Cydoor
  • Résumé : Cydoor - adware et spyware infestant 55 millions d'ordinateurs + 300.000 nouveaux par jour et diffusant des billions de publicités par mois.
 
  • Mots-clés : Cydoor, cydoor, cydoor desktop media, cydoor's ads onsoftware, cd_clint.dll, cd_clint.exe, cd_load.dll, cd_load.exe
    get rid of, uninstall, remove, removal, suppression, effacer, effacement, supprimer, virer, détruire, désinstaller, désinstallation


Cydoor
 



Cydoor
Pierre Pinard© (07.12.2001 / 09.11.2003)


Généralités
  • Nom
    Cydoor

  • Autres noms
    Cydoor Desktop Media, Cydoor Solutions, iSkins™ Technology, cd_clint.dll, cd_load.exe

  • Description Résumée
    Il s'agit d'un adware et d'un spyware. Cydoor revendique 55 millions d'ordinateurs pollués par sa technologie et 300.000 nouveaux ordinateurs par jour son infestés par ses outils grâce auxquels il annonce fièrement difuser plusieurs billions de publicités par mois dans le monde.

  • Variantes
    cd_clint.dll, cd_clint.exe est la tâche active on-line.
    cd_load.dll, cd_load.exe est la tâche active off-line


Ce qu'il fait

Publicité Violation de la vie privée Introduit une faille de sécurité Introduit une instabilité du système

Oui

Oui

Oui

Oui

  • Publicité :
    Oui. Plusieurs billions par mois dans le monde entier.

  • Violation de la vie privée :
    Oui. Collecte des données de tracking et des données démographiques (Sur leur page Privacy : genre, âge, centres d'intérêt, status marital, salaire, code postal, pays, niveau d'éducation...). Utilise un GUID. Transmet également des données statistiques sur l'usage de ses publicités (nombre de fois vues, nombre de click etc. ...)

  • Introduit une faille de sécurité :
    Oui. Comporte un dispositif de download de mises à jour donc peut télécharger sur nos ordinateurs n'importe quel type de code invérifiable et l'exécuter. Comporte également un dispositif de download de publicités à diffuser lorsque la connexion Internet est coupée.

  • Introduit une instabilité du système :
    Oui. De nombreux rapports font état d'instabilités causant des erreurs dans Windows XP.

Editeur
Cydoor

Autres produits du même éditeur
.

Méthode de distribution
Essentiellement distribué en "bundle" (en produit joint à un autre) avec opt-in ou opt-out dans plus de 2.000 logiciels de type freeware qui acceptent d'intégrer Cydoor et de faire remonter de l'information démographique (de l'espionnage) vers Cydoor. On le trouve, par exemple, dans Babylon, iMesh, ComTry MP3 Downloader, KaZaA, LimeWire, Grokster, Rosoft CD Extractor, Rosoft Audio Recorder...

Détection
.

Informations techniques
Lorsqu'il est livré en bundle avec un autre produit logiciel, il se sert de la fenêtre même du produit logiciel comme d'une fenêtre d'un navigateur Internet, pour afficher des publicités y compris lorsque vous êtes hors connexion. Cydoor déclare froidement que les utilisateurs d'un ordinateur utilisent plus souvent leurs logiciels que leur navigateur Internet et donc que les pubs dans leurs logiciels on plus d'impact, attire plus l'attention, et sont vues plus souvent. Il ajoute, en plein texte (et en anglais) sur son site que, puisque l'utilisateur doit s'identifier pour obtenir les licences de ses logiciels, il récupère ainsi des données démographiques !!! Notons que l'implémentation de Cydoor dans un logiciel hôte nécessite la totale complicité de l'éditeur du logiciel hôte qui perçoit une rémunération de Cydoor pour "services rendus". Le composant reste en veille permanente et, à chaque connexion Internet, il emet vers un serveur toutes les informations collectées puis reçoit un jeu ciblé de publicités, stockées dans c:\Windows\System\adcache\, qui seront affichées même si la connexion est coupée. "Les publicitées sont tirées du cache publicitaire protégé installé sur l'ordinateur de chaque utilisateur, que celui-ci soit on-line ou off-line. Les programmes afficherons continuellement des publicités depuis le cache jusqu'à ce qu'il soit mis à jour, la prochaine fois que l'utilisateur se connectera. Le téléchargement des publicités et les envois de rapports sont transmis au moment venu." On notera également que Cydoor n'a aucun interface avec l'utilisateur si ce n'est ce genre de page, lors de l'installation du logiciel hôte, qui est prise pour l'une des pages d'installation de l'hôte (remarquez le nom de la fenêtre qui est celui de l'hôte) et sera vite oubliée. L'utilisateur ne saura même pas que Cydoor est installé.


