Cydoor : adware et spyware. 55 millions d'ordinateurs infectés au 9.11.2003 avec une progression de 300.000 nouveaux ordinateurs infectés par jour.

cr  09.11.2003      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Introduction à cet artocle :

Cydoor (article du 09.11.2003 - archive d'Assiste.com). Cydoor est exemplaire de la fourberie, la perversité et l'intelligence malveillante que peuvent déployer les cybercriminels sur le Web. Cydoor était un adware et spyware, comme il en existe des millions, infestant déjà, à l'écriture de cet article, 55 millions d'ordinateurs et progressant de 300.000 nouveaux ordinateurs infestés par jour. Cydoor diffusait des billions de publicités par mois. Il utilisait des applications légitimes, avec lesquelles il passait des accords, en cheval de Troie (Trojan) transportant et implantant ses malveillances dans chaque appareil pénétré, avec un mécanisme rendant impossible sa suppression sans rendre inutilisables les applications légitimes. Cydoor fut un cauchemar et les procédures pour l'éradiquer furent cauchemardesques.

Cydoor est l'archétype du comportement intrusif et des mécanismes publicitaires sur le Web. Cet article a été écrit le 9.11.2003 et est conservé en tant que modèle descriptif des mécanismes intrusifs de la publicité, pourtant le modèle économique d'un Web gratuit. Certains acteurs sont sans aucun scrupule dans un monde numérique que nous voudrions vertueux. Cydoor est un adware et spyware au comportement cybercriminel infestant 55 millions d'ordinateurs à la date d'écriture de cet article et progressant, à cette même date, de 300.000 nouveaux ordinateurs infestés par jour. Cydoor a, à cette période, diffusé des billions de publicités par mois (selon lui).

• Nom
  Cydoor

• Autres noms
  Cydoor Desktop Media, Cydoor Solutions, iSkins™ Technology, cd_clint.dll, cd_load.exe

• Description résumée
  Cydoor est un adware et d'un spyware. Cydoor revendique 55 millions d'ordinateurs pollués par sa technologie et 300.000 nouveaux ordinateurs par jour sont infectés par ses outils grâce auxquels il annonce fièrement diffuser plusieurs billions de publicités par mois dans le monde.

• Variantes
  cd_clint.dll, cd_clint.exe est la tâche active on-line.
  cd_load.dll, cd_load.exe est la tâche active off-line;

• Éditeur
  Cydoor (une société israélienne).

#	Diffuse des publicités	Violation de la vie privée	Introduit une faille de sécurité	Introduit une instabilité du système

• Publicité :
  Oui. Cydoor affiche plusieurs billions de publicités par mois dans le monde entier.

• Violation de la vie privée :
  Oui. Cydoor collecte des données de tracking et des données démographiques (sur leur page Privacy : genre, âge, centres d'intérêt, statut marital, salaire, code postal, pays, niveau d'éducation...). Cydoor utilise un GUID. Cydoor transmet également des données statistiques sur l'usage de ses publicités (nombre de fois vues, nombre de clicks, etc.).

• Introduit une faille de sécurité :
  Oui. Cydoor comporte un dispositif de téléchargement (download) de mises à jour donc Cydoor peut télécharger sur nos ordinateurs n'importe quel type de code invérifiable et l'exécuter. Cydoor comporte également un dispositif de téléchargement (download) de publicités à diffuser lorsque la connexion Internet est coupée.

• Introduit une instabilité du système :
  Oui. De nombreux rapports font état d'instabilités dues à Cydoor et causant des erreurs dans Windows XP.

Cydoor est essentiellement distribué en « bundle » (en produit joint à un autre) avec opt-in ou opt-out dans plus de 2.000 logiciels de type freeware (gratuits) qui acceptent d'intégrer Cydoor et de faire remonter de l'information démographique (de l'espionnage) de leurs utilisateurs vers Cydoor. On le trouve, par exemple, dans les logiciels Babylon, iMesh, ComTry MP3 Downloader, KaZaA, LimeWire, Grokster, Rosoft CD Extractor, Rosoft Audio Recorder, eXeem... La manière dont Cydoor est déployé relève du sponsoring et la technique utilisée est celle des Chevaux de Troie. Les 2000 logiciels gratuits embarquant Cydoor se comportent très exactement comme des Chevaux de Troie, dans l'acception la plus formelle du terme, embarquant une charge active : Cydoor. Lorsque le Cheval de Troie est désinstallé, la charge active (Cydoor) qu'il a lâchée continue de fonctionner normalement. Lorsque Cydoor est éradiqué, le logiciel qui a servi de Cheval de Troie et a lâché sa charge active, est devenu propre et continue de fonctionner normalement.

