NetWork Essentials
Pierre Pinard© (jj.mm.aaaa)
Généralités
- Nom
NetWork Essentials
- Autres noms
Hopper (c'est le nom interne du processus)
SmartPops (C'est le nom du BHO dans la variante NE)
MediaPops (C'est le nom du BHO dans la variante ME)
MediaLoads Enhanced (Nom du répertoire de la variante ME variant, faisant ainsi référence à un alias de DownloadWare).
- Description Résumée
Network Essentials est un BHO qui intercepte et gère les URLs vues dans votre navigateur ainsi qu'un processus qui met à jour la liste de sites cibles. Il télécharge et affiche des publicités, sous forme de pop-ups. Comme tous les outils de publicité de cette nature il est constitué de 2 parties, l'une côté client (votre navigateur Internet Explorer) et l'autre côté serveur, sur ses Adservers.
- Variantes
NetworkEssentials/NE est la première variante, stockant ses fichiers dans 'Program Files\Network Essentials\vN', où N est un nombre (8 et 11 ont été vus). Le processus de pop-ups est una tâche séparée qui peut être tuée depuis le gestionnaire de tâches (Alt/Ctrl/Del) mais qui est rappelée par le BHO régulièrement.
NetworkEssentials/ME est une nouvelle variante utilisant 'Program Files\MediaLoads Enhanced' pour stocker son unique DLL (les fonctions précédemment accomplies par le processus séparé sont maintenant incorporées au BHO).
Ce qu'il fait
| Publicité |
Violation de la vie privée |
Introduit une faille de sécurité |
Introduit une instabilité du système |
Oui
|
Oui
|
Oui
|
Oui
|
- Publicité :
Oui. C'est sa finalité. Sous forme de pop-ups (immenses) lorsqu'il en reçoit l'ordre à partir des Adservers qui le dirige.
- Violation de la vie privée :
Oui. Lire Termes et Conditions ainsi que Vie privée sur le site de l'auteur de Network Essentials, SmartPops. Pour les non anglophones, ils déterminent vos centre d'intérêts à partir de la nature des pages que vous visitez et, pour cela, ils collectent en permanence la liste des URLs visitées ainsi que le temps passé, la manière d'y entrer et d'en sortir ainsi que les termes de recherche utilisés dans les moteurs de recherche et sur les annuaires et portails.
Ils collectent également les informations sur votre connexion et votre ordinateur, votre adresse IP, votre navigateur - type et version, votre résolution d'écran, votre fuseau horraire, les logiciels installés sur votre ordinateur avec leurs numéros de version.
Il collectent également votre activité par l'usage de Web Bugs (Web beacons - single-pixel .gif).
Ils déterminent ainsi votre profil qui est affiné avec le temps et est stocké sur leurs Adservers. Ces profils contiennent au moins, selon leurs propres déclarations :
- Un GUID vous identifiant de manière certaine et que l'on retrouve dans un cookie sur votre ordinateur.
- L'historique de ce que les adservers vous ont délivré en terme de contenu et de publicité.
Bien entendu il y a votre profil calculé ainsi que l'historique de vos déplacements sur le Net qui a servi à calculer ce profil. Il y a aussi des informations économiques pour SmartPops qui ne fait pas tout ça bénévolement et se fait payer par les annonceurs.
Ce genre de sociétés naissant et mourrant très vite, les fichiers sont transmis à des repreneurs, sont emportés par des employés licenciés etc. ...
- Introduit une faille de sécurité :
Oui car dispose de capacités d'auto-mises à jour (auto-update) donc de download et installation de code invérifié et invérifiable. D'autre part, leurs Termes et Conditions déclarent que le produit peut entrer en conflit avec d'autres produits installés sur votre ordinateur et qu'à ce sujet ils envoient un rapport d'erreur avec tout les risques que l'on connait sur les rapports d'erreurs !
- Introduit une instabilité du système :
Ils déclarent pouvoir entrer en conflit avec d'autres logiciels installés. Il m'est signalé des fermetures intempestives de toutes les fenêtres du navigateur.
Editeur
SmartPops
Autres produits du même éditeur
.
