Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  09.11.2003      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Introduction à cet artocle :

Cydoor (article du 09.11.2003 - archive d'Assiste.com). Cydoor est exemplaire de la fourberie, la perversité et l'intelligence malveillante que peuvent déployer les cybercriminels sur le Web. Cydoor était un adware et spyware, comme il en existe des millions, infestant déjà, à l'écriture de cet article, 55 millions d'ordinateurs et progressant de 300.000 nouveaux ordinateurs infestés par jour. Cydoor diffusait des billions de publicités par mois. Il utilisait des applications légitimes, avec lesquelles il passait des accords, en cheval de Troie (Trojan) transportant et implantant ses malveillances dans chaque appareil pénétré, avec un mécanisme rendant impossible sa suppression sans rendre inutilisables les applications légitimes. Cydoor fut un cauchemar et les procédures pour l'éradiquer furent cauchemardesques.


Cydoor est l'archétype du comportement intrusif et des mécanismes publicitaires sur le Web. Cet article a été écrit le 9.11.2003 et est conservé en tant que modèle descriptif des mécanismes intrusifs de la publicité, pourtant le modèle économique d'un Web gratuit. Certains acteurs sont sans aucun scrupule dans un monde numérique que nous voudrions vertueux. Cydoor est un adware et spyware au comportement cybercriminel infestant 55 millions d'ordinateurs à la date d'écriture de cet article et progressant, à cette même date, de 300.000 nouveaux ordinateurs infestés par jour. Cydoor a, à cette période, diffusé des billions de publicités par mois (selon lui).




  • Nom
    Cydoor

  • Autres noms
    Cydoor Desktop Media, Cydoor Solutions, iSkins™ Technology, cd_clint.dll, cd_load.exe

  • Description résumée
    Cydoor est un adware et d'un spyware. Cydoor revendique 55 millions d'ordinateurs pollués par sa technologie et 300.000 nouveaux ordinateurs par jour sont infectés par ses outils grâce auxquels il annonce fièrement diffuser plusieurs billions de publicités par mois dans le monde.

  • Variantes
    cd_clint.dll, cd_clint.exe est la tâche active on-line.
    cd_load.dll, cd_load.exe est la tâche active off-line;

  • Éditeur
    Cydoor (une société israélienne).




#Diffuse
des
publicités
Violation
de la
vie privée
Introduit une
faille de
sécurité
Introduit une
instabilité du
système
Cydoor
CydoorCydoorCydoor
  • Publicité :
    Oui. Cydoor affiche plusieurs billions de publicités par mois dans le monde entier.

  • Violation de la vie privée :
    Oui. Cydoor collecte des données de tracking et des données démographiques (sur leur page Privacy : genre, âge, centres d'intérêt, statut marital, salaire, code postal, pays, niveau d'éducation...). Cydoor utilise un GUID. Cydoor transmet également des données statistiques sur l'usage de ses publicités (nombre de fois vues, nombre de clicks, etc.).

  • Introduit une faille de sécurité :
    Oui. Cydoor comporte un dispositif de téléchargement (download) de mises à jour donc Cydoor peut télécharger sur nos ordinateurs n'importe quel type de code invérifiable et l'exécuter. Cydoor comporte également un dispositif de téléchargement (download) de publicités à diffuser lorsque la connexion Internet est coupée.

  • Introduit une instabilité du système :
    Oui. De nombreux rapports font état d'instabilités dues à Cydoor et causant des erreurs dans Windows XP.




Cydoor est essentiellement distribué en « bundle » (en produit joint à un autre) avec opt-in ou opt-out dans plus de 2.000 logiciels de type freeware (gratuits) qui acceptent d'intégrer Cydoor et de faire remonter de l'information démographique (de l'espionnage) de leurs utilisateurs vers Cydoor. On le trouve, par exemple, dans les logiciels Babylon, iMesh, ComTry MP3 Downloader, KaZaA, LimeWire, Grokster, Rosoft CD Extractor, Rosoft Audio Recorder, eXeem... La manière dont Cydoor est déployé relève du sponsoring et la technique utilisée est celle des Chevaux de Troie. Les 2000 logiciels gratuits embarquant Cydoor se comportent très exactement comme des Chevaux de Troie, dans l'acception la plus formelle du terme, embarquant une charge active : Cydoor. Lorsque le Cheval de Troie est désinstallé, la charge active (Cydoor) qu'il a lâchée continue de fonctionner normalement. Lorsque Cydoor est éradiqué, le logiciel qui a servi de Cheval de Troie et a lâché sa charge active, est devenu propre et continue de fonctionner normalement.