Capture par PestPatrol

Lorsqu'il est un composant d'un site web, il délivre des pop-ups, des bannières ciblées, des boutons et des publicités basées sur la détection de Mots-clés utilisés par l'internaute.

Eradication



La désinstallation de l'hôte ne désinstalle pas la malveillance Cydoor.

Tuer les processus suivants
programfilesdir+\imesh\client\cd_install_202.exe
systemroot+\system32\cd_load.exe
systemroot+\system\cd_load.exe
programfilesdir+\grokster\cd_install.exe
systemroot+\temp\adware\cd_install_291.exe01dopewars_update.exe
cydoor.exe
cydoor_uninstall.exe
sahagent.exe
sahdownloader.exe

Rechercher la clé de registre permettant le lancement automatique de Cydoor au démarrage
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Si la valeur Cydoor s'y trouve, détruire cette valeur (uniquement cette valeur, pas la clé !)
Redémarrer aussitôt


Désenregistrer les dll suivantes:
systemroot+\system32\cd_clint.dll
systemroot+\system32\cd_htm.dll
systemroot+\system\cd_clint.dll
systemroot+\system\cd_gif.dll
systemroot+\system\cd_htm.dll
systemroot+\system\cd_html.dll
systemroot+\system\cd_swf.dll
systemroot+\temp\cd_clint.dll
systemroot+\system32\cd_swf.dll
systemroot+\system32\msg{6ea0f469-dfd6-40fa-8ec0-29c8bf23cf76}0108.dll
systemroot+\system32\gdnp.dll
systemroot+\temporary internet files\content.ie5\kgrv9a5f\cd_htm[1].dll
profilepath+\local settings\temp\cd_clint.dll
systemroot+\system32\adcache\temp\cd_clint.dllcbanner2.dll
gr02.dll
xmltok.dll
netpal.dll
xmlparse.dll
lsp.dll
kernellos.dll
im64.dll

Détruire les clés de registre suivantes:
hkey_current_user\software\cydoor
hkey_current_user\software\cydoor services
hkey_current_user\software\microsoft\windows\currentversion\run\cydoor
hkey_local_machine\software\cydoor
hkey_local_machine\software\microsoft\windows\currentversion\run\cydoor
hkey_local_machine\software\microsoft\windows\currentversion\runonce\cydoorupdate
hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_202
hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_253
hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_270
hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_314
hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_319
hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_336
hkey_users\.default\software\cydoor
hkey_users\.default\software\cydoor
hkey_users\.default\software\cydoor services
hkey_users\.default\software\cydoor services
hkey_users\s-1-5-21-1960408961-1993962763-1343024091-1003\software\cydoor
hkey_users\s-1-5-21-1960408961-1993962763-1343024091-1003\software\cydoor services
hkey_users\s-1-5-21-329068152-1677128483-854245398-500\software\cydoor
hkey_users\s-1-5-21-329068152-1677128483-854245398-500\software\cydoor services
hkey_users\s-1-5-21-725345543-1078145449-1343024091-500\software\cydoor
hkey_users\s-1-5-21-725345543-1078145449-1343024091-500\software\cydoor services
hkey_users\s-1-5-21-796845957-842925246-1060284298-500\software\cydoor
hkey_users\s-1-5-21-796845957-842925246-1060284298-500\software\cydoor services