Méthode de distribution
Téléchargé et installé volontairement depuis le site SmartPops mais, plus généralement, conduit sur votre ordinateur par un downloader du nom de DownloadWare qui lui est conduit sur plusieurs dizaines de millions de machines par le Trojan KaZaA.
Détection
.
Informations techniques
.
Eradication
- Manuelle
Vous devez connaître et maîtriser les actions manuelles suivantes
Avant toute chose, éradiquer le downloader DownloadWare sinon, toute éradication de NetWork Essentials risque de se solder par une réinstallation de celui-ci (et par celle de bien d'autres malveillances).
La malveillance s'installe dans le répertoire "Program Files". Avant de pouvoir la supprimer il faut s'assurer que les objets qui y font référence ne sont plus actifs. Le répertoire "Program Files" peut porter un autre nom, par exemple dans les implémentations de Windows non anglaises.
Pour inhiber le BHO, ouvrir une fenêtre DOS (Démarrer > Tous les programmes > Accessoires > Invite de commande) et saisir les commandes suivantes en respectant strictement les espaces etc. ...
Pour la variante NE (en changeant le 8 si c'est autre chose que vous avez)
cd "%WinDir%\System"
regsvr32 /u "\Program Files\Network Essentials\v8\ne.dll"
Pour la variante ME
cd "%WinDir%\System"
regsvr32 /u "\Program Files\MediaLoads Enhanced\ME1.DLL"
(ou ME2.DLL)
Redémarrer l'ordinateur. Vous pouvez maintenant détruire le répertoire "Network Essentials" or "MediaLoads Enhanced" et tout ce qu'il contient.
toujours exécuter l'intégralité de "La Manip" après cette désinfection.
- Automatique avec son propre uninstal
Avant toute chose, éradiquer le downloader DownloadWare.
Normalement, vous devriez trouver 'NetworkEssentials' ou 'MediaLoads Enhanced' dans Ajout/Suppression de programmes.
Sous Win XP:
Démarrer > Panneau de configuration > Ajouter ou supprimer des programmes
Choisir "Network Essentials" ou "MediaLoads Enhanced" et clic sur le bouton "Modifier/Supprimer" et valider la suppression.
Relancer votre ordinateur.
Le nettoyage est assez bien fait. Vous pouvez le parfaire en allant dans la base de registre : localiser la clé HKEY_CURRENT_USER\Software et détruire les entrées 'Updater', 'Hopper' et 'MediaLoads Enhanced' si elles existent.
Finalement, il y a un fichier de type .html, nommé 'Digital Signature' que Network Essentials met dans votre répertoire Windows. Ce document clame que vous avez accepté certains termes et conditions que vous n'avez jamais vus ! Vous pouvez détruire ce non-sens.
toujours exécuter l'intégralité de "La Manip" après cette désinfection.
- Automatique avec un outil
Tous les bons outils anti-spywares éradiquent cette malveillance à commencer par PestPatrol, SpyBot S&D, Ad-aware etc. ...
toujours exécuter l'intégralité de "La Manip" après cette désinfection.
- Conséquences de l'éradication
Aucune.
Suggestion de serveurs à ajouter à hosts
Hosts - Qu'est-ce que c'est?
127.0.0.1 www.smartpops.com
127.0.0.1 smartpops.com
Suggestion d'IPs de serveurs à bloquer
Par exemple en utilisant PeerGuardian.
.
Cookies à éradiquer utilisés par ce parasite
.
Liens, sources et ressources
Pour rédiger cette fiche, les sites suivants ont été consultés
SmartPops
and@doxdesk
PestPatrol SmartPops
PestPatrol NetWorkEssentials
PestPatrol DownloadWare
Assiste.com KaZaA
Porter plainte
Portez plainte iciO.C.L.C.T.I.C
MINISTERE DE L'INTERIEUR
Direction Centrale de la Police Judiciaire
Sous-Direction des Affaires Economiques et Financières
8, rue de Penthièvre
75008 PARIS
Tel : 01.49.27.49.27
Télécopie : 01.40.97.88.59
oclctic@interieur.gouv.fr
Retour d'information (FeedBack)
S'il y a la moindre chose nouvelle ou à ajouter ou à corriger sur cette page, merci d'utiliser le petit formulaire de feedback ci-dessous.
Rédigé en écoutant Ecoute
|