Lorsqu'il est livré en bundle avec un autre produit logiciel (accord avec l'éditeur de cet autre logiciel), Cydoor se sert de la fenêtre même du produit logiciel comme d'une fenêtre d'un navigateur Web, pour afficher des publicités, y compris lorsque vous êtes hors connexion. Cydoor déclare froidement que les utilisateurs d'un ordinateur utilisent plus souvent leurs logiciels que leur navigateur Web et donc que les pubs dans les logiciels qu'ils utilisent on plus d'impact, attire plus l'attention, et sont vues plus souvent. Cydoor ajoute, en plein texte (et en anglais), sur son site, que, puisque l'utilisateur doit s'identifier pour obtenir les licences de ses logiciels, il récupère ainsi des données démographiques !!! Notons que l'implémentation de Cydoor dans un logiciel hôte nécessite la totale complicité de l'éditeur du logiciel hôte qui perçoit une rémunération de Cydoor pour « services rendus ». Le composant reste en veille permanente et, à chaque connexion Internet, il envoie vers un serveur toutes les informations collectées puis reçoit un jeu ciblé de publicités, stockées dans C:\Windows\System\adcache\, qui seront affichées même si la connexion Internet est coupée.


Cydoor déclare :

Les publicités sont tirées du cache publicitaire protégé installé sur l'ordinateur de chaque utilisateur, que celui-ci soit on-line ou off-line. Les programmes afficheront continuellement des publicités depuis le cache jusqu'à ce qu'il soit mis à jour, la prochaine fois que l'utilisateur se connectera. Le téléchargement des publicités et les envois de rapports sont transmis au moment venu.


On notera également que Cydoor n'a aucune interface ni aucune interaction avec l'utilisateur lors de l'installation du logiciel hôte, si ce n'est des déclarations comme ci-dessus. Les quelques lignes de Cydoor, qui s'affichent dans l'écran du logiciel installé, sont prises pour l'une des pages d'installation de l'hôte (remarquez le nom de la fenêtre qui est celui de l'hôte) et seront vite oubliées. L'utilisateur ne saura même pas que Cydoor est installé.

D'autre part, comme les clauses sont contractuelles et sont acceptées par l'utilisateur, qui n'a pas le choix, cela permet à Cydoor de se retourner juridiquement contre les antivirus et les anti-spywares afin de les obliger à retirer leurs détections et éradications de Cydoor ! Et Cydoor gagne en justice !


Cydoor - Cette page, qui semble être une page du logiciel installé (ici " Babylon ") titre, charte graphique) n'est pas du logiciel Babylon mais de Cydoor
Cydoor - Cette page, qui semble être une
page du logiciel installé (ici « Babylon »,
titre, charte graphique...) n'est pas du
logiciel Babylon mais de Cydoor.




Lorsqu'il est un composant d'un site web, Cydoor délivre des pop-ups, des bannières ciblées, des bouton cliquable publicitaire et des publicités basées sur la détection (tracking) de mots-clés utilisés par l'internaute. C'est le site lui-même qui le transporte qui est considéré en totalité comme un adware, mais les clauses contractuelles de Cydoor (que les internautes / utilisateurs acceptent toujours sans jamais les lire) font que Cydoor va en justice et gagne toujours en interdisant aux outils anti-adware (incluant les antivirus et tout ce qui bloque les publicités sur le Web) de bloquer l'accès et le comportement de Cydoor.