Détruire les fichiers suivants s'ils existent:
b_197800.swf
cbanner2.dll
cydoor.exe
cydoor_uninstall.exe
gr02.dll
im64.dll
kernellos.dll
lsp.dll
netpal.dll
profilepath+\local settings\temp\cd_clint.dll
programfilesdir+\flashtalk\txt\mictest.rtf
programfilesdir+\flashtalk\txt\voicemessagesettings.rtf01dopewars_update.exe
programfilesdir+\grokster\cd_install.exe
programfilesdir+\imesh\client\cd_install_202.exe
sahagent.exe
sahdownloader.exe
systemroot+\system\cd_clint.dll
systemroot+\system\cd_gif.dll
systemroot+\system\cd_htm.dll
systemroot+\system\cd_html.dll
systemroot+\system\cd_load.exe
systemroot+\system\cd_swf.dll
systemroot+\system32\adcache\temp\cd_clint.dll
systemroot+\system32\cd_clint.dll
systemroot+\system32\cd_htm.dll
systemroot+\system32\cd_load.exe
systemroot+\system32\cd_swf.dll
systemroot+\system32\gdnp.dll
systemroot+\system32\msg{6ea0f469-dfd6-40fa-8ec0-29c8bf23cf76}0108.dll
systemroot+\temp\adware\cd_install_291.exe
systemroot+\temp\cd_clint.dll
systemroot+\temporary internet files\content.ie5\kgrv9a5f\cd_htm[1].dll
thumbs.db
v.dat
vg.dat
xmlparse.dll
xmltok.dll

Détruire tout les fichiers contenus dans le répertoire
systemroot+\system32\adcache ou dans le répertoire
systemroot+\system\adcache
qui contient des pages publicitaires pré-chargées : les fichiers ont une syntaxe de la forme:
systemroot+\system32\adcache\b_500600.htm

Détruire les répertoires suivants et tout ce qui pourrait subsister dedans:
systemroot+\system32\adcache
systemroot+\system\adcache
programfilesdir+\toolbar
programfilesdir+\eudora\qualcomm2\eudora\eudpriv\ads\adcache
programfilesdir+\eudora\qualcomm\eudora\eudpriv\ads\adcache
d:\windows\system32\adcache
systemroot+\system32\adcache\temp

Détruire la clé de registre:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce\cydoorupdate

Redémarrer aussitôt et s'assurer que tous les objets vus précédemment ne reviennent pas.

toujours exécuter l'intégralité de "La Manip" après cette désinfection.
  • Automatique avec son propre uninstal
    Non
    toujours exécuter l'intégralité de "La Manip" après cette désinfection.

  • Automatique avec un outil
    PestPatrol
    SpyBot Search and Destroy
    Ne pas utiliser Ad-aware
    toujours exécuter l'intégralité de "La Manip" après cette désinfection.

  • Conséquences de l'éradication
    Lorsque le composant Cydoor, cd_clint.dll, est éradiqué par un outil anti-spyware, le logiciel hôte ne fonctionne plus raison pour laquelle certains éradiqueurs intelligents le remplacent par un leurre inactivé développé par cexx.org. C'est ce qu'a également fait KaZaA Lite dans son hack de KaZaA.

    Ad-aware présente 2 défauts : il éradique complètement Cydoor, rendant l'hôte inutilisable et il se plante lamentablement en présence du leurre inactivé qu'il ne détecte pas comme tel et l'éradique aussi !

    SpyBot Search and Destroy est plus intelligent et remplace Cydoor (cd_clint.dll), lorsqu'il le trouve, par le leurre inactivé de cexx.org, permet ainsi à l'hôte de continuer à fonctionner et, bien entendu, ne se fait pas tromper par le leurre.


Suggestion de serveurs à ajouter à hosts
Hosts - Qu'est-ce que c'est?

