n-case
  • Résumé : n-case - programme espion de 180Solutions, n-case s'installe sournoisement et est très difficile à éradiquer
  
  • Mots-clés : n-case, ncase, n.case, n-CASE, N-Case, 180Solutions, 180Solutions inc., publicité intrusives, adwares, spywares, Guid, BHO

n-case
 





n-CASE
  • Il s'agit du programme n-CASE de 180Solutions, Inc. C'est un comparateur de prix que je classerais dans les outils de publicité intrusives, les adwares, les spywares, les Guid, les BHOs

  • Constitué, entre autres, d'un processus, msbb.exe, qui s'exécute en même temps que Windows. Voir à ce sujet Liste de démarrage et Anti-Liste de démarrage.

  • Il pourrait s'implanter également sous la forme d'un Bho dans Internet Explorer (je n'ai pas vérifié) car il pratique le "pousse toi de là que je m'y mette" en virant le Bho d'un concurrent, FlashTrack. Voir, à ce sujet, Bho et Anti-BHOs.

  • Depuis mars 2003, s'implante grâce à un contrôle ActiveX. Voir, à ce sujet, ActiveX et Anti-ActiveX.

  • Site normalement à http://www.180solutions.com/ mais pas joignable pour moi le jour de mon test (06 juin 2003) - on trouve des traces de ce site dans le cache de Google à la même date.


Pose des problèmes techniques

Pose des problèmes de protection de la vie privée

C'est un spyware qui trace complètement les internautes identifiés avec un GUID.



When n-CASE is actively running on your computer, the software generates logs of your surfing activity, including web pages you have visited and the order in which you visited these pages. These logs are then uploaded to 180Solutions' secure servers. We use these logs for market research purposes and to provide you with offers and content specifically targeted to your interests and habits. 180Solutions stores these logs on our servers, for our use. While complete URLs are collected by the software and uploaded to our servers, any personally identifiable information in those URLs is stripped away before storage in our database. We may aggregate information from these surfing logs and share the data with third parties. However, this aggregate data will never identify you individually. 180Solutions' n-CASE product also puts a "cookie" on your machine so that our technology can recognize you and display appropriate advertisements.




Les nouvelles versions cherchent également votre adresse e-mail, votre véritable identité et votre adresse postale pour l'associer à un Guid - il recherche dans, au moins


  • Outlook Express mail accounts
  • Outlook user info
  • AOL Instant Messenger accounts
  • Windows location
  • RealPlayer location
  • Windows Fax headers
  • eFax.com headers
  • Acrobat user info
  • Netscape user info
  • MS Comic Chat registration
  • GameSpy registration
  • NetFerret registration


Mode de distribution
  • Essentiellement en bundle avec les programmes de type P2P
  • Egalement par des contrôles ActiveX gérant les publicités chez certains hébergeurs gratuits
  • Egalement par des contrôles ActiveX gérants les download de certains programmes sur des sites de download
  • Egalement par le malveillant FavoriteMan, un downloader silencieux installé en cachette par plusieurs applications (P2P etc. ...) et prenant ensuite le relais pour, à son tour, downloader silencieusement de très nombreux autres implants malveillants (système pyramidale).
  • Le fichier msbb.exe de n-Case a été trouvé dans le répertoire d'instal de AudioTools de Rosoft, un adware.


Eradication :


Les anti-spywares habituels ne viennent à bout que de la partie adware/spyware du programme. Je subodore que SpyBot Search and Destroy fait bien le boulot. Passer un coup de JV16 après.



Procédure de désinstallation livrée avec n-CASE
  • C'est un véritable foutage de gueule !!! Une insulte à notre intelligence ! Il faut être connecté au Net, aller dans Ajout/Suppression de programmes, choisir 'Insterstitial ad delivery by n-Case', click sur Désinstaller, confirmer que l'on est bien connecté au Net, télécharger le programme de désinstallation (ceci ne fonctionnant que si Active Scripting est autorisé pleinement dans Internet Explorer - pas s'il est positionné sur "Désactivé" et pas, non plus, s'il est positionné sur "demander") . Vous pouvez enfin lancer la désinstallation (qui vous redemande une connexion Internet !!!)

  • Recommencez tout le truc une seconde fois pour désinstaller l'entrée 'PAD lookups by n-Case' trouvée également dans Ajout/Suppression de programmes.

  • Il y a des cas de figure où cela ne fonctionne pas pour des raisons indéterminées.

  • Et pour se foutre complètement de nous, cette méthode ne retire pas le contrôle ActiveX d'installation donc n'importe quelle page Web associée à n-CASE est capable de réinstaller tout le truc sans rien vous demander et sans même vous le signaler.

  • Il est donc plus facile et plus sûr de le retirer à la main.


Procédure de désinstallation manuelle
  • Ouvrir la base de registre (démarrer > exécuter > regedit)
  • Chercher la clé HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, Faire un click droit sur l'entrée "msbb" et click sur "supprimer". - Attention - ne pas supprimer toute la clé Run.
  • Redémarrer.
  • Effacer le répertoire 'nCase' qui se trouve dans le Program Files. Pour les anciennes versions de n-CASE, rechercher dans le répertoire System (un sous répertoire du répertoire Windows appelé 'System32' sous Windows NT, 2000 and XP, ou 'System' sous Windows 95, 98 et Me), et détruire msbb.exe.
  • Détruire enfin les clés de registre
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nCASE HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\msbb
    HKEY_CURRENT_USER\Software\180solutions
  • Pour détruire le contrôle ActiveX d'installation, si vous avez la nouvelle version nCase/Inst, ouvrez le répertoire "Downloaded Program Files", un sous-répertoire du répertoire Windows, faire un click droit sur 'nCaseInstaller Class' et choisir "supprimer".


Informations complémentaires
  • Il y a cet article dans KB de Microsoft : kbprb KB320162
    http://support.microsoft.com/?kbid=320162

  • Ce programme peut être identifié, dans ajout/suppression de programmes, sous le nom de
    • n-CASE
    • Pad Lookups by n-CASE
    • Interstitial Ad Delivery by n-CASE.
    En sus, vous pouvez être amené à rechercher le fichier exécutable Msbb.exe à travers tout votre système (cas des anciennes version de n-CASE - il n'est pas forcément présent dans les nouvelles versions - mais cherchez tout de même).

  • Pour des informations complémentaires sur l'éradication de n-CASE, vous pouvez visiter cette page sur le site de 180Solutions - attention : installez The Proxomitron ou SpyBlocker avec hosts actif avant d'y aller - ce site est hostile :
    Eradiquer n-CASE