Lorsqu'il est livré en bundle avec un autre produit logiciel (accord avec l'éditeur de cet autre logiciel), Cydoor se sert de la fenêtre même du produit logiciel comme d'une fenêtre d'un navigateur Web, pour afficher des publicités, y compris lorsque vous êtes hors connexion. Cydoor déclare froidement que les utilisateurs d'un ordinateur utilisent plus souvent leurs logiciels que leur navigateur Web et donc que les pubs dans les logiciels qu'ils utilisent on plus d'impact, attire plus l'attention, et sont vues plus souvent. Cydoor ajoute, en plein texte (et en anglais), sur son site, que, puisque l'utilisateur doit s'identifier pour obtenir les licences de ses logiciels, il récupère ainsi des données démographiques !!! Notons que l'implémentation de Cydoor dans un logiciel hôte nécessite la totale complicité de l'éditeur du logiciel hôte qui perçoit une rémunération de Cydoor pour « services rendus ». Le composant reste en veille permanente et, à chaque connexion Internet, il envoie vers un serveur toutes les informations collectées puis reçoit un jeu ciblé de publicités, stockées dans C:\Windows\System\adcache\, qui seront affichées même si la connexion Internet est coupée.

On notera également que Cydoor n'a aucune interface ni aucune interaction avec l'utilisateur lors de l'installation du logiciel hôte, si ce n'est des déclarations comme ci-dessus. Les quelques lignes de Cydoor, qui s'affichent dans l'écran du logiciel installé, sont prises pour l'une des pages d'installation de l'hôte (remarquez le nom de la fenêtre qui est celui de l'hôte) et seront vite oubliées. L'utilisateur ne saura même pas que Cydoor est installé.

D'autre part, comme les clauses sont contractuelles et sont acceptées par l'utilisateur, qui n'a pas le choix, cela permet à Cydoor de se retourner juridiquement contre les antivirus et les anti-spywares afin de les obliger à retirer leurs détections et éradications de Cydoor ! Et Cydoor gagne en justice !

Cydoor - Cette page, qui semble être une
page du logiciel installé (ici « Babylon »,
titre, charte graphique...) n'est pas du
logiciel Babylon mais de Cydoor.

Lorsqu'il est un composant d'un site web, Cydoor délivre des pop-ups, des bannières ciblées, des bouton cliquable publicitaire et des publicités basées sur la détection (tracking) de mots-clés utilisés par l'internaute. C'est le site lui-même qui le transporte qui est considéré en totalité comme un adware, mais les clauses contractuelles de Cydoor (que les internautes / utilisateurs acceptent toujours sans jamais les lire) font que Cydoor va en justice et gagne toujours en interdisant aux outils anti-adware (incluant les antivirus et tout ce qui bloque les publicités sur le Web) de bloquer l'accès et le comportement de Cydoor.

Vous devez connaître et maîtriser les actions manuelles suivantes :

• Tuer un processus actif
• Retirer une entrée de la liste de démarrage
• Comment voir les fichiers et dossiers cachés (toutes versions de Windows)
• Comment voir les extensions de fichiers cachées
• Détruire des fichiers (corbeille (poubelle) ou Revo Uninstaller)
• Détruire des répertoires
• Détruire des clés de registre
• Détruire une entrée dans une clé de registre
• Supprimer des enregistrements de DLLs
• Toujours exécuter l'intégralité de « La Manip » après cette désinfection.

La désinstallation de l'hôte (le logiciel que vous avez installé et qui embarque Cydoor) ne désinstalle pas la malveillance Cydoor. Vous devez faire tout ceci :

Tuer les processus suivants :

1. programfilesdir+\imesh\client\cd_install_202.exe
2. systemroot+\system32\cd_load.exe
   
3. systemroot+\system\cd_load.exe
   
4. programfilesdir+\grokster\cd_install.exe
   
5. systemroot+\temp\adware\cd_install_291.exe01dopewars_update.exe
   
6. cydoor.exe
   
7. cydoor_uninstall.exe
   
8. sahagent.exe
   
9. sahdownloader.exe

Rechercher la clé de registre permettant le lancement automatique de Cydoor au démarrage :

1. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   
2. Si la valeur Cydoor s'y trouve, détruire cette valeur (uniquement cette valeur, pas la clé !)
   