On ne manquera pas de noter que le nombre de serveurs de Cydoor connus est très faible et que ceux-ci sont totalement insufisants pour servir des billions de pages de pubs par mois à travers toute la planète. Cydoor annonce sous-traiter une partie de cet hébergement chez ses peu glorieux confrères (en terme de politique de vie privée) Valueclick, Commission Junction, Adventures, Advertising.com, RealMedia, BeFree et d'autres ce qui accentue le problème de l'espionnage.

127.0.0.1 bns1.net
127.0.0.1 bns10.net
127.0.0.1 bns2.net
127.0.0.1 bns3.net
127.0.0.1 bns4.net
127.0.0.1 bns5.net
127.0.0.1 bns6.net
127.0.0.1 bns7.net
127.0.0.1 bns8.net
127.0.0.1 bns9.net
127.0.0.1 cms1.net
127.0.0.1 cms10.net
127.0.0.1 cms2.net
127.0.0.1 cms3.net
127.0.0.1 cms4.net
127.0.0.1 cms5.net
127.0.0.1 cms6.net
127.0.0.1 cms7.net
127.0.0.1 cms8.net
127.0.0.1 cms9.net
127.0.0.1 cydoor.com
127.0.0.1 jbns2.cydoor.com
127.0.0.1 jcms.cydoor.com
127.0.0.1 rg1.com
127.0.0.1 rg10.com
127.0.0.1 rg2.com
127.0.0.1 rg2nc3.rg2.com
127.0.0.1 rg3.com
127.0.0.1 rg4.com
127.0.0.1 rg5.com
127.0.0.1 rg6.com
127.0.0.1 rg7.com
127.0.0.1 rg8.com
127.0.0.1 rg9.com
127.0.0.1 www.bns1.net
127.0.0.1 www.bns10.net
127.0.0.1 www.bns2.net
127.0.0.1 www.bns3.net
127.0.0.1 www.bns4.net
127.0.0.1 www.bns5.net
127.0.0.1 www.bns6.net
127.0.0.1 www.bns7.net
127.0.0.1 www.bns8.net
127.0.0.1 www.bns9.net
127.0.0.1 www.cms1.net
127.0.0.1 www.cms10.net
127.0.0.1 www.cms2.net
127.0.0.1 www.cms3.net
127.0.0.1 www.cms4.net
127.0.0.1 www.cms5.net
127.0.0.1 www.cms6.net
127.0.0.1 www.cms7.net
127.0.0.1 www.cms8.net
127.0.0.1 www.cms9.net
127.0.0.1 www.cydoor.com
127.0.0.1 www.jbns2.cydoor.com
127.0.0.1 www.jcms.cydoor.com
127.0.0.1 www.rg1.com
127.0.0.1 www.rg10.com
127.0.0.1 www.rg2.com
127.0.0.1 www.rg2nc3.rg2.com
127.0.0.1 www.rg3.com
127.0.0.1 www.rg4.com
127.0.0.1 www.rg5.com
127.0.0.1 www.rg6.com
127.0.0.1 www.rg7.com
127.0.0.1 www.rg8.com
127.0.0.1 www.rg9.com

Suggestion d'IPs de serveurs à bloquer
Par exemple en utilisant PeerGuardian.
.

Cookies à éradiquer utilisés par ce parasite
cydoor.com

Liens, sources et ressources
Pour rédiger cette fiche, les sites suivants ont été consultés
PestPatrol
http://www.cydoor.com/

Porter plainte
Portez plainte iciO.C.L.C.T.I.C
MINISTERE DE L'INTERIEUR
Direction Centrale de la Police Judiciaire
Sous-Direction des Affaires Economiques et Financières
8, rue de Penthièvre
75008 PARIS
Tel : 01.49.27.49.27
Télécopie : 01.40.97.88.59
oclctic@interieur.gouv.fr


Retour d'information (FeedBack)
S'il y a la moindre chose nouvelle ou à ajouter ou à corriger sur cette page, merci d'utiliser le petit formulaire de feedback ci-dessous.


Rédigé en écoutant Ecoute




Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com