TinyBar
Pierre Pinard^© (jj.mm.aaaa)


Généralités

• Nom
  TinyBar
  Une malveillance généraliste permettant de créer des hijack, des Adwares de type intrusifs avec boutons et des barres d'outils dans Internet Explorer et qui est commercialisée sur un site sans scrupule auprès de Webmasters tout autant sans scrupule.
  
  
  
• Autres noms
  TinyBar est plutôt connu sous les noms des malveillances qu'elle sert à fabriquer comme ISTbar. Sa signature est détectée par certains antivirus sous les noms de : js_traffichbar.a [Trend Micro], Trojan.WinREG.STW [Kaspersky]. Plusieurs antivirus reconnaissent également la faille de sécurité Java/ActiveX exploitée pour charger TinyBar sous le nom de JS.Exception ou HTML.VmExploit ou Exploit.Applet.ActiveXComponent ou Trojan.AppActXComp
  
  Voir également ISTbar et toutes ses variantes.
  
  
• Description Résumée
  TinyBar ne s'installe pas en tant que malveillance mais en tant qu'outil permettant de créer une barre d'outils malveillante entourée d'autres malveillances satellites (BHO, Downloader, Adware, Cookies, Spyware, Contrôle ActiveX, Hijack...). TinyBar installe un ensemble de clés de registre qui vont permettre à Windows shdocvw.dll de transformer à la volée de simples paramètres passés dans une page Web en une barre d'outils. Cette page Web peut être stockée localement ou être recherchée automatiquement sur le Net chaque fois qu'une fenêtre Internet Explorer est ouverte. Cette barre hijack la page de démarrage d'IE ainsi que ses outils de recherche qui sont dirrigés vers des sites "portails génériques" (liste plus bas des sites identifiés). Ces "portails", totalement "orientés", sont développés par des Webmasters indélicats (de véritables sociétés commerciales) ayant contractés des milliers d'accords commerciaux (ils touchent une commission sur les ventes réalisées auprès des internautes qu'ils ont dirigés vers ces sites) et accords publicitaires avec tous les sites présentés. Bien entendu tout ceci induit toute la panoplie de l'espionnage nécessaire au profiling et au spam.
  
  
• Variantes
  Les variantes suivantes sont discriminées par and.doxdesk.com
  
  TinyBar/A - variante d'origine - hijack IE vers le site tinybar.com.
  
  TinyBar/B - variante la plus répandue utilisée par la plupart des domaines cités ci-dessous.
  
  TinyBar/C - variante plus récente - hijack IE vers le site tinybar.com.
  
  TinyBar/D - autre variante plus récente - hijack IE vers le site tinybar.com. Comporte un script de gestion de boîte flottante (layer) assurant la permanence d'une publicité dans un coin de l'écran y compris lors d'un scrolling vertical et/ou horizontal ainsi que la rotation de la publicité affichée dans cette boîte flottante.
  
  TinyBar/sp - simple hijacker de la page de démarrage et de la page de recherches piloté par l'un des site ci-dessous. N'embarque pas la technologie de la barre d'outils.
  
  TinyBar/atk - VBScript (Script écrit en Visual Basic) installé sur nos ordinateurs par la variante TinyBar/B afin de déclancher une attaque de type DOS (déni de service) contre le site and.doxdesk.com (auteur de la plupart des informations de cette page et d'un outil de détection et éradication de la TinyBar). L'attaque a été conduite autour du 6 novembre 2002. Pour éradiquer les outils de cette attaque, ouvrir votre explorateur de Windows et chercher dans :
  
  - le répertoire 'System' (Windows 95/98/Me) ou
  - le répertoire 'System32' (Windows NT/2K/XP)
  
  un fichier nommé 'atk.vbs'. Si vous êtes infesté, ouvrir la base de registre (Démarrer > Exécuter > Regedit) et localiser la clé HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. Là, vous devriez trouver une valeur, probablement appelée 'Messanger', pointant vers le fichier atk.vbs. Détruire cette valeur (cette valeur seulement, pas la clé elle-même) et redémarre votre machine. Vous devriez être alors en mesure de détruire le fichier atk.vbs.
  