3. Redémarrer aussitôt

Désenregistrer les dll suivantes :

1. systemroot+\system32\cd_clint.dll
   
2. systemroot+\system32\cd_htm.dll
   
3. systemroot+\system\cd_clint.dll
   
4. systemroot+\system\cd_gif.dll
   
5. systemroot+\system\cd_htm.dll
   
6. systemroot+\system\cd_html.dll
   
7. systemroot+\system\cd_swf.dll
   
8. systemroot+\temp\cd_clint.dll
   
9. systemroot+\system32\cd_swf.dll
   
10. systemroot+\system32\msg{6ea0f469-dfd6-40fa-8ec0-29c8bf23cf76}0108.dll
    
11. systemroot+\system32\gdnp.dll
    
12. systemroot+\temporary internet files\content.ie5\kgrv9a5f\cd_htm[1].dll
    
13. profilepath+\local settings\temp\cd_clint.dll
    
14. systemroot+\system32\adcache\temp\cd_clint.dllcbanner2.dll
    
15. gr02.dll
    
16. xmltok.dll
    
17. netpal.dll
    
18. xmlparse.dll
    
19. lsp.dll
    
20. kernellos.dll
    
21. im64.dll

Détruire les clés de registre suivantes :

1. hkey_current_user\software\cydoor
   
2. hkey_current_user\software\cydoor services
   
3. hkey_current_user\software\microsoft\windows\currentversion\run\cydoor
   
4. hkey_local_machine\software\cydoor
   
5. hkey_local_machine\software\microsoft\windows\currentversion\run\cydoor
   
6. hkey_local_machine\software\microsoft\windows\currentversion\runonce\cydoorupdate
   
7. hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_202
   
8. hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_253
   
9. hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_270
   
10. hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_314
    
11. hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_319
    
12. hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_336
    
13. hkey_users\.default\software\cydoor
    
14. hkey_users\.default\software\cydoor
    
15. hkey_users\.default\software\cydoor services
    
16. hkey_users\.default\software\cydoor services
    
17. hkey_users\s-1-5-21-1960408961-1993962763-1343024091-1003\software\cydoor
    
18. hkey_users\s-1-5-21-1960408961-1993962763-1343024091-1003\software\cydoor services
    
19. hkey_users\s-1-5-21-329068152-1677128483-854245398-500\software\cydoor
    
20. hkey_users\s-1-5-21-329068152-1677128483-854245398-500\software\cydoor services
    
21. hkey_users\s-1-5-21-725345543-1078145449-1343024091-500\software\cydoor
    
22. hkey_users\s-1-5-21-725345543-1078145449-1343024091-500\software\cydoor services
    
23. hkey_users\s-1-5-21-796845957-842925246-1060284298-500\software\cydoor
    
24. hkey_users\s-1-5-21-796845957-842925246-1060284298-500\software\cydoor services

Détruire les fichiers suivants s'ils existent :

1. b_197800.swf
   
2. cbanner2.dll
   
3. cydoor.exe
   
4. cydoor_uninstall.exe
   
5. gr02.dll
   
6. im64.dll
   
7. kernellos.dll
   
8. lsp.dll
   
9. netpal.dll
   
10. profilepath+\local settings\temp\cd_clint.dll
    
11. programfilesdir+\flashtalk\txt\mictest.rtf
    
12. programfilesdir+\flashtalk\txt\voicemessagesettings.rtf01dopewars_update.exe
    
13. programfilesdir+\grokster\cd_install.exe
    
14. programfilesdir+\imesh\client\cd_install_202.exe
    
15. sahagent.exe
    
16. sahdownloader.exe
    
17. systemroot+\system\cd_clint.dll
    
18. systemroot+\system\cd_gif.dll
    
19. systemroot+\system\cd_htm.dll
    
20. systemroot+\system\cd_html.dll
    
21. systemroot+\system\cd_load.exe
    
22. systemroot+\system\cd_swf.dll
    
23. systemroot+\system32\adcache\temp\cd_clint.dll
    
24. systemroot+\system32\cd_clint.dll
    
25. systemroot+\system32\cd_htm.dll
    
26. systemroot+\system32\cd_load.exe
    
27. systemroot+\system32\cd_swf.dll
    
28. systemroot+\system32\gdnp.dll
    
29. systemroot+\system32\msg{6ea0f469-dfd6-40fa-8ec0-29c8bf23cf76}0108.dll
    
30. systemroot+\temp\adware\cd_install_291.exe
    
31. systemroot+\temp\cd_clint.dll
    
32. systemroot+\temporary internet files\content.ie5\kgrv9a5f\cd_htm[1].dll
    
33. thumbs.db
    
34. v.dat
    
35. vg.dat
    
36. xmlparse.dll
    
37. xmltok.dll

Détruire tout les fichiers contenus dans le répertoire :

1. systemroot+\system32\adcache ou dans le répertoire
   
2. systemroot+\system\adcache
   
3. qui contient des pages publicitaires pré-chargées : les fichiers ont une syntaxe de la forme:
   
4. systemroot+\system32\adcache\b_500600.htm

Détruire les répertoires suivants et tout ce qui pourrait subsister dedans :

1. systemroot+\system32\adcache
   
2. systemroot+\system\adcache
   
3. programfilesdir+\toolbar
   
4. programfilesdir+\eudora\qualcomm2\eudora\eudpriv\ads\adcache
   
5. programfilesdir+\eudora\qualcomm\eudora\eudpriv\ads\adcache
   
6. d:\windows\system32\adcache
   
7. systemroot+\system32\adcache\temp

Détruire la clé de registre :

1. HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce\cydoorupdate

Redémarrer aussitôt et s'assurer que tous les objets vus précédemment ne reviennent pas.

Toujours exécuter l'intégralité de « La Manip » après cette désinfection.

Impossible : il n'y a pas de procédure de désinstallation fournie par l'éditeur de Cydoor.

1. SpyBot Search and Destroy
2. PestPatrol
3. Ne pas utiliser Ad-aware incapable d'implanter le dummy de CD_CLINT.DLL.
4. Toujours éxécuter l'intégralité de « La Manip » après cette désinfection.
5. Décontamination anti malwares

Plantage de certains logiciels « sponsorisés » si le parasite a été éradiqué au lieu d'être remplacé par un leurre (un dummy).

• Plantage de certains logiciels « sponsorisés » si le parasite a été éradiqué au lieu d'être remplacé par un leurre (un dummy).

• Lorsque le composant Cydoor, cd_clint.dll, est éradiqué par un outil anti-spyware, le logiciel hôte ne fonctionne plus, raison pour laquelle certains éradiqueurs intelligents le remplacent par un leurre inactivé développé par cexx.org. C'est ce qu'a également fait KaZaA Lite dans son hack de KaZaA.

• Ad-aware présente 2 défauts :

  1. Il éradique complètement Cydoor, rendant le logiciel hôte inutilisable.
  2. Il se plante lamentablement en présence du leurre (dummy) inactivé qu'il ne détecte pas comme tel et l'éradique aussi !

• SpyBot Search and Destroy est plus intelligent et remplace Cydoor (cd_clint.dll), lorsqu'il le trouve, par le leurre inactivé de cexx.org, permettant ainsi à l'hôte de continuer à fonctionner.

Hosts - Qu'est-ce que c'est?

