Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Coolwebsearch

Dernière mise à jour
07.10.2013 - 00h00 - Paris - (Assiste - Pierre Pinard) - Up V5

CoolWebSearch - Le hijacker furieux

Assiste.com : CoolWebSearch - Le hijacker furieux

CoolWebSearch - Le hijacker furieuxCoolWebSearch - Le hijacker furieuxCoolWebSearch - Le hijacker furieux







Alias :   CoolWebSearch
Ces alias sont ceux donnés par divers antivirus
  • Win32.Startpage.C
  • Trojan.Win32.StartPage.d
  • Trojan:Win32/StartPage.C
  • Troj/StartPageD
  • W32/Linkadd.A (Norman)
  • JS.CSSPopup.B
  • JScript/IEstart.Trojan
  • Win32/IEstart.Trojan
  • SPYW_COOLWEB.A
  • Exploit-ByteVerify
  • Java/Shinwow.F.Blackbox.Trojan
  • JS.Exception.Exploit
  • Trojan.Bootconf
  • Trojan.Qhosts.A
  • Trojan.Qhosts.B
  • JAVA_BYTEVER.A
  • JS_FORTNIGHT.B
  • JAVA_JJBLACK.C
  • Trojan.ByteVerify
De très nombreuses variantes sont identifiées
  • CWS.Aboutblank
  • CWS.AddClass
  • CWS.Aff.IEDLL (mutant CWS.Aff.iedll.2)
  • CWS.Aff.MadFinder
  • CWS.Aff.Tooncomics (mutant CWS.Aff.Tooncomics.2)
  • CWS.Aff.WinShow (mutants CWS.Aff.Winshow.2; CWS.Aff.Winshow.3; CWS.Aff.Winshow.4; CWS.Aff.Winshow.5; CWS.Aff.Winshow.6)
  • CWS.AlFaSearch (mutants CWS.AlFaSearch.2; CWS.AlFaSearch.3)
  • CWS.Bootconf
  • CWS.Control (mutants CWS.Control.2; CWS.Control.3)
  • CWS.Ctfmon32
  • CWS.DataNotary
  • CWS.DnsRelay (mutants CWS.DnsRelay.2; CWS.DnsRelay.3; CWS.DnsRelay.4)
  • CWS.DReplace (mutant CWS.DReplace .2)
  • CWS.Gonnasearch
  • CWS.GoogleMS (mutants CWS.GoogleMS.2; CWS.GoogleMS.3; CWS.GoogleMS.4)
  • CWS.IEFeats
  • CWS.LoadBAT
  • CWS.Msconfd (mutants CWS.Msconfd.2; CWS.Msconfd.3)
  • CWS.Msconfig
  • CWS.MSInfo
  • CWS.MSOffice (mutants CWS.MSOffice.2; CWS.MSOffice.3)
  • CWS.Msspi
  • CWS.MUpdate
  • CWS.OEMSysPNP (mutants CWS.Oemsyspnp.2; CWS.Oemsyspnp.3)
  • CWS.Olehelp
  • CWS.OSLogo
  • CWS.QTTasks
  • CWS.Realyellowpage
  • CWS.Searchx
  • CWS.Smartfinder
  • CWS.SmartSearch (mutants CWS.SmartSearch.2; CWS.SmartSearch.3; CWS.SmartSearch.4)
  • CWS.Sounddrv
  • CWS.Svchost32
  • CWS.Svcinit (mutants CWS.Svcinit.2; CWS.Svcinit.3; CWS.Svcinit.4)
  • CWS.Systeminit
  • CWS.TapiCFG (mutant CWS.TapiCFG.2)
  • CWS.TheRealSearch (mutant CWS.Therealsearch.2)
  • CWS.Vrape
  • CWS.Winproc32
  • CWS.Winres
  • CWS.Xmlmimefilter
  • CWS.XPlugin
  • CWS.Xxxvideo
  • CWS.yexe (mutant CWS.yexe.2)
Variantes trouvées sur des sites d'affiliés
  • CWS.Aff.iedll (mutant CWS.Aff.iedll.2)
  • CWS.Aff.Winshow (mutants CWS.Aff.Winshow.2; CWS.Aff.Winshow.3; CWS.Aff.Winshow.4; CWS.Aff.Winshow.5; CWS.Aff.Winshow.6)
  • CWS.Aff.Madfinder
  • CWS.Aff.Tooncomics (mutant CWS.Aff.Tooncomics.2)
Classes :   Adware, Spyware, Hijacker, Bho
Risque : Risque mesuré à 5/10
Ces hijackers sont horripilants et constituent, dans certaines variantes, un cauchemar à éradiquer. Nous sommes, en sus, menacé par les autres parasites conduits par CoolWebSearch (exploitant des failles de sécurité), en cascade, dans des pratiques de type Drive-by Download. Une explosion de sites piégés, développés par les cybercriminels derrière CoolwebSearch, a envahi le Net (cybersquatting - spamdexing) et déploie ce hijacker. Nous ne sommes pas à l'abri d'autres cybercriminalités qui seraient déployées sur ces mêmes sites piégés ou sur les domaines vers lesquels nous sommes redirigés sans notre consentement). Certains hijackers de la famille CoolWebSearch constituent de véritables cauchemars à éradiquer. Certaines techniques d'installations et de camouflage sont complètement novatrices et n'ont jamais été vues ailleurs.
Editeur :   Un gang maffieux, Coolwebsearch.com, agissant dans l'e-commerce et la pornographie.
Découverte : La première variante fut identifiée le 27 mai 2003 (CWS.Datanotary)
Installation : CoolWebSearch est un nom générique donné à tout un éventail de hijackers. Bien que le code soit très différent d'une variante à l'autre, ils ont tous la caractéristique commune de rediriger les internautes vers le site Coolwebsearch.com ou vers des milliers de sites qui lui sont affiliés.

