|
||||||||||||
![]() |
![]() |
ISTBarBarre d'outils ISTBar
ISTbar est une barre d'outils pour Internet Explorer, qui s'implante à l'insu des utilisateurs (hijack par "drive by download"), connait de nombreuses variantes, installe à son tour d'autres parasites, bombarde l'utilisateur de fenêtres publicitaires en pop-ups et dirige l'internaute vers des sites pornographiques.
Nom ISTBar ISTBar vient de IST (ISearchTech - Integrated Search Technology), la société qui a développé ce parasite. Autres noms 1stbat - ISTBar est quelquefois orthographié 1stbar (pour First bar, probablement une erreur de lecture du I (i majuscule) pris pour le chiffre 1 suivi de st pour "first"). xxxtoolbar, istsvc.exe, Adware.Istbar, AUpdate, DownloadPlus, TrojanDownloader.Win32.Toolbar.b [Kaspersky]. La variante ISTbar/AUpdate est aussi connue sous le nom de SearchBarCash-Hijacker. La variante ISTbar/MSCache est aussi connue sous le nom de MSUpdates\MSCache ISTbar est appelé Xrenoder par PestPatrol car c'est le nom de l'un des sites "bénéficiant" de ce hijack depuis avril 2003 avec une implantation très agressive. Description Sous prétexte d'être une barre d'outils pour Internet Explorer, la barre d'outils ISTBar est un gestionnaire de publicités (Adware) et un téléchargeur (downloader) pyramidal s'installant sous la forme d'un BHO, sous la conduite (drive by download) d'un contrôle ActiveX. Ce parasite :
La variante AUpdate, en tant que téléchargeur (downloader) télécharge et installe, à son tour, un autre téléchargeur (downloader), "DownloadPlus". PestPatrol voit également ISTBar télécharger et installer le logiciel publicitaire (adware) Bargain Buddy. La variante MSCache installe, en cascade, le parasite nCase. ISTbar utilise, pour s'implanter, un contrôle ActiveX très agressif, depuis des sites affiliés. ISTBar exploite, pour s'installer, une faille de sécurité ancienne et poursuit son installation même si vous la refusez (lorsque vos réglages d'Internet Explorer oblige ce dernier à vous consulter mais cette "interruption" est souvent supprimée par les utilisateurs qui préfèrent ne rien contrôler du tout ! Voir Anti-ActiveX). Variantes La variante d'ISTbar appelée AUpdate s'appuie sur une version personnalisée de TinyBar (une malveillance généraliste permettant de créer des hijack, des Adwares de type intrusifs avec boutons et des barres d'outils dans Internet Explorer et qui est commercialisée sur un site sans scrupule auprès de Webmasters tout autant sans scrupule) pour s'implémenter en tant que barre d'outils (toolbar). Ce hijacker est alors pris en charge par les sites my-internet.info et blazefind.com. Sa distribution est pilotée depuis searchbarcash.com. Les mises à jour sont téléchargées par un process nommé AUpdate (à tuer par alt-ctrl-suppr). Cette variante est aussi connue sous le nom de SearchBarCash-Hijacker. La variante d'ISTbar appelée MSCache s'appuie également sur une version personnalisée de TinyBar pour s'implémenter en tant que barre d'outils (toolbar). Les mises à jour sont téléchargées par un BHO (Browser Helper Object) appelé mscache.dll. Les serveurs sont skoobidoo.com et www2.skoobidoo.com La variante d'ISTbar appelée XXXToolbar s'appuie sur une version personnalisée de Pugi-Toolbar. Tout son univers (liens, publicités, Mots-clés etc. ...) est orienté pornographie. Cette malveillance est pilotée par les serveurs xxxtoolbar.com et slotch.com. Sa distribution est pilotée depuis toolbarcash.com. Ce que fait ce parasite :
Integrated Search Technologies (IST) - une société du groupe Gammacash. PestPatrol indique que XRenoder serait développé par le tristement célèbre Brilliant Digital ce qui me paraît être une erreur d'attribution de paternité. Le site de l'outil (qui s'appelle xxxtoolbar) est à http://www.xxxtoolbar.com/ (attention c'est du X) et il existe un script d'affiliation pour webmasters (les webmasters piègent leurs sites grâce à un piège fourni par IST et perçoivent des royalties pour chaque internaute contaminé grâce à leurs sites piégés). Le générateur de plusieurs variantes de cette malveillance est TinyBar dont l'auteur est Asher Nahmias. Autres produits du même éditeur http://www.toolbarcash.com ISTBar/mscache ISTBar/AUpdate Méthode de distribution Diverses méthodes dont depuis des sites affiliés à l'éditeur de la malveillance et qui touchent une rémunération pour chaque installation. XXXtoolbar est essentiellement installée depuis des sites pornographiques. L'installation sur votre ordinateur est assurée par un contrôle ActiveX présent sur ces sites et à cause du laxisme de vos réglages ActiveX dans Internet Explorer. Voir Anti ActiveX pour y rémédier. Que se passe t'il ? Vous visitez une page piégée d'un site. Cette page comporte un ordre d'affichage d'une autre page dans un iFrame caché (dont les dimensions sont de 0 pixel sur 0 pixel). Voici, par exemple, une ligne commandant cet "affichage" :
