Assiste.com
cr 09.11.2003 r+ 22.10.2024 r- 22.10.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
Dossier (collection) : Encyclopédie |
---|
Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
Sommaire (montrer / masquer) |
---|
Introduction à cet artocle :
Cydoor (article du 09.11.2003 - archive d'Assiste.com). Cydoor est exemplaire de la fourberie, la perversité et l'intelligence malveillante que peuvent déployer les cybercriminels sur le Web. Cydoor était un adware et spyware, comme il en existe des millions, infestant déjà, à l'écriture de cet article, 55 millions d'ordinateurs et progressant de 300.000 nouveaux ordinateurs infestés par jour. Cydoor diffusait des billions de publicités par mois. Il utilisait des applications légitimes, avec lesquelles il passait des accords, en cheval de Troie (Trojan) transportant et implantant ses malveillances dans chaque appareil pénétré, avec un mécanisme rendant impossible sa suppression sans rendre inutilisables les applications légitimes. Cydoor fut un cauchemar et les procédures pour l'éradiquer furent cauchemardesques.
Cydoor est l'archétype du comportement intrusif et des mécanismes publicitaires sur le Web. Cet article a été écrit le 9.11.2003 et est conservé en tant que modèle descriptif des mécanismes intrusifs de la publicité, pourtant le modèle économique d'un Web gratuit. Certains acteurs sont sans aucun scrupule dans un monde numérique que nous voudrions vertueux. Cydoor est un adware et spyware au comportement cybercriminel infestant 55 millions d'ordinateurs à la date d'écriture de cet article et progressant, à cette même date, de 300.000 nouveaux ordinateurs infestés par jour. Cydoor a, à cette période, diffusé des billions de publicités par mois (selon lui).
|
Nom
Cydoor
Autres noms
Cydoor Desktop Media, Cydoor Solutions, iSkins™ Technology, cd_clint.dll, cd_load.exe
Description résumée
Cydoor est un adware et d'un spyware. Cydoor revendique 55 millions d'ordinateurs pollués par sa technologie et 300.000 nouveaux ordinateurs par jour sont infectés par ses outils grâce auxquels il annonce fièrement diffuser plusieurs billions de publicités par mois dans le monde.
Variantes
cd_clint.dll, cd_clint.exe est la tâche active on-line.
cd_load.dll, cd_load.exe est la tâche active off-line;
Éditeur
Cydoor (une société israélienne).
|
# | Diffuse des publicités | Violation de la vie privée | Introduit une faille de sécurité | Introduit une instabilité du système |
---|---|---|---|---|
Publicité :
Oui. Cydoor affiche plusieurs billions de publicités par mois dans le monde entier.
Violation de la vie privée :
Oui. Cydoor collecte des données de tracking et des données démographiques (sur leur page Privacy : genre, âge, centres d'intérêt, statut marital, salaire, code postal, pays, niveau d'éducation...). Cydoor utilise un GUID. Cydoor transmet également des données statistiques sur l'usage de ses publicités (nombre de fois vues, nombre de clicks, etc.).
Introduit une faille de sécurité :
Oui. Cydoor comporte un dispositif de téléchargement (download) de mises à jour donc Cydoor peut télécharger sur nos ordinateurs n'importe quel type de code invérifiable et l'exécuter. Cydoor comporte également un dispositif de téléchargement (download) de publicités à diffuser lorsque la connexion Internet est coupée.
Introduit une instabilité du système :
Oui. De nombreux rapports font état d'instabilités dues à Cydoor et causant des erreurs dans Windows XP.
Cydoor est essentiellement distribué en « bundle » (en produit joint à un autre) avec opt-in ou opt-out dans plus de 2.000 logiciels de type freeware (gratuits) qui acceptent d'intégrer Cydoor et de faire remonter de l'information démographique (de l'espionnage) de leurs utilisateurs vers Cydoor. On le trouve, par exemple, dans les logiciels Babylon, iMesh, ComTry MP3 Downloader, KaZaA, LimeWire, Grokster, Rosoft CD Extractor, Rosoft Audio Recorder, eXeem... La manière dont Cydoor est déployé relève du sponsoring et la technique utilisée est celle des Chevaux de Troie. Les 2000 logiciels gratuits embarquant Cydoor se comportent très exactement comme des Chevaux de Troie, dans l'acception la plus formelle du terme, embarquant une charge active : Cydoor. Lorsque le Cheval de Troie est désinstallé, la charge active (Cydoor) qu'il a lâchée continue de fonctionner normalement. Lorsque Cydoor est éradiqué, le logiciel qui a servi de Cheval de Troie et a lâché sa charge active, est devenu propre et continue de fonctionner normalement.
