Dernière mise à jour : 2018-10-12T14:52 - 12.10.2018
22.10.2013 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour
Supprimer le hijacker, adware et barre d'outils Qvo6
Qvo6
Qvo6 est un acteur cybercriminel du Web se présentant sous la forme d'un moteur de recherche menteur dirigeant vers des sites satellites couverts de publicités pour lesquelles il est l'afficheur (chaque clic sur ses publicités lui rapporte de l'argent - paiement au clic) et vers des sites marchands avec lesquels il a des accords financiers de deux types :
Rémunération au clic chaque fois que vous cliquez sur une réponse, dans le moteur de recherche, dirigeant vers un site inséré publicitairement dans les résultats du moteur menteur Qvo6 (le logiciel, derrière la barre d'outil Qvo6, effectue ce tracking des liens sponsorisés).
Rémunération de type affiliation - chaque vente réalisée par son intermédiaire lui rapporte un % sur le chiffre d'affaires généré.
Tous ces sites sponsorisés par Qvo6 sont interclassés avec des réponses normales des vrais moteurs dont il se sert (Google, Bing, Yahoo!...), mais sans permettre de distinguer les résultats normaux des résultats sponsorisés, qui apparaissent prioritairement.
Moteur de recherche menteur Qvo6.com
Qvo6 est un Hijacker + Adware + Toolbar
Pour obliger les internautes à utiliser son moteur de recherche menteur, Qvo6 modifie de force les réglages des navigateurs des internautes (par une attaque de type « Hijack », en utilisant un « Hijacker »).
La pénétration du « Hijacker » Qvo6 se fait, couramment, en « accompagnement lié » (« bundle ») de logiciels que vous installez.
Il est probable que cette installation se soit faite lors d'un manque de vigilance de votre part (vous n'avez pas demandé une installation « personnalisée » du logiciel que vous étiez en train d'installer, mais, pour aller plus vite, vous avez accepté une installation « par défaut »). Une case à cocher, pré-cochée, que vous n'avez alors pas vue, a autorisé cette installation du « Hijacker » Qvo6. L'auteur du logiciel que vous installez est rémunéré par le cybercriminel Qvo6 chaque fois qu'il réussi à implanter le « Hijacker » Qvo6 chez un internaute.
Le principe exploité par le cybercriminel Qvo6, pour déployer son « Hijacker », est celui du « Cheval de Troie », qui sert de vecteur à ce déploiement (bien que, dans ce cas, il ne s'agisse que du principe des « Chevaux de Troie », le logiciel que vous avez installé n'étant pas, réellement, un « Cheval de Troie » - seul son installeur agit en « Cheval de Troie ». Toutefois, il semble que, dans certains cas, des logiciels, en apparence « désirables et gratuits », soient développés par Qvo6 et soient, dans ce cas, de véritables « Chevaux de Troie ».
Qvo6 installe du code dans le navigateur, sous forme d'une barre d'outils (Toolbar).
Qvo6 délivre des publicités. C'est donc un adware.
Qvo6 - Symptômes
Qvo6 devient la page d'accueil de votre navigateur et il vous force à utiliser son moteur de recherche menteur.
L'implantation de Qvo6 se traduit, également, par l'apparition d'une barre d'outils dans votre navigateur Internet. A la date de rédaction de cet article, les navigateurs Firefox, Internet Explorer et Google Chrome, sont affectés, Opera et Safari ne sont pas encore affectés.
Qvo6 délivre des publicités vers des sites qui rémunèrent le cybercriminel Qvo6 au clic. Malheureusement, Qvo6 est là pour gagner de l'argent et ne discrimine absolument pas ses clients. Certaines publicités qu'il affiche, et sur lesquelles vous cliquez, conduisent vers des sites d'attaques cybercriminelles tentant de trouver et exploiter une faille de sécurité parmi les logiciels, technologies et plugins installés dans votre ordinateur. Ces attaques du second degré vont infecter votre ordinateur avec d'autres parasites (par exemple une « zombification » de votre ordinateur et son injection dans un « botnet », un l'implantation d'un « keylogger » ou d'un « spyware », etc. ...).
Contre-mesures
Il est impératif d'éviter d'être infecté par le « Hijacker » Qvo6 et, s'il a réussi à pénétrer votre ordinateur, il est impératif de l'éradiquer.
Chaque téléchargement d'un logiciel doit être immédiatement suivi, AVANT INSTALLATION, d'une analyse, en quelques secondes et gratuitement, par un service multi-antivirus.