Vous ne voyez donc rien mais dans cette page cachée se trouve l'ordre d'installation de la xxxtoolbar. Si vos réglages d'Internet Explorer contrôlent les installations, un avertissement vous permet de le refuser : ![]() Si vos réglages sont laxistes (ou si vous acceptez), voici, le code exécuté : c'est un script en javascript, tel qu'il apparaît dans une page piégée - on peut y voir l'identification (code "id") du site qui sera rémunéré pour sa contribution au déploiement de la malveillance. Ce script lance l'installation du contrôle ActiveX
h__p://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab Ce contrôle ActiveX a un CLSID de 386A771C-E96A-421f-8BA7-32F1B706892F Le fichier d'installation pour Netscape/Mozilla est istinstall_netscape.exe (au 22.09.04) h__p://www.slotch.com/ist/softwares/installers/istinstall_netscape.exe Le script d'installation tel qu'on le trouve à la page http://install.xxxtoolbar.com/ist/scripts/prompt.php
ISTbar/MSCache a été largement diffusé auprès de victimes cliquant vers le jeu en ligne 'OutWar'. Egalement "disponible" en téléchargement (download) direct depuis le site de l'éditeur Egalement contenu dans de nombreux programmes qui en assurent le déploiement et l'installation (agissent en Chevaux de Troie). Détection Présence du fichier C:\Program Files\ISTsvc\ISTsvc.exe Détection sous le nom de Adware.ISTSvc par Norton Antivirus Ralentissement de votre navigation. Informations techniques Crée le répertoire C:\Program Files\ISTsvc Ajoute "IST Service" = "C:\Program Files\ISTsvc\ISTsvc.exe" à la clé de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run afin d'assurer son lancement automatique au démarrage de Windows Crée la clé de registre HKEY_LOCAL_MACHINE\Software\ISTsvc Installe une barre d'outil dans Internet Explorer Hijack (modification intempestive à l'insu de l'utilisateur) la page de démarrage d'Internet Explorer Hijack (modification intempestive à l'insu de l'utilisateur) la page de recherche d'Internet Explorer Agit en adware affichant des pop-ups pornographiques Agit en téléchargeur (downloader) pour des applications de tierces parties, permettant ainsi l'installation de spywares, d'autres adwares et toutes autres formes de malveillances. Eradication Toujours exécuter l'intégralité de "La Manip" après cette désinfection.
Généralement, le programme hôte, s'il y en a un, ne fonctionnera plus. D'autre part, il est probable que des produits compagnons et des produits de tierces parties vous infestent simultanément. Recherchez les malveillances suivantes: - RapidBlaster - DownloadPlus - nCase - Wink/EasyDates Suggestion de serveurs a ajouter à hosts pour les bloquer Hosts - Qu'est-ce que c'est? 127.0.0.1 cj.xrenoder.com 127.0.0.1 cons.xrenoder.com 127.0.0.1 search.xrenoder.com Suggestion d'IPs de serveurs à bloquer Par exemple en utilisant PeerGuardian. 193.125.201.45 193.125.201.50 Cookies à éradiquer utilisés par ce parasite my-internet.info blazefind.com searchbarcash.com www2.skoobidoo.com xxxtoolbar.com slotch.com toolbarcash.com Liens, sources et ressources Pour rédiger cette fiche, les sites suivants ont été consultés Norton / Symantec Simply the best PestPatrol and.doxdesk.com Porter plainte Portez plainte ici O.C.L.C.T.I.C MINISTERE DE L'INTERIEUR Direction Centrale de la Police Judiciaire Sous-Direction des Affaires Economiques et Financières 8, rue de Penthièvre 75008 PARIS Tel : 01.49.27.49.27 Télécopie : 01.40.97.88.59 oclctic@interieur.gouv.fr Retour d'information (FeedBack) S'il y a la moindre chose nouvelle ou a ajouter ou a corriger sur cette page, merci d'utiliser le petit formulaire de feedback (bouton ci-dessous). |
![]() |
|
||||||||
|
||||||||||||
|
||||||||||||
Rédigé en écoutant :
Music |
||||||||||||