|
Lorsqu'il est livré en bundle avec un autre produit logiciel (accord avec l'éditeur de cet autre logiciel), Cydoor se sert de la fenêtre même du produit logiciel comme d'une fenêtre d'un navigateur Web, pour afficher des publicités, y compris lorsque vous êtes hors connexion. Cydoor déclare froidement que les utilisateurs d'un ordinateur utilisent plus souvent leurs logiciels que leur navigateur Web et donc que les pubs dans les logiciels qu'ils utilisent on plus d'impact, attire plus l'attention, et sont vues plus souvent. Cydoor ajoute, en plein texte (et en anglais), sur son site, que, puisque l'utilisateur doit s'identifier pour obtenir les licences de ses logiciels, il récupère ainsi des données démographiques !!! Notons que l'implémentation de Cydoor dans un logiciel hôte nécessite la totale complicité de l'éditeur du logiciel hôte qui perçoit une rémunération de Cydoor pour « services rendus ». Le composant reste en veille permanente et, à chaque connexion Internet, il envoie vers un serveur toutes les informations collectées puis reçoit un jeu ciblé de publicités, stockées dans C:\Windows\System\adcache\, qui seront affichées même si la connexion Internet est coupée.
Les publicités sont tirées du cache publicitaire protégé installé sur l'ordinateur de chaque utilisateur, que celui-ci soit on-line ou off-line. Les programmes afficheront continuellement des publicités depuis le cache jusqu'à ce qu'il soit mis à jour, la prochaine fois que l'utilisateur se connectera. Le téléchargement des publicités et les envois de rapports sont transmis au moment venu.
On notera également que Cydoor n'a aucune interface ni aucune interaction avec l'utilisateur lors de l'installation du logiciel hôte, si ce n'est des déclarations comme ci-dessus. Les quelques lignes de Cydoor, qui s'affichent dans l'écran du logiciel installé, sont prises pour l'une des pages d'installation de l'hôte (remarquez le nom de la fenêtre qui est celui de l'hôte) et seront vite oubliées. L'utilisateur ne saura même pas que Cydoor est installé.
D'autre part, comme les clauses sont contractuelles et sont acceptées par l'utilisateur, qui n'a pas le choix, cela permet à Cydoor de se retourner juridiquement contre les antivirus et les anti-spywares afin de les obliger à retirer leurs détections et éradications de Cydoor ! Et Cydoor gagne en justice !
|
Lorsqu'il est un composant d'un site web, Cydoor délivre des pop-ups, des bannières ciblées, des bouton cliquable publicitaire et des publicités basées sur la détection (tracking) de mots-clés utilisés par l'internaute. C'est le site lui-même qui le transporte qui est considéré en totalité comme un adware, mais les clauses contractuelles de Cydoor (que les internautes / utilisateurs acceptent toujours sans jamais les lire) font que Cydoor va en justice et gagne toujours en interdisant aux outils anti-adware (incluant les antivirus et tout ce qui bloque les publicités sur le Web) de bloquer l'accès et le comportement de Cydoor.
|
Vous devez connaître et maîtriser les actions manuelles suivantes :
La désinstallation de l'hôte (le logiciel que vous avez installé et qui embarque Cydoor) ne désinstalle pas la malveillance Cydoor. Vous devez faire tout ceci :
Tuer les processus suivants :
Rechercher la clé de registre permettant le lancement automatique de Cydoor au démarrage :
Désenregistrer les dll suivantes :
Détruire les clés de registre suivantes :
Détruire les fichiers suivants s'ils existent :
Détruire tout les fichiers contenus dans le répertoire :
Détruire les répertoires suivants et tout ce qui pourrait subsister dedans :
Détruire la clé de registre :
Redémarrer aussitôt et s'assurer que tous les objets vus précédemment ne reviennent pas.
Toujours exécuter l'intégralité de « La Manip » après cette désinfection.
|
Impossible : il n'y a pas de procédure de désinstallation fournie par l'éditeur de Cydoor.
|
Plantage de certains logiciels « sponsorisés » si le parasite a été éradiqué au lieu d'être remplacé par un leurre (un dummy).
Plantage de certains logiciels « sponsorisés » si le parasite a été éradiqué au lieu d'être remplacé par un leurre (un dummy).
Lorsque le composant Cydoor, cd_clint.dll, est éradiqué par un outil anti-spyware, le logiciel hôte ne fonctionne plus, raison pour laquelle certains éradiqueurs intelligents le remplacent par un leurre inactivé développé par cexx.org. C'est ce qu'a également fait KaZaA Lite dans son hack de KaZaA.
Ad-aware présente 2 défauts :
SpyBot Search and Destroy est plus intelligent et remplace Cydoor (cd_clint.dll), lorsqu'il le trouve, par le leurre inactivé de cexx.org, permettant ainsi à l'hôte de continuer à fonctionner.
Hosts - Qu'est-ce que c'est?