Pour éviter l'infection par les objets réemballé (Repack) et les objets sponsorisés, toujours demander une installation personnalisée
Après son téléchargement, chaque installation d'un logiciel livré avec un installeur (ce n'est pas le cas des logiciels dits « portables » qui sont utilisables immédiatement, sans phase d'installation, et dont nous vous recommandons le choix lorsqu'il existe) doit se faire en utilisant, dans l'installeur, l'option « installation personnalisée » (ou toute option ressemblant à cela, selon la marque de l'installeur utilisé). Exemple d'accès aux choix personnalisés de l'installation d'une application logiciel :
Installation personnalisée
Installation personnalisée
Attention à bien demander l'installation " avancée " afin de pouvoir décocher la tentative d'implanter quelque chose venant d'un sponsor
Trompeur ! Attention à bien cliquer sur "Cancel" et non pas "Ok" pour continuer l'installation !
Trompeur ! Attention à bien cliquer sur " Skip" et non pas "Next" pour continuer l'installation !
Du calme ! Ne pas se précipiter pour installer un logiciel mais prendre le temps de lire pour ne pas se faire avoir !
Installation personnalisée
Installation personnalisée
Demander une « installation personnalisée » permet, d'une part, d'installer le logiciel dans un répertoire de votre choix, hors des répertoires de Windows, et, d'autre part, de révéler / dévoiler des options discrètes (cachées) comme des cases à cocher / décocher qui, sinon, vont donner à l'installeur votre autorisation implicite de conduire des actions souvent indésirables, comme installer un ou des produits venant de « sponsors » du logiciel ou de « sponsors » du site de téléchargement (repack). Votre manque de vigilance et le virus PEBCAK, lors de l'installation d'un logiciel, dans la fébrilité et l'impatience de l'utiliser tout de suite, sont la voie royale à l'implantation de cybercriminalités, de PUP, de barres d'outils servant à vous tracker pour vous espionner et vous bombarder de publicités, d'adwares, etc. ...
Comme toujours sur un ordinateur, on réfléchi d'abord, on clique après, jamais l'inverse.
Si l'attaque par le « Hijacker » Qvo6 est récente, vous pouvez effectuer une restauration du système à une date antérieure à l'installation du logiciel qui a servi au déploiement du « Hijacker » Qvo6.
Si vous ne disposez plus de ce point de restauration, suivre cette procédure :
Rétablir les raccourcis vers vos navigateurs, car ils ont été modifiés. AdwCleaner et Malwarebytes Anti-Malware (MBAM), à jour, effectuent ces opérations automatiquement.
Cette cochonnerie de Qvo6 cache une ré-implantation de son attaque dans les raccourcis vers les navigateurs. Il n'est plus nécessaire de nettoyer ces raccourcis depuis qu'AdwCleaner et Malwarebytes Anti-Malware (MBAM) le font automatiquement.
Pour les curieux uniquement
Si vous êtes curieux et souhaitez voir comment Qvo6 hijack les raccourcis de vos navigateurs Internet (avant de décontaminer Qvo6), faire un clic droit sur chacun des raccourcis de lancement de chacun des navigateurs > Propriété > Dans l'onglet « Raccourci » cliquer sur le contenu de la cible > A l'extrême droite de la Cible (qui désigne l'emplacement du fichier d'installation de votre navigateur) vous voyez un lien vers une adresse Web (quelque chose qui commence par http:// . Effacez cette adresse Web, et uniquement cette partie. Ne touchez pas ce qui est à gauche de http:// > Clic sur le bouton " Appliquer " > Ok
Eradication de qvo6 dans Internet Explorer
Eradication de qvo6 dans Firefox
Eradication de qvo6 dans Google Chrome
Dans les navigateurs, reparamétrer la page de démarrage par défaut et le moteur de recherche par défaut.
Internet Explorer 7
IE7 - Moteur de recherche
Démarrer > Internet Explorer 7 > Clic sur la petite flèche à l'extrême droite de la barre de navigation > Clic sur « Modifier les paramètres de recherche par défaut » > Sélectionner et supprimer qvo6 (Clic sur qvo6 > clic sur le bouton )
Sélectionner un autre moteur de recherche pour en faire votre moteur de recherche par défaut (clic sur le moteur > Clic sur le bouton )
Éventuellement, pour rechercher un autre moteur de recherche qui n’apparaîtrait pas dans la liste, cliquer sur le lien, en bas à gauche « Rechercher encore des moteurs de recherche... »
IE7 - Page de démarrage
Démarrer > Internet Explorer 7 > Outils > Options Internet > Dans la zone « Page de démarrage » indiquez votre page de démarrage préférée (par exemple http://www.google.com/) > Appliquer > Ok.