Son installation exploite 2 failles de sécurité de la machine virtuelle Java de Microsoft (failles dont les correctifs ont été publiés de longue date (en 2000 et 2003), mais que les utilisateurs, laxistes, n'appliquent pas !) :

  • La vulnérabilité ByteCodeVerifier dont le patch est pourtant disponible. Lire "ByteVerify exploit in the MS Java VM" dans le MS-security bulletin 03-011. Lire également Java.Shinwow.

    Vulnérabilité ByteCodeVerifier

    This is a growing family of trojans that exploits the ByteCodeVerifier vulnerability in the Microsoft Virtual Machine to execute unauthorized code on an affected machine.

    The variants of this trojan that we have seen in the wild have been functionally diverse; the common factor amongst them has been the use of the ByteVerify exploit to achieve their goals. Some variants may do little more than change the user's default Internet Explorer home page and/or search page via modifications to the registry.


  • La vulnérabilité JS.Exception.Exploit (cas de la variante "Search-meta", par exemple) dont le patch est pourtant disponible depuis l'an 2000 avec le MS security bulletin 00-075.
D'une manière générale, une bonne idée est de toujours maintenir votre système à jour avec la Procédure périodique d'entretien d'un ordinateur sous Windows.

CoolWebSearch change la page de démarrage d'Internet Explorer ainsi que la page de recherches, la barre de recherches, etc. ... Si les patchs avaient été appliqués ou si la machine virtuelle Java de Microsoft avait été remplacée par celle, plus fiable, de Sun, le créateur de Java, l'infestation n'aurait pas eu lieu.

Les nouvelles variantes sortent à un rythme soutenu (1 par semaine !) et sont de plus en plus difficiles à éradiquer, voire impossibles. Quelques variantes utilisent même des méthodes de camouflage et d'exécution jamais vues.

Si vous désirez conserver la machine virtuelle Java de Microsoft, vous devez impérativement installer le patch MS03-011. Si vous avez Windows XP (Home ou Pro) avec le Service Pack 1a, vous n'avez plus la machine virtuelle Java de Microsoft : ce dernier, suite à une décision de justice définitive, est enfin obligé d'arrêter de plagier et dégrader la technologie de la société SUN Microsystem.

Pour plus d'informations et pour supprimer totalement la machine virtuelle JAVA de Microsoft et la remplacer par celle de SUN, lire les pages :

Java
Anti-Java de Microsoft : comment désinstaller MS-JVM, installer SUN-JVM ou utiliser les deux JVM.

Nota : Les variantes dites "Affiliate variants" ne sont pas en relation directe avec CWS mais ont été vu ensembles très souvent.

Affectés :   Tous les systèmes Windows utilisant la machine virtuelle Java de Microsoft. Celle-ci contient plusieurs failles de sécurité dont une, appelée "ByteVerify", est massivement utilisée par la famille de Hijackers CoolWebSearch.
Epargnés :   Les systèmes d'exploitation DOS, Linux, OS/2, UNIX
Activité :   Son but est de vous diriger, sans arrêt, vers son portail marchand, l'un de ses innombrables miroirs ou l'un de ses affiliés auprès duquel il touche une comission sur les ventes réalisées grâce à son détournement.

Certaines variantes sont des utilisations de la technologie CoolWebSearch pour et par des réseaux marchands autres que CoolWebSearch.

D'une manière ou d'une autre vous êtes redirigés vers des sites non sollicités, des produits ou services non sollicités, etc. ... Plusieurs variantes sont totalement dédiées pornographie, ce pan d'Internet étant le plus rémunérateur (certains annoncent que la pornographie pourrait représenter 25% du marché économique sur le Net).

Vie privée :
Faille :   Ces parasites ont pu s'installer sans notre permission, sans nous en avertir, sans que nous sachions ce qu'ils font et sans que nous puissions nous y opposer. Ils ont une capacité d'auto mise à jour et donc d'exécuter sans notre accord et sans que nous en ayons connaissance, du code non vérifié et non vérifiable.

L'une des variantes se "protège" en bloquant l'accès à de très nombreux sites et utilitaires de sécurité (antivirus, anti-trojans...) dont, introduite secrètement dans votre fichier hosts, la liste des sites suivants qui deviennent inaccessibles :

127.0.0.2 auditmypc.com
127.0.0.3 boards.cexx.org
127.0.0.4 bulletproofsoft.net
127.0.0.5 camtech2000.net
127.0.0.6 cexx.org
127.0.0.7 computercops.us
127.0.0.8 ct7support.com
127.0.0.9 doxdesk.com
127.0.0.20 kellys-korner-xp.com
127.0.0.21 kephyr.com
127.0.0.22 lavasoft.de
127.0.0.23 lavasoftusa.com
127.0.0.24 lurkhere.com
127.0.0.25 majorgeeks.com
127.0.0.26 merijn.org
127.0.0.27 mjc1.com
127.0.0.28 moosoft.com
127.0.0.29 mvps.org
127.0.0.30 net-integration.net
127.0.0.31 noadware.net
127.0.0.32 no-spybot.com
127.0.0.33 onlinepcfix.com
127.0.0.34 pchell.com
127.0.0.35 pestpatrol.com
127.0.0.36 safer-networking.org
127.0.0.37 secure.spykiller.com
127.0.0.38 secureie.com
127.0.0.39 security.kolla.de
127.0.0.40 spybot.info
127.0.0.41 spychecker.com
127.0.0.42 spychecker.com
127.0.0.43 spycop.com
127.0.0.44 spyguard.com
127.0.0.45 spykiller.com
127.0.0.46 spyware.co.uk
127.0.0.47 spyware-cop.com
127.0.0.48 spywareinfo.com
127.0.0.49 spywarenuker.com
127.0.0.50 spywareremove.com
127.0.0.51 spywareremove.com
127.0.0.52 stopzillapro.com
127.0.0.53 sunbelt-software.com
127.0.0.54 thiefware.com
127.0.0.55 tomcoyote.org
127.0.0.56 unwantedlinks.com
127.0.0.57 webattack.com
127.0.0.58 wilders.org
127.0.0.59 www.auditmypc.com
127.0.0.60 www.bulletproofsoft.net
127.0.0.61 www.cexx.org
127.0.0.62 www.computercops.us
127.0.0.63 www.ct7support.com
127.0.0.64 www.doxdesk.com
127.0.0.65 www.eblocs.com
127.0.0.66 www.enigmasoftwaregroup.com
127.0.0.67 www.free-spyware-scan.com
127.0.0.68 www.free-web-browsers.com
127.0.0.69 www.grc.com
127.0.0.70 www.grisoft.com
127.0.0.71 www.hackfaq.org
127.0.0.72 www.hazeleger.net
127.0.0.73 www.javacoolsoftware.com
127.0.0.74 www.kellys-korner-xp.com
127.0.0.75 www.kephyr.com
127.0.0.76 www.lavasoft.de
127.0.0.77 www.lavasoftusa.com
127.0.0.78 www.lurkhere.com
127.0.0.79 www.majorgeeks.com
127.0.0.80 www.merijn.org
127.0.0.81 www.mjc1.com
127.0.0.82 www.moosoft.com
127.0.0.83 www.mvps.org
127.0.0.84 www.net-integration.net
127.0.0.85 www.noadware.net
127.0.0.86 www.no-spybot.com
127.0.0.87 www.onlinepcfix.com
127.0.0.88 www.pchell.com
127.0.0.89 www.pestpatrol.com
127.0.0.90 www.safer-networking.org
127.0.0.91 www.secureie.com
127.0.0.92 www.security.kolla.de
127.0.0.93 www.spybot.info
127.0.0.94 www.spychecker.com
127.0.0.95 www.spychecker.com
127.0.0.96 www.spycop.com
127.0.0.97 www.spyguard.com
127.0.0.98 www.spykiller.com
127.0.0.99 www.spyware.co.uk

Instabilité : Plusieurs variantes rendent le système instable, ralentissent dramatiquement le fonctionnement d'Internet Explorer, se plantent etc. ...
Conséquences : Aucune conséquence néfaste à l'éradication de cette infamie.
Précautions : Sauvegarde de la base de registre
Désactiver les points de restauration
Redémarrer en mode sans échec
Eradication automatique
Eradication automatique
Download
La première chose à faire, contre une variante de CollWebSearch, est d'exécuter CWShredder de Merijn Bellekom. Cet utilitaire gratuit est totalement et exclusivement dédié à l'éradication de toutes les variantes de CoolWebSearch. Aucun antivirus et aucun anti-trojans ne parvient à faire ce que fait CWShredder. Notez que les mises à jour de CWShredder sont très fréquentes : si votre copie de CWShredder a plus d'une semaine, elle est probablement déjà périmée.

Scan avec votre antivirus
Si vous avez un antivirus, utilisez-le, sinon télécharger BitDefender Pro ou Kaspersky AVP maintenant. Le scan doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, avec un paramétrage de votre antivirus tel que tous les types de fichiers sont scannés (y compris les fichiers compressés (archives .zip, .rar, .cab etc. ...)). Scanner et détruire tous les fichiers trouvés. Les antivirus ne sont pas des anti-trojans et n'arrivent pas à éradiquer complètement les parasites non viraux dont ils s'occupent. Une intervention manuelle est souvent nécessaire. S'assurer d'avoir un antivirus paramétré à son maximum puis lancer l'analyse.

Analyse avec votre anti-trojan
Si vous avez un anti-trojan, utilisez-le, sinon téléchargez PestPatrol ou a² personnal ou The Cleaner Pro ou Tauscan maintenant. Le scan doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, et avec les réglages poussés au maximum (voir mode d'emploi de PestPatrol en français). Scanner et détruire tous les objets malicieux trouvés. En version d'essai, illimitée dans le temps et autorisant les mises à jour, PestPatrol effectue seulement la détection complète mais pas l'éradication. A charge pour vous de faire l'éradication à la main.


Eradication manuelle

Eradication manuelle
Les fiches individuelles de chaque variante vous donnent les noms des clés et fichiers à éradiquer mais il est de loin préférable d'utiliser CWShredder.
L'incrustation profonde de certaines variantes est tellement cauchemardesque qu'il est alors utile d'exécuter pas à pas et intégralement notre procédure curative et préventive contre les attaques de Boot (et autres formes d'attaques) : La Manip.


Variantes CWS
Ordre chronologique de découverte

  
Variantes CWS
Ordre alphabétique

CWS Variants.
  1. CWS.Datanotary
  2. CWS.Bootconf
  3. CWS.Oslogo
  4. CWS.Msspi
  5. CWS.Vrape
  6. CWS.Oemsyspnp
  7. CWS.Svchost32
  8. CWS.Dnsrelay
  9. CWS.Msinfo
  10. CWS.Ctfmon32
  11. CWS.Tapicfg
  12. CWS.Svcinit
  13. CWS.Msoffice
  14. CWS.Dreplace
  15. CWS.Mupdate
  16. CWS.Addclass
  17. CWS.Googlems
  18. CWS.Xplugin
  19. CWS.Alfasearch
  20. CWS.Loadbat
  21. CWS.Qttasks
  22. CWS.Msconfd
  23. CWS.Therealsearch
  24. CWS.Control
  25. CWS.Olehelp
  26. CWS.Smartsearch
  27. CWS.Yexe
  28. CWS.Gonnasearch
  29. CWS.Smartfinder
  30. CWS.Winproc32
  31. CWS.Msconfig
  32. CWS.Xxxvideo
  33. CWS.Winres
  34. CWS.Xmlmimefilter
  35. CWS.Aboutblank
  36. CWS.Systeminit
  37. CWS.Sounddrv
  38. CWS.Searchx
  39. CWS.Realyellowpage

Affiliate variants:

  1. CWS.Aff.iedll
  2. CWS.Aff.Winshow
  3. CWS.Aff.Madfinder
  4. CWS.Aff.Tooncomics
 CWS Variants.
 
CWS.Aboutblank
CWS.Addclass
CWS.Alfasearch
CWS.Bootconf
CWS.Control
CWS.Ctfmon32
CWS.Datanotary
CWS.Dnsrelay
CWS.Dreplace
CWS.Gonnasearch
CWS.Googlems
CWS.Loadbat
CWS.Msconfd
CWS.Msconfig
CWS.Msinfo
CWS.Msoffice
CWS.Msspi
CWS.Mupdate
CWS.Oemsyspnp
CWS.Olehelp
CWS.Oslogo
CWS.Qttasks
CWS.Realyellowpage
CWS.Searchx
CWS.Smartfinder
CWS.Smartsearch
CWS.Sounddrv
CWS.Svchost32
CWS.Svcinit
CWS.Systeminit
CWS.Tapicfg
CWS.Therealsearch
CWS.Vrape
CWS.Winproc32
CWS.Winres
CWS.Xmlmimefilter
CWS.Xplugin
CWS.Xxxvideo
CWS.Yexe
 
Affiliate variants:
 
CWS.Aff.Madfinder
CWS.Aff.Tooncomics
CWS.Aff.Winshow
CWS.Aff.iedll

Ressources
Ressources
Des informations complémentaires peuvent être trouvées sur ces pages