127.0.0.1 bannerserver.gator.com
127.0.0.1 beasley.gator.com
127.0.0.1 bg.gator.com
127.0.0.1 bi.gator.com
127.0.0.1 coupons.gator.com
127.0.0.1 dns.gator.com
127.0.0.1 dns2.gator.com
127.0.0.1 gator.co.uk
127.0.0.1 gator.com
127.0.0.1 gator.net
127.0.0.1 gator29.gator.com
127.0.0.1 gatoradvertisinginformationnetwork.com
127.0.0.1 gatorcme.gator.com
127.0.0.1 gatorcorporation.com
127.0.0.1 gi.gator.com
127.0.0.1 gs.gator.com
127.0.0.1 gw-rwc.gator.com
127.0.0.1 images.gator.com
127.0.0.1 map.gator.com
127.0.0.1 outsidedns.gator.com
127.0.0.1 pricecomparison.gator.com
127.0.0.1 rs.gator.com
127.0.0.1 scriptserver.gator.com
127.0.0.1 search.gator.com
127.0.0.1 ss.gator.com
127.0.0.1 ssbackup.gator.com
127.0.0.1 trickle.gator.com
127.0.0.1 ts.gator.com
127.0.0.1 updateserver.gator.com
127.0.0.1 wb.gator.com
127.0.0.1 webpdp.gator.com
127.0.0.1 www.gator.co.uk
127.0.0.1 www.gator.com
127.0.0.1 www.gator.net
127.0.0.1 www.gatoradvertisinginformationnetwork.com
127.0.0.1 www.gatorcorporation.com
127.0.0.1 www.bannerserver.gator.com
127.0.0.1 www.beasley.gator.com
127.0.0.1 www.bg.gator.com
127.0.0.1 www.bi.gator.com
127.0.0.1 www.coupons.gator.com
127.0.0.1 www.dns.gator.com
127.0.0.1 www.dns2.gator.com
127.0.0.1 www.gator.co.uk
127.0.0.1 www.gator.com
127.0.0.1 www.gator.net
127.0.0.1 www.gator29.gator.com
127.0.0.1 www.gatoradvertisinginformationnetwork.com
127.0.0.1 www.gatorcme.gator.com
127.0.0.1 www.gatorcorporation.com
127.0.0.1 www.gi.gator.com
127.0.0.1 www.gs.gator.com
127.0.0.1 www.gw-rwc.gator.com
127.0.0.1 www.images.gator.com
127.0.0.1 www.map.gator.com
127.0.0.1 www.outsidedns.gator.com
127.0.0.1 www.pricecomparison.gator.com
127.0.0.1 www.rs.gator.com
127.0.0.1 www.scriptserver.gator.com
127.0.0.1 www.search.gator.com
127.0.0.1 www.ss.gator.com
127.0.0.1 www.ssbackup.gator.com
127.0.0.1 www.trickle.gator.com
127.0.0.1 www.ts.gator.com
127.0.0.1 www.updateserver.gator.com
127.0.0.1 www.wb.gator.com
127.0.0.1 www.webpdp.gator.com
Suggestion d'IPs de serveurs à bloquer
Par exemple en utilisant PeerGuardian.
Cookies à éradiquer utilisés par ce parasite
Liens, sources et ressources
Pour rédiger cette fiche, les sites suivants ont été consultés
and.doxdesk.com
PestPatrol
https://www.journaldunet.com/printer/020722gator.shtml Pop-ups sauvages : Gator perd un premier round
Web surfers brace for pop-up downloads Cnet-News 08 04 02
Software replaces banner ads on top sites Cnet-News 17 08 01
Gator rushes to court over ad technology Cnet-News 28 04 01
Les nouveaux prédateurs du marketing direct 01net. 10.08.01
Gator sera-t-il le fossoyeur de la publicité en ligne ? 01net. 20.08.01
Gator bientôt devant la justice ? 01net. 22.08.01
Accord à l'amiable entre Gator et la presse en ligne américaine 01net. 10.02.03
Claria, la nouvelle couverture des espions de Gator 01net. 30.10.03
Documentation of Gator Advertisements and Targeting
Porter plainte
Portez plainte iciO.C.L.C.T.I.C
MINISTERE DE L'INTERIEUR
Direction Centrale de la Police Judiciaire
Sous-Direction des Affaires Economiques et Financières
8, rue de Penthièvre
75008 PARIS
Tel : 01.49.27.49.27
Télécopie : 01.40.97.88.59
oclctic@interieur.gouv.fr.
Par exemple en utilisant PeerGuardian.
?
Journal du Net : Pop-ups sauvages : Gator perd un premier round
Software replaces banner ads on top sites Cnet-News 17 08 01
Gator sera-t-il le fossoyeur de la publicité en ligne ? 01net. 20.08.01
Accord à l'amiable entre Gator et la presse en ligne américaine 01net. 10.02.03
Claria, la nouvelle couverture des espions de Gator 01net. 30.10.03
Les encyclopédies |
---|