  

Ce qu'il fait

Publicité	Violation de la vie privée	Introduit une faille de sécurité	Introduit une instabilité du système
Oui	Non	Non	.

• Publicité :
  Oui, dépendant du contenu du fichier HTML utilisé en interface de la toolbar. TinyBar/C et plusieurs variantes B comportent un script de gestion de pop-ups actif chaque fois que la toolbar est visible.
  
  
• Violation de la vie privée :
  Non
  
  
• Introduit une faille de sécurité :
  Non. Son utilisation d'une faille de sécurité pour s'installer aurrait pu être bloquée par la simple application des patchs de sécurité fournis par Microsoft. Voir Microsoft MBSA, Microsoft HotFix et Microsoft Service Packs. Appliquer ces patchs pour que cela ne se reproduise pas.
  
  
• Introduit une instabilité du système :
  Les variantes qui vont chercher la page de paramètres de la toolbar sur le Net ralentissent le démarrage d'IE. L'utilisation de la faille de sécurité pour s'installer peut causer le crash de certaines versions d'IE.
  
  TinyBar/atk consomme une très grande part de la bande passante, allant jusqu'à faire s'écrouler complètement une connexion.
  
  

Editeur
Asher Nahmias

Autres produits du même éditeur
.

Méthode de distribution
L'installation se fait par l'exploitation d'une faille de sécurité dans la Machine Virtuelle Java de Microsoft lors de l'utilisation d'Internet Explorer pour visiter l'un des sites piégés et, probablement, à travers des publicités en pop-ups piégées. Il est préférable d'utiliser la JVM de Sun qui est plus fiable que celle de Microsoft.

PestPatrol note qu'elle peut aussi être incluse dans certaines versions de l'utilitaire Zero Popup de zeropopup.com (ne pas confondre avec un autre utilitaire du même nom, Zero-Popup de 'Tooto technologies' qui lui est non seulement propre mais est un excellent anti-pop-up) et dans Internet Eraser (internet-eraser.com), les deux produits étant vendus par le même auteur.

Détection
.

Informations techniques
.

Eradication

• Manuelle
  Vous devez connaître et maîtriser les actions manuelles suivantes
  • Tuer un processus actif
    
  • Retirer une entrée de la liste de démarrage
    
  • Détruire des fichiers
    
  • Détruire des répertoires
    
  • Détruire des clés de registre
    
  • Détruire une entrée dans une clé de registre
    
  • Désenregistrer des DLLs
    
    

Détruire les clés de registre suivantes (de and.doxdesk.com):

TinyBar/A:

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Explorer Bars\{69555BE2-9A78-11D2-BA91-00600827878D}
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{69555BE2-9A78-11D2-BA91-00600827878D}
HKEY_CLASSES_ROOT\CLSID\{69555BE2-9A78-11D2-BA91-00600827878D}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\>>> Search The Web <<<

TinyBar/B:

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Explorer Bars\{69550BE2-9A78-11D2-BA91-00600827878D}
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{69550BE2-9A78-11D2-BA91-00600827878D}
HKEY_CLASSES_ROOT\CLSID\{69550BE2-9A78-11D2-BA91-00600827878D}

TinyBar/C:

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Explorer Bars\{8FB0F3E2-5193-11D7-9F88-0050FC5441CB}
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{8FB0F3E2-5193-11D7-9F88-0050FC5441CB}
HKEY_CLASSES_ROOT\CLSID\{8FB0F3E2-5193-11D7-9F88-0050FC5441CB}

TinyBar/D:

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Explorer Bars\{82599E0A-8C81-11D7-9F97-0050FC5441CB}
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{82599E0A-8C81-11D7-9F97-0050FC5441CB}
HKEY_CLASSES_ROOT\CLSID\{82599E0A-8C81-11D7-9F97-0050FC5441CB}

Puis rechercher la clé HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run et détruire les entrées (pas la clé) pointant vers des fichiers .hta. Vous pouvez trouver une entrée 'system' pointant vers systemsearch.hta et/ou un nom d'entrée fait de caractères aléatoires pointant vers un fichier '.hta' dans le répertoire système au nom également fait de caractères aléatoires.

