurs. |
|
| Editeur : | Un gang maffieux agissant dans le e-commerce et la pornographie | |
| Découverte : | La première variante fut identifiée le 27 mai 2003 (CWS.Datanotary) | |
| Installation : | CoolWebSearch est un nom générique donné à tout un éventail de hijackers. Bien que le code soit très différent d'une variante à l'autre, ils ont tous la caractéristique commune de rediriger les internautes vers le site Coolwebsearch.com ou vers des milliers de sites qui lui sont affiliés. Son installation exploite 2 failles de sécurité de la machine virtuelle Java de Microsoft corrigées de longue date:
La page de démarrage d'Internet Explorer est changée ainsi que la page de recherches, la barre de recherches etc. ... Si les patchs avaient été appliqués ou si la machine virtuelle Java de Microsoft avait été remplacée par celle, plus fiable, de Sun, le créateur de Java, l'infestation n'aurait pas eu lieu. Les nouvelles variantes sortent à un rythme soutenu (1 par semaine !) et sont de plus en plus difficiles à éradiquer, voire impossibles. Quelques variantes utilisent même des méthodes de camouflage et d'exécution jamais vues. Si vous désirez conserver la machine virtuelle Java de Microsoft, vous devez impérativement installer le patch MS03-011. Si vous avez Windows XP (Home ou Pro) avec le Service Pack 1a, vous n'avez plus la machine virtuelle Java de Microsoft : ce dernier, suite à une décision de justice définitive, est enfin obligé d'arrêter de plagier et dégrader la technologie de la société SUN Microsystem. Pour plus d'informations et pour supprimer totalement la machine virtuelle JAVA de Microsoft et la remplacer par celle de SUN, lire les pages : Java Anti-Java : comment désinstaller MS-JVM, installer SUN-JVM ou utiliser les deux JVM. Nota : Les variantes dites "Affiliate variants" ne sont pas en relation directe avec CWS mais ont été vu ensembles très souvent. |
|
| Affectés : | Tous les systèmes Windows utilisant la machine virtuelle Java de Microsoft. Celle-ci contient plusieurs failles de sécurité dont une, appelée "ByteVerify", est massivement utilisée par la famille de Hijackers CoolWebSearch. | |
| Epargnés : | Les systèmes d'exploitation DOS, Linux, OS/2, UNIX |
|
| Activité : | Son but est de vous diriger, sans arrêt, vers son portail marchand, l'un de ses innombrables miroirs ou l'un de ses affiliés auprès duquel il touche une comission sur les ventes réalisées grâce à son détournement. Certaines variantes sont des utilisations de la technologie CoolWebSearch pour et par des réseaux marchands autres que CoolWebSearch. D'une manière ou d'une autre vous êtes redirrigés vers des sites non sollicités, des produits ou services non sollicités etc. ... Plusieurs variantes sont totalement dédiées pornographie, ce pan d'Internet étant le plus rémunérateur (certains annoncent que la pornographie pourrait représenter 25% du marché économique sur le Net). |
|
| Vie privée : | ||
| Faille : | Ces prasites ont pu s'installer sans notre permission, sans nous en avertir, sans que nous sachions ce qu'ils font et sans que nous puissions nous y opposer. Ils ont une capacité d'auto mise à jour et donc d'exécuter sans notre accord et sans que nous en ayons connaissance, du code non vérifié et non vérifiable. L'une des variantes se "protège" en bloquant l'accès à de très nombreux sites et utilitaires de sécurité (antivirus, anti-trojans...) dont, introduite secrètement dans votre fichier hosts, la liste des sites suivants qui deviennent inaccessibles : 127.0.0.2 auditmypc.com 127.0.0.3 boards.cexx.org 127.0.0.4 bulletproofsoft.net 127.0.0.5 camtech2000.net 127.0.0.6 cexx.org 127.0.0.7 computercops.us 127.0.0.8 ct7support.com 127.0.0.9 doxdesk.com 127.0.0.20 kellys-korner-xp.com 127.0.0.21 kephyr.com 127.0.0.22 lavasoft.de 127.0.0.23 lavasoftusa.com 127.0.0.24 lurkhere.com 127.0.0.25 majorgeeks.com 127.0.0.26 merijn.org 127.0.0.27 mjc1.com 127.0.0.28 moosoft.com 127.0.0.29 mvps.org 127.0.0.30 net-integration.net 127.0.0.31 noadware.net 127.0.0.32 no-spybot.com 127.0.0.33 onlinepcfix.com 127.0.0.34 pchell.com 127.0.0.35 pestpatrol.com 127.0.0.36 safer-networking.org 127.0.0.37 secure.spykiller.com 127.0.0.38 secureie.com 127.0.0.39 security.kolla.de 127.0.0.40 spybot.info 127.0.0.41 spychecker.com 127.0.0.42 spychecker.com 127.0.0.43 spycop.com 127.0.0.44 spyguard.com 127.0.0.45 