Internet Explorer 8
IE8 - Moteur de recherche
Démarrer > Internet Explorer 8 > Clic sur la petite flèche à l'extrême droite de la barre de navigation > Clic sur Gérer les moteurs de recherche > Moteur de recherche
Supprimer qvo6 (Clic droit > Supprimer)
Sélectionner un autre moteur de recherche pour en faire votre moteur de recherche par défaut (clic droit > Par défaut)
Éventuellement, pour rechercher un autre moteur de recherche qui n’apparaîtrait pas dans la liste, cliquer sur le lien, en bas à gauche « Rechercher d'autres moteurs de recherche... »
IE8 - Page de démarrage
Démarrer > Internet Explorer 8 > Outils > Options Internet > Dans la zone « Page de démarrage » indiquez votre page de démarrage préférée (par exemple http://www.google.com/) > Appliquer > Ok.
Internet Explorer 9
IE9 - Moteur de recherche
Démarrer > Internet Explorer 9 > Outils > Gérer les modules complémentaires > Moteur de recherche
Supprimer qvo6 (Clic droit > Supprimer)
Sélectionner un autre moteur de recherche pour en faire votre moteur de recherche par défaut (clic droit > Par défaut)
Éventuellement, pour rechercher un autre moteur de recherche qui n’apparaîtrait pas dans la liste, cliquer sur le lien, en bas à gauche « Rechercher d'autres moteurs de recherche... ».
IE9 - Page de démarrage
Démarrer > Internet Explorer 9 > Outils > Options Internet > Dans la zone « Page de démarrage » indiquez votre page de démarrage préférée (par exemple http://www.google.com/) > Appliquer > Ok.
Internet Explorer 10
IE10 - Moteur de recherche
Démarrer > Internet Explorer 10 > Outils > Gérer les modules complémentaires > Moteur de recherche
Supprimer qvo6 (Clic droit > Supprimer)
Sélectionner un autre moteur de recherche pour en faire votre moteur de recherche par défaut (clic droit > Par défaut)
Éventuellement, pour rechercher un autre moteur de recherche qui n’apparaîtrait pas dans la liste, cliquer sur le lien, en bas à gauche « Rechercher d'autres moteurs de recherche... »
IE10 - Page de démarrage
Démarrer > Internet Explorer 10 > Outils > Options Internet > Dans la zone « Page de démarrage » indiquez votre page de démarrage préférée (par exemple http://www.google.com/) > Appliquer > Ok.
Firefox
Clic sur la petite flèche dans la zone de recherche, juste à droite de la zone d'adresse de navigation > En bas de la liste des moteurs, clic sur « Gérer les moteurs de recherche... ».
Supprimer qvo6 (Sélectionner > Supprimer)
Sélectionner un autre moteur de recherche pour en faire votre moteur de recherche par défaut (sélectionner > Monter jusqu'à à en faire le premier de la liste).
Éventuellement, pour rechercher un autre moteur de recherche qui n’apparaîtrait pas dans la liste, cliquer sur le lien, en bas à gauche « Obtenir d'autres moteur de recherche... »
Google Chrome
Dans la zone d'adresse de navigation, faire un clic doit et sélectionner « Modifier les moteurs de recherche... ».
Supprimer qvo6 (Sélectionner > Clic sur la croix, à l'extrémité de la ligne)
Ce moteur, le plus désagréable et le moins convivial à utiliser, n'aime pas que l'on utilise un autre moteur que le sien (celui de Google). Rien n'est fait pour ajouter facilement un autre moteur de recherche. La démarche n'est pas clair pour un utilisateur lambda et, dans l'url du moteur à ajouter, vous devez remplacer les caractères autres que les chiffres et les lettres par leur de représentation dite « Echappement % » ce qui n'est pas à la portée d'un utilisateur normal.
Le domaine Qvo6.com a été enregistré auprès d'un registrar chinois (Hichina Web Solution, à Hong Kong), le 17 juillet 2010 puis transféré à net.cn après la défaillance de Hichina. Godaddy.com devient le registrar de qvo6.com le 01 avril 2013.
Qvo6 est extrêmement agressif en 2013 et, en Août 2013, Alexa le classe au 316è rang mondial des sites Internet.
Qvo6 - Graphique de croissance depuis avril 2013
Qvo6 - Graphique (% de visites de ce site provenant des moteurs de recherche)
Le hijack d'avril 2013 a été violent et les contre-mesures se mettent en place par la suite.
L'adresse IP du serveur de Qvo6 est 174.36.247.69 (serveur dédié), localisé à District Of Columbia - Washington - chez Softlayer Technologies Inc. Registre du commerce : AS36351 SOFTLAYER - SoftLayer Technologies Inc. (registered Dec 12, 2005)
Historique des mises à jour de cette page
05.10.2013 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour
21.09.2013 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour
06.09.2013 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour
05.09.2013 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour