Flux RSS - La vie du site - Nouveautés et mises à jour

Alertes failles
de sécurité et
de mises à jour

Contribuer - Questionner
Recherches dans le forum
Faire un lien

Assiste.com

CoolWebSearch

CoolWebSearch est un hijacker et un scumware (publicité intrusive de type Smart Links) de la société eZula (dito TopText)

29.11.2023 : Pierre Pinard.

Dossier (collection) : Encyclopédie
Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender)

Sommaire (montrer / masquer)
01 CoolWebSearch (Coolwebsearch.com) Mesures curatives Autour de ce sujet dans Assiste FAQ

CoolWebSearch (Coolwebsearch.com)

N'existe plus - Archives d'Assiste.com

CoolWebSearch fut un hijacker furieux et un pratiquant agressif de la Publicité intrusive.

CoolWebSearch - CWS
Publicité intrusive de CoolWebSearch recouvrant la totalité de la fenêtre et dirigeant vers
des sites affiliés à CoolWebSearch, avec, en plus, un alerte mensongère.

Alias :

CoolWebSearch
Ces alias sont ceux donnés par divers antivirus

Win32.Startpage.C
Trojan.Win32.StartPage.d
Trojan:Win32/StartPage.C
Troj/StartPageD
W32/Linkadd.A (Norman)
JS.CSSPopup.B
JScript/IEstart.Trojan
Win32/IEstart.Trojan
SPYW_COOLWEB.A
Exploit-ByteVerify
Java/Shinwow.F.Blackbox.Trojan
JS.Exception.Exploit
Trojan.Bootconf
Trojan.Qhosts.A
Trojan.Qhosts.B
JAVA_BYTEVER.A
JS_FORTNIGHT.B
JAVA_JJBLACK.C
Trojan.ByteVerify

De très nombreuses variantes sont identifiées

CWS.Aboutblank
CWS.AddClass
CWS.Aff.IEDLL (mutant CWS.Aff.iedll.2)
CWS.Aff.MadFinder
CWS.Aff.Tooncomics (mutant CWS.Aff.Tooncomics.2)
CWS.Aff.WinShow (mutants CWS.Aff.Winshow.2; CWS.Aff.Winshow.3; CWS.Aff.Winshow.4; CWS.Aff.Winshow.5; CWS.Aff.Winshow.6)
CWS.AlFaSearch (mutants CWS.AlFaSearch.2; CWS.AlFaSearch.3)
CWS.Bootconf
CWS.Control (mutants CWS.Control.2; CWS.Control.3)
CWS.Ctfmon32
CWS.DataNotary
CWS.DnsRelay (mutants CWS.DnsRelay.2; CWS.DnsRelay.3; CWS.DnsRelay.4)
CWS.DReplace (mutant CWS.DReplace .2)
CWS.Gonnasearch
CWS.GoogleMS (mutants CWS.GoogleMS.2; CWS.GoogleMS.3; CWS.GoogleMS.4)
CWS.IEFeats
CWS.LoadBAT
CWS.Msconfd (mutants CWS.Msconfd.2; CWS.Msconfd.3)
CWS.Msconfig
CWS.MSInfo
CWS.MSOffice (mutants CWS.MSOffice.2; CWS.MSOffice.3)
CWS.Msspi
CWS.MUpdate
CWS.OEMSysPNP (mutants CWS.Oemsyspnp.2; CWS.Oemsyspnp.3)
CWS.Olehelp
CWS.OSLogo
CWS.QTTasks
CWS.Realyellowpage
CWS.Searchx
CWS.Smartfinder
CWS.SmartSearch (mutants CWS.SmartSearch.2; CWS.SmartSearch.3; CWS.SmartSearch.4)
CWS.Sounddrv
CWS.Svchost32
CWS.Svcinit (mutants CWS.Svcinit.2; CWS.Svcinit.3; CWS.Svcinit.4)
CWS.Systeminit
CWS.TapiCFG (mutant CWS.TapiCFG.2)
CWS.TheRealSearch (mutant CWS.Therealsearch.2)
CWS.Vrape
CWS.Winproc32
CWS.Winres
CWS.Xmlmimefilter
CWS.XPlugin
CWS.Xxxvideo
CWS.yexe (mutant CWS.yexe.2)

Variantes trouvées sur des sites d'affiliés

CWS.Aff.iedll (mutant CWS.Aff.iedll.2)
CWS.Aff.Winshow (mutants CWS.Aff.Winshow.2; CWS.Aff.Winshow.3; CWS.Aff.Winshow.4; CWS.Aff.Winshow.5; CWS.Aff.Winshow.6)
CWS.Aff.Madfinder
CWS.Aff.Tooncomics (mutant CWS.Aff.Tooncomics.2)

Classes :

Adware, Spyware, Hijacker, Bho

Risque :

Ces hijackers sont horripilants et constituent, dans certaines variantes, un cauchemar à éradiquer. Nous sommes, en sus, menacé par les autres parasites conduits par CoolWebSearch (exploitant des failles de sécurité), en cascade, dans des pratiques de type Drive-by Download. Une explosion de sites piégés, développés par les cybercriminels derrière CoolwebSearch, a envahi le Net (cybersquatting - spamdexing) et déploie ce hijacker. Nous ne sommes pas à l'abri d'autres cybercriminalités qui seraient déployées sur ces mêmes sites piégés ou sur les domaines vers lesquels nous sommes redirigés sans notre consentement). Certains hijackers de la famille CoolWebSearch constituent de véritables cauchemars à éradiquer. Certaines techniques d'installations et de camouflage sont complètement novatrices et n'ont jamais été vues ailleurs.