Vous devez connaître et maîtriser les actions manuelles suivantes :


La désinstallation de l'hôte (le logiciel que vous avez installé et qui embarque Cydoor) ne désinstalle pas la malveillance Cydoor. Vous devez faire tout ceci :

Tuer les processus suivants :

  1. programfilesdir+\imesh\client\cd_install_202.exe
  2. systemroot+\system32\cd_load.exe
  3. systemroot+\system\cd_load.exe
  4. programfilesdir+\grokster\cd_install.exe
  5. systemroot+\temp\adware\cd_install_291.exe01dopewars_update.exe
  6. cydoor.exe
  7. cydoor_uninstall.exe
  8. sahagent.exe
  9. sahdownloader.exe

Rechercher la clé de registre permettant le lancement automatique de Cydoor au démarrage :

  1. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  2. Si la valeur Cydoor s'y trouve, détruire cette valeur (uniquement cette valeur, pas la clé !)
  3. Redémarrer aussitôt

Désenregistrer les dll suivantes :

  1. systemroot+\system32\cd_clint.dll
  2. systemroot+\system32\cd_htm.dll
  3. systemroot+\system\cd_clint.dll
  4. systemroot+\system\cd_gif.dll
  5. systemroot+\system\cd_htm.dll
  6. systemroot+\system\cd_html.dll
  7. systemroot+\system\cd_swf.dll
  8. systemroot+\temp\cd_clint.dll
  9. systemroot+\system32\cd_swf.dll
  10. systemroot+\system32\msg{6ea0f469-dfd6-40fa-8ec0-29c8bf23cf76}0108.dll
  11. systemroot+\system32\gdnp.dll
  12. systemroot+\temporary internet files\content.ie5\kgrv9a5f\cd_htm[1].dll
  13. profilepath+\local settings\temp\cd_clint.dll
  14. systemroot+\system32\adcache\temp\cd_clint.dllcbanner2.dll
  15. gr02.dll
  16. xmltok.dll
  17. netpal.dll
  18. xmlparse.dll
  19. lsp.dll
  20. kernellos.dll
  21. im64.dll

Détruire les clés de registre suivantes :

  1. hkey_current_user\software\cydoor
  2. hkey_current_user\software\cydoor services
  3. hkey_current_user\software\microsoft\windows\currentversion\run\cydoor
  4. hkey_local_machine\software\cydoor
  5. hkey_local_machine\software\microsoft\windows\currentversion\run\cydoor
  6. hkey_local_machine\software\microsoft\windows\currentversion\runonce\cydoorupdate
  7. hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_202
  8. hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_253
  9. hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_270
  10. hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_314
  11. hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_319
  12. hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_336
  13. hkey_users\.default\software\cydoor
  14. hkey_users\.default\software\cydoor
  15. hkey_users\.default\software\cydoor services
  16. hkey_users\.default\software\cydoor services
  17. hkey_users\s-1-5-21-1960408961-1993962763-1343024091-1003\software\cydoor
  18. hkey_users\s-1-5-21-1960408961-1993962763-1343024091-1003\software\cydoor services
  19. hkey_users\s-1-5-21-329068152-1677128483-854245398-500\software\cydoor
  20. hkey_users\s-1-5-21-329068152-1677128483-854245398-500\software\cydoor services
  21. hkey_users\s-1-5-21-725345543-1078145449-1343024091-500\software\cydoor
  22. hkey_users\s-1-5-21-725345543-1078145449-1343024091-500\software\cydoor services
  23. hkey_users\s-1-5-21-796845957-842925246-1060284298-500\software\cydoor
  24. hkey_users\s-1-5-21-796845957-842925246-1060284298-500\software\cydoor services

Détruire les fichiers suivants s'ils existent :

  1. b_197800.swf
  2. cbanner2.dll
  3. cydoor.exe
  4. cydoor_uninstall.exe
  5. gr02.dll
  6. im64.dll
  7. kernellos.dll
  8. lsp.dll
  9. netpal.dll
  10. profilepath+\local settings\temp\cd_clint.dll
  11. programfilesdir+\flashtalk\txt\mictest.rtf
  12. programfilesdir+\flashtalk\txt\voicemessagesettings.rtf01dopewars_update.exe
  13. programfilesdir+\grokster\cd_install.exe
  14. programfilesdir+\imesh\client\cd_install_202.exe
  15. sahagent.exe
  16. sahdownloader.exe
  17. systemroot+\system\cd_clint.dll
  18. systemroot+\system\cd_gif.dll
  19. systemroot+\system\cd_htm.dll
  20. systemroot+\system\cd_html.dll
  21. systemroot+\system\cd_load.exe
  22. systemroot+\system\cd_swf.dll
  23. systemroot+\system32\adcache\temp\cd_clint.dll
  24. systemroot+\system32\cd_clint.dll
  25. systemroot+\system32\cd_htm.dll
  26. systemroot+\system32\cd_load.exe
  27. systemroot+\system32\cd_swf.dll
  28. systemroot+\system32\gdnp.dll
  29. systemroot+\system32\msg{6ea0f469-dfd6-40fa-8ec0-29c8bf23cf76}0108.dll
  30. systemroot+\temp\adware\cd_install_291.exe
  31. systemroot+\temp\cd_clint.dll
  32. systemroot+\temporary internet files\content.ie5\kgrv9a5f\cd_htm[1].dll
  33. thumbs.db
  34. v.dat
  35. vg.dat
  36. xmlparse.dll
  37. xmltok.dll

Détruire tout les fichiers contenus dans le répertoire :

  1. systemroot+\system32\adcache ou dans le répertoire
  2. systemroot+\system\adcache
  3. qui contient des pages publicitaires pré-chargées : les fichiers ont une syntaxe de la forme:
  4. systemroot+\system32\adcache\b_500600.htm

Détruire les répertoires suivants et tout ce qui pourrait subsister dedans :

  1. systemroot+\system32\adcache
  2. systemroot+\system\adcache
  3. programfilesdir+\toolbar
  4. programfilesdir+\eudora\qualcomm2\eudora\eudpriv\ads\adcache
  5. programfilesdir+\eudora\qualcomm\eudora\eudpriv\ads\adcache
  6. d:\windows\system32\adcache
  7. systemroot+\system32\adcache\temp

Détruire la clé de registre :

  1. HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce\cydoorupdate

Redémarrer aussitôt et s'assurer que tous les objets vus précédemment ne reviennent pas.


Toujours exécuter l'intégralité de « La Manip » après cette désinfection.




Impossible : il n'y a pas de procédure de désinstallation fournie par l'éditeur de Cydoor.




  1. SpyBot Search and Destroy
  2. PestPatrol
  3. Ne pas utiliser Ad-aware incapable d'implanter le dummy de CD_CLINT.DLL.
  4. Toujours éxécuter l'intégralité de « La Manip » après cette désinfection.
  5. Décontamination anti malwares




Plantage de certains logiciels « sponsorisés » si le parasite a été éradiqué au lieu d'être remplacé par un leurre (un dummy).

  • Plantage de certains logiciels « sponsorisés » si le parasite a été éradiqué au lieu d'être remplacé par un leurre (un dummy).

  • Lorsque le composant Cydoor, cd_clint.dll, est éradiqué par un outil anti-spyware, le logiciel hôte ne fonctionne plus, raison pour laquelle certains éradiqueurs intelligents le remplacent par un leurre inactivé développé par cexx.org. C'est ce qu'a également fait KaZaA Lite dans son hack de KaZaA.

  • Ad-aware présente 2 défauts :

    1. Il éradique complètement Cydoor, rendant le logiciel hôte inutilisable.
    2. Il se plante lamentablement en présence du leurre (dummy) inactivé qu'il ne détecte pas comme tel et l'éradique aussi !
  • SpyBot Search and Destroy est plus intelligent et remplace Cydoor (cd_clint.dll), lorsqu'il le trouve, par le leurre inactivé de cexx.org, permettant ainsi à l'hôte de continuer à fonctionner.




Hosts - Qu'est-ce que c'est?

127.0.0.1 bannerserver.gator.com
127.0.0.1 beasley.gator.com
127.0.0.1 bg.gator.com
127.0.0.1 bi.gator.com
127.0.0.1 coupons.gator.com
127.0.0.1 dns.gator.com
127.0.0.1 dns2.gator.com
127.0.0.1 gator.co.uk
127.0.0.1 gator.com
127.0.0.1 gator.net
127.0.0.1 gator29.gator.com
127.0.0.1 gatoradvertisinginformationnetwork.com
127.0.0.1 gatorcme.gator.com
127.0.0.1 gatorcorporation.com
127.0.0.1 gi.gator.com
127.0.0.1 gs.gator.com
127.0.0.1 gw-rwc.gator.com
127.0.0.1 images.gator.com
127.0.0.1 map.gator.com
127.0.0.1 outsidedns.gator.com
127.0.0.1 pricecomparison.gator.com
127.0.0.1 rs.gator.com
127.0.0.1 scriptserver.gator.com
127.0.0.1 search.gator.com
127.0.0.1 ss.gator.com
127.0.0.1 ssbackup.gator.com
127.0.0.1 trickle.gator.com
127.0.0.1 ts.gator.com
127.0.0.1 updateserver.gator.com
127.0.0.1 wb.gator.com
127.0.0.1 webpdp.gator.com
127.0.0.1 www.gator.co.uk
127.0.0.1 www.gator.com
127.0.0.1 www.gator.net
127.0.0.1 www.gatoradvertisinginformationnetwork.com
127.0.0.1 www.gatorcorporation.com
127.0.0.1 www.bannerserver.gator.com
127.0.0.1 www.beasley.gator.com
127.0.0.1 www.bg.gator.com
127.0.0.1 www.bi.gator.com
127.0.0.1 www.coupons.gator.com
127.0.0.1 www.dns.gator.com
127.0.0.1 www.dns2.gator.com
127.0.0.1 www.gator.co.uk
127.0.0.1 www.gator.com
127.0.0.1 www.gator.net
127.0.0.1 www.gator29.gator.com
127.0.0.1 www.gatoradvertisinginformationnetwork.com
127.0.0.1 www.gatorcme.gator.com
127.0.0.1 www.gatorcorporation.com
127.0.0.1 www.gi.gator.com
127.0.0.1 www.gs.gator.com
127.0.0.1 www.gw-rwc.gator.com
127.0.0.1 www.images.gator.com
127.0.0.1 www.map.gator.com
127.0.0.1 www.outsidedns.gator.com
127.0.0.1 www.pricecomparison.gator.com
127.0.0.1 www.rs.gator.com
127.0.0.1 www.scriptserver.gator.com
127.0.0.1 www.search.gator.com
127.0.0.1 www.ss.gator.com
127.0.0.1 www.ssbackup.gator.com
127.0.0.1 www.trickle.gator.com
127.0.0.1 www.ts.gator.com
127.0.0.1 www.updateserver.gator.com
127.0.0.1 www.wb.gator.com
127.0.0.1 www.webpdp.gator.com

Suggestion d'IPs de serveurs à bloquer
Par exemple en utilisant PeerGuardian.

Cookies à éradiquer utilisés par ce parasite

Liens, sources et ressources
Pour rédiger cette fiche, les sites suivants ont été consultés

and.doxdesk.com
PestPatrol
https://www.journaldunet.com/printer/020722gator.shtml Pop-ups sauvages : Gator perd un premier round
Web surfers brace for pop-up downloads Cnet-News 08 04 02
Software replaces banner ads on top sites Cnet-News 17 08 01
Gator rushes to court over ad technology Cnet-News 28 04 01
Les nouveaux prédateurs du marketing direct 01net. 10.08.01
Gator sera-t-il le fossoyeur de la publicité en ligne ? 01net. 20.08.01
Gator bientôt devant la justice ? 01net. 22.08.01
Accord à l'amiable entre Gator et la presse en ligne américaine 01net. 10.02.03
Claria, la nouvelle couverture des espions de Gator 01net. 30.10.03
Documentation of Gator Advertisements and Targeting


Porter plainte
Portez plainte iciO.C.L.C.T.I.C
MINISTERE DE L'INTERIEUR
Direction Centrale de la Police Judiciaire
Sous-Direction des Affaires Economiques et Financières
8, rue de Penthièvre
75008 PARIS
Tel : 01.49.27.49.27
Télécopie : 01.40.97.88.59
oclctic@interieur.gouv.fr.




Par exemple en utilisant PeerGuardian.




?