Redémarrer IE. La barre d'outils à disparu. Pour les variantes stockant leur page de paramètres localement (sur votre ordinateur), vous pouvez trouver cell-ci sous des noms comme 'tinybar.html' ou 'hb.html' dans le répertoire système ('System32' pour Windows NT, 2000 et XP ou juste 'System' pour Windows 95, 98 et Me). Ce fichier peut être détruit ainsi que 'hb.reg', 'br.reg' ou 'br.dll'.

Eradiquer le hijacker qui est lancé à chaque démarrage de l'ordinateur en allant dans la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run et détruire toutes les entrées (pas la clé elle-même) de la forme 'regedit /s C:\Windows\System\sp.dll'. Détruire alors sp.dll (ou sp.reg) dans le répertoire système.

Finalement, rétablissez vos paramètres d'IE (page de démarrage, page de recherches).

toujours exécuter l'intégralité de "La Manip" après cette désinfection.

• Automatique avec son propre uninstal
  .
  toujours exécuter l'intégralité de "La Manip" après cette désinfection.
  
  
• Automatique avec un outil
  PestPatrol
  SpyBot Search and Destroy pour les variantes A et B
  toujours exécuter l'intégralité de "La Manip" après cette désinfection.
  
  
• Conséquences de l'éradication
  .
  
  

Suggestion de serveurs à ajouter à hosts
Hosts - Qu'est-ce que c'est?
allcybersearch.com
clickyestoenter.net
errorpage404.com
gocybersearch.com
iseekresults.com
jethomepage.com
jetseeker.com
ourlinklist.com
searchaccurate.com
tinybar.com
topclicks.net
topsearcher.com
traffic4sure.com
wowsearch.org
www.allcybersearch.com
www.clickyestoenter.net
www.errorpage404.com
www.gocybersearch.com
www.iseekresults.com
www.jethomepage.com
www.jetseeker.com
www.ourlinklist.com
www.searchaccurate.com
www.tinybar.com
www.topclicks.net
www.topsearcher.com
www.traffic4sure.com
www.wowsearch.org
www.ysearchus.com
www.znext.com
ysearchus.com
znext.com
trixscripts.com
www.trixscripts.com
my-internet.info
www.my-internet.info
blazefind.com
www.blazefind.com
ns1.my-internet.info
www.ns1.my-internet.info
public.my-internet.info
www.public.my-internet.info
searchbarcash.com
www.searchbarcash.com
public.searchbarcash.com
www.public.searchbarcash.com
www2.skoobidoo.com
www.www2.skoobidoo.com
skoobidoo.com
www.skoobidoo.com
xxxtoolbar.com
www.xxxtoolbar.com
slotch.com
www.slotch.com
toolbarcash.com
www.toolbarcash.com

Suggestion d'IPs de serveurs à bloquer
Par exemple en utilisant PeerGuardian.
.

Cookies à éradiquer utilisés par ce parasite
.

Liens, sources et ressources
Pour rédiger cette fiche, les sites suivants ont été consultés
and.doxdesk.com
PestPatrol
Asher Nahmias (www.trixscripts.com) vend la TinyBar et d'autres scripts délibérément malicieux à des webmasters sans scrupule.

La faille de sécurité utilisée est corrigée depuis longtemps (bulletin de sécurité de Microsoft 075 publié en l'an 2000 !). Voir Microsoft MBSA, Microsoft HotFix et Microsoft Service Packs. Appliquer ces patchs pour que cela ne se reproduise pas ou remplacer la JVM de Microsoft par celle de Sun.

Un autre faille de sécurité est utilisée pour installer la version TinyBar/sp. Décrite dans le bulletin de sécurité de Microsoft 066 de 2002. Mêmes solutions que ci-dessus.


Porter plainte
Portez plainte iciO.C.L.C.T.I.C
MINISTERE DE L'INTERIEUR
Direction Centrale de la Police Judiciaire
Sous-Direction des Affaires Economiques et Financières
8, rue de Penthièvre
75008 PARIS
Tel : 01.49.27.49.27
Télécopie : 01.40.97.88.59
oclctic@interieur.gouv.fr

Retour d'information (FeedBack)
S'il y a la moindre chose nouvelle ou à ajouter ou à corriger sur cette page, merci d'utiliser le petit formulaire de feedback ci-dessous.

Rédigé en écoutant Ecoute