127.0.0.1 bannerserver.gator.com
127.0.0.1 beasley.gator.com
127.0.0.1 bg.gator.com
127.0.0.1 bi.gator.com
127.0.0.1 coupons.gator.com
127.0.0.1 dns.gator.com
127.0.0.1 dns2.gator.com
127.0.0.1 gator.co.uk
127.0.0.1 gator.com
127.0.0.1 gator.net
127.0.0.1 gator29.gator.com
127.0.0.1 gatoradvertisinginformationnetwork.com
127.0.0.1 gatorcme.gator.com
127.0.0.1 gatorcorporation.com
127.0.0.1 gi.gator.com
127.0.0.1 gs.gator.com
127.0.0.1 gw-rwc.gator.com
127.0.0.1 images.gator.com
127.0.0.1 map.gator.com
127.0.0.1 outsidedns.gator.com
127.0.0.1 pricecomparison.gator.com
127.0.0.1 rs.gator.com
127.0.0.1 scriptserver.gator.com
127.0.0.1 search.gator.com
127.0.0.1 ss.gator.com
127.0.0.1 ssbackup.gator.com
127.0.0.1 trickle.gator.com
127.0.0.1 ts.gator.com
127.0.0.1 updateserver.gator.com
127.0.0.1 wb.gator.com
127.0.0.1 webpdp.gator.com
127.0.0.1 www.gator.co.uk
127.0.0.1 www.gator.com
127.0.0.1 www.gator.net
127.0.0.1 www.gatoradvertisinginformationnetwork.com
127.0.0.1 www.gatorcorporation.com
127.0.0.1 www.bannerserver.gator.com
127.0.0.1 www.beasley.gator.com
127.0.0.1 www.bg.gator.com
127.0.0.1 www.bi.gator.com
127.0.0.1 www.coupons.gator.com
127.0.0.1 www.dns.gator.com
127.0.0.1 www.dns2.gator.com
127.0.0.1 www.gator.co.uk
127.0.0.1 www.gator.com
127.0.0.1 www.gator.net
127.0.0.1 www.gator29.gator.com
127.0.0.1 www.gatoradvertisinginformationnetwork.com
127.0.0.1 www.gatorcme.gator.com
127.0.0.1 www.gatorcorporation.com
127.0.0.1 www.gi.gator.com
127.0.0.1 www.gs.gator.com
127.0.0.1 www.gw-rwc.gator.com
127.0.0.1 www.images.gator.com
127.0.0.1 www.map.gator.com
127.0.0.1 www.outsidedns.gator.com
127.0.0.1 www.pricecomparison.gator.com
127.0.0.1 www.rs.gator.com
127.0.0.1 www.scriptserver.gator.com
127.0.0.1 www.search.gator.com
127.0.0.1 www.ss.gator.com
127.0.0.1 www.ssbackup.gator.com
127.0.0.1 www.trickle.gator.com
127.0.0.1 www.ts.gator.com
127.0.0.1 www.updateserver.gator.com
127.0.0.1 www.wb.gator.com
127.0.0.1 www.webpdp.gator.com

Suggestion d'IPs de serveurs à bloquer
Par exemple en utilisant PeerGuardian.

Cookies à éradiquer utilisés par ce parasite

Liens, sources et ressources
Pour rédiger cette fiche, les sites suivants ont été consultés

and.doxdesk.com
PestPatrol
https://www.journaldunet.com/printer/020722gator.shtml Pop-ups sauvages : Gator perd un premier round
Web surfers brace for pop-up downloads Cnet-News 08 04 02
Software replaces banner ads on top sites Cnet-News 17 08 01
Gator rushes to court over ad technology Cnet-News 28 04 01
Les nouveaux prédateurs du marketing direct 01net. 10.08.01
Gator sera-t-il le fossoyeur de la publicité en ligne ? 01net. 20.08.01
Gator bientôt devant la justice ? 01net. 22.08.01
Accord à l'amiable entre Gator et la presse en ligne américaine 01net. 10.02.03
Claria, la nouvelle couverture des espions de Gator 01net. 30.10.03
Documentation of Gator Advertisements and Targeting


Porter plainte
Portez plainte iciO.C.L.C.T.I.C
MINISTERE DE L'INTERIEUR
Direction Centrale de la Police Judiciaire
Sous-Direction des Affaires Economiques et Financières
8, rue de Penthièvre
75008 PARIS
Tel : 01.49.27.49.27
Télécopie : 01.40.97.88.59
oclctic@interieur.gouv.fr.

Par exemple en utilisant PeerGuardian.

?

• Porter plainte
• Info-escroqueries
• Trouver un correspondant sûreté (police)
• Escroquerie à l'assistance aux victimes d'escroqueries
• Escroquerie par « Phishing » (ou « Hameçonnage »)
• Escroquerie par « Phishing » (ou « Hameçonnage »)
• Arnaques, escroqueries, extorsions, fraudes sur le Web
• Arnaques, fraudes et escroqueries (liste des articles)

1. doxdesk.com : le parasite Gator

2. PestPatrol

3. Journal du Net : Pop-ups sauvages : Gator perd un premier round

4. Web surfers brace for pop-up downloads Cnet-News 08 04 02

5. Software replaces banner ads on top sites Cnet-News 17 08 01

6. Gator rushes to court over ad technology Cnet-News 28 04 01

7. Les nouveaux prédateurs du marketing direct 01net. 10.08.01

8. Gator sera-t-il le fossoyeur de la publicité en ligne ? 01net. 20.08.01

9. Gator bientôt devant la justice ? 01net. 22.08.01

10. Accord à l'amiable entre Gator et la presse en ligne américaine 01net. 10.02.03

11. Claria, la nouvelle couverture des espions de Gator 01net. 30.10.03

12. Documentation of Gator Advertisements and Targeting