spykiller.com 127.0.0.46 spyware.co.uk 127.0.0.47 spyware-cop.com 127.0.0.48 spywareinfo.com 127.0.0.49 spywarenuker.com 127.0.0.50 spywareremove.com 127.0.0.51 spywareremove.com 127.0.0.52 stopzillapro.com 127.0.0.53 sunbelt-software.com 127.0.0.54 thiefware.com 127.0.0.55 tomcoyote.org 127.0.0.56 unwantedlinks.com 127.0.0.57 webattack.com 127.0.0.58 wilders.org 127.0.0.59 www.auditmypc.com 127.0.0.60 www.bulletproofsoft.net 127.0.0.61 www.cexx.org 127.0.0.62 www.computercops.us 127.0.0.63 www.ct7support.com 127.0.0.64 www.doxdesk.com 127.0.0.65 www.eblocs.com 127.0.0.66 www.enigmasoftwaregroup.com 127.0.0.67 www.free-spyware-scan.com 127.0.0.68 www.free-web-browsers.com 127.0.0.69 www.grc.com 127.0.0.70 www.grisoft.com 127.0.0.71 www.hackfaq.org 127.0.0.72 www.hazeleger.net 127.0.0.73 www.javacoolsoftware.com 127.0.0.74 www.kellys-korner-xp.com 127.0.0.75 www.kephyr.com 127.0.0.76 www.lavasoft.de 127.0.0.77 www.lavasoftusa.com 127.0.0.78 www.lurkhere.com 127.0.0.79 www.majorgeeks.com 127.0.0.80 www.merijn.org 127.0.0.81 www.mjc1.com 127.0.0.82 www.moosoft.com 127.0.0.83 www.mvps.org 127.0.0.84 www.net-integration.net 127.0.0.85 www.noadware.net 127.0.0.86 www.no-spybot.com 127.0.0.87 www.onlinepcfix.com 127.0.0.88 www.pchell.com 127.0.0.89 www.pestpatrol.com 127.0.0.90 www.safer-networking.org 127.0.0.91 www.secureie.com 127.0.0.92 www.security.kolla.de 127.0.0.93 www.spybot.info 127.0.0.94 www.spychecker.com 127.0.0.95 www.spychecker.com 127.0.0.96 www.spycop.com 127.0.0.97 www.spyguard.com 127.0.0.98 www.spykiller.com 127.0.0.99 www.spyware.co.uk |
|
| Instabilité : | Plusieurs variantes rendent le système instable, ralentissent dramatiquement le fonctionnement d'Internet Explorer, se plantent etc. ... | |
| Conséquences : | Aucune conséquence néfaste à l'éradication de cette infamie. | |
| Précautions : | Sauvegarde de la base de registre Désactiver les points de restauration Redémarrer en mode sans échec |
|
| Eradication automatique |
Eradication automatique La première chose à faire, contre une variante de CollWebSearch, est d'exécuter CWShredder. Cet utilitaire gratuit est totalement et exclusivement dédié à l'éradication de toutes les variantes de CoolWebSearch. Aucun antivirus et aucun anti-trojans ne parvient à faire ce que fait CWShredder. Notez que les mises à jour de CWShredder sont très fréquentes : si votre copie de CWShredder a plus d'une semaine, elle est probablement déjà périmée. Scan avec votre antivirus Si vous avez un antivirus, utilisez-le, sinon télécharger BitDefender Pro ou Kaspersky AVP maintenant. Le scan doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, avec un paramétrage de votre antivirus tel que tous les types de fichiers sont scannés (y compris les fichiers compressés (archives .zip, .rar, .cab etc. ...)). Scanner et détruire tous les fichiers trouvés. Les antivirus ne sont pas des anti-trojans et n'arrivent pas à éradiquer complètement les parasites non viraux dont ils s'occupent. Une intervention manuelle est souvent nécessaire. S'assurer d'avoir un antivirus paramétré à son maximum puis lancer le scan. Analyse avec votre anti-trojan Si vous avez un anti-trojan, utilisez-le, sinon téléchargez PestPatrol ou a² personnal ou The Cleaner Pro ou Tauscan maintenant. Le scan doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, et avec les réglages poussés au maximum (voir mode d'emploi de PestPatrol en français). Scanner et détruire tous les objets malicieux trouvés. En version d'essai, illimitée dans le temps et autorisant les mises à jour, PestPatrol effectue seulement la détection complète mais pas l'éradication. A charge pour vous de faire l'éradication à la main. |
|
Eradication manuelle |
Eradication manuelle
L'incrustation profonde de certaines variantes est tellement cauchemardesque qu'il est alors utile d'exécuter pas à pas et intégralement notre procédure curative et préventive contre les attaques de Boot (et autres formes d'attaques) : La Manip. |
|
| Ressources |
Ressources Des informations complémentaires peuvent être trouvées sur ces pages
|
|
| Historique des révisions de ce document : |
|
18.10.2003 - Rév 1
27.10.2003 - Rév 2 12.11.2003 - Rév 3 19.12.2003 - Rév 4 17.01.2004 - Rév 5 11.02.2004 - Rév 6 07.04.2004 - Rév 7 20.05.2004 - Rév 8 30.10.2004 - Rév 9 03.06.2007 - Up V4 |
Rédigé en écoutant :
Music
Music