Editeur :

Un gang maffieux, Coolwebsearch.com, agissant dans l'e-commerce et la pornographie.

Découverte :

La première variante fut identifiée le 27 mai 2003 (CWS.Datanotary)

Installation :

CoolWebSearch est un nom générique donné à tout un éventail de hijackers. Bien que le code soit très différent d'une variante à l'autre, ils ont tous la caractéristique commune de rediriger les internautes vers le site Coolwebsearch.com ou vers des milliers de sites qui lui sont affiliés.

Son installation exploite 2 failles de sécurité de la machine virtuelle Java de Microsoft (failles dont les correctifs ont été publiés de longue date (en 2000 et 2003), mais que les utilisateurs, laxistes, n'appliquent pas !) :

La vulnérabilité ByteCodeVerifier dont le patch est pourtant disponible. Lire "ByteVerify exploit in the MS Java VM" dans le MS-security bulletin 03-011. Lire également Java.Shinwow.

Vulnérabilité ByteCodeVerifier
This is a growing family of trojans that exploits the ByteCodeVerifier vulnerability in the Microsoft Virtual Machine to execute unauthorized code on an affected machine.
The variants of this trojan that we have seen in the wild have been functionally diverse; the common factor amongst them has been the use of the ByteVerify exploit to achieve their goals. Some variants may do little more than change the user's default Internet Explorer home page and/or search page via modifications to the registry.
La vulnérabilité JS.Exception.Exploit (cas de la variante "Search-meta", par exemple) dont le patch est pourtant disponible depuis l'an 2000 avec le MS security bulletin 00-075.

D'une manière générale, une bonne idée est de toujours maintenir votre système à jour avec la Procédure périodique d'entretien d'un ordinateur sous Windows.

CoolWebSearch change la page de démarrage d'Internet Explorer ainsi que la page de recherches, la barre de recherches, etc. ... Si les patchs avaient été appliqués ou si la machine virtuelle Java de Microsoft avait été remplacée par celle, plus fiable, de Sun, le créateur de Java, l'infestation n'aurait pas eu lieu.

Les nouvelles variantes sortent à un rythme soutenu (1 par semaine !) et sont de plus en plus difficiles à éradiquer, voire impossibles. Quelques variantes utilisent même des méthodes de camouflage et d'exécution jamais vues.

Si vous désirez conserver la machine virtuelle Java de Microsoft, vous devez impérativement installer le patch MS03-011. Si vous avez Windows XP (Home ou Pro) avec le Service Pack 1a, vous n'avez plus la machine virtuelle Java de Microsoft : ce dernier, suite à une décision de justice définitive, est enfin obligé d'arrêter de plagier et dégrader la technologie de la société SUN Microsystem.

Pour plus d'informations et pour supprimer totalement la machine virtuelle JAVA de Microsoft et la remplacer par celle de SUN, lire les pages :

Java
Anti-Java de Microsoft : comment désinstaller MS-JVM, installer SUN-JVM ou utiliser les deux JVM.

Nota : Les variantes dites "Affiliate variants" ne sont pas en relation directe avec CWS mais ont été vu ensembles très souvent.

Affectés :

Tous les systèmes Windows utilisant la machine virtuelle Java de Microsoft. Celle-ci contient plusieurs failles de sécurité dont une, appelée "ByteVerify", est massivement utilisée par la famille de Hijackers CoolWebSearch.

Epargnés :

Les systèmes d'exploitation DOS, Linux, OS/2, UNIX

Activité :

Son but est de vous diriger, sans arrêt, vers son portail marchand, l'un de ses innombrables miroirs ou l'un de ses affiliés auprès duquel il touche une comission sur les ventes réalisées grâce à son détournement.

D'une manière ou d'une autre vous êtes redirigés vers des sites non sollicités, des produits ou services non sollicités, etc. ... Plusieurs variantes sont totalement dédiées pornographie, ce pan d'Internet étant le plus rémunérateur (certains annoncent que la pornographie pourrait représenter 25% du marché économique sur le Net).

L'une des manières de vous rediriger utilisée par CoolWebSearch est l'usage de publicités intrusives avec la technologie des Smart Links (In-Text Ads).

Nota :
Certaines variantes classées " CoolWebSearch " sont des utilisations de la technologie CoolWebSearch, détournées par des copieurs, pour et par des réseaux marchands autres que CoolWebSearch (cybercriminels concurents de CoolWebSearch).

Vie privée :

Faille :

Ces parasites ont pu s'installer sans notre permission, sans nous en avertir, sans que nous sachions ce qu'ils font et sans que nous puissions nous y opposer. Ils ont une capacité d'auto mise à jour et donc d'exécuter sans notre accord et sans que nous en ayons connaissance, du code non vérifié et non vérifiable.

L'une des variantes se "protège" en bloquant l'accès à de très nombreux sites et utilitaires de sécurité (antivirus, anti-trojans...) dont, introduite secrètement dans votre fichier hosts, la liste des sites suivants qui deviennent inaccessibles :

127.0.0.2 auditmypc.com
127.0.0.3 boards.cexx.org
127.0.0.4 bulletproofsoft.net
127.0.0.5 camtech2000.net
127.0.0.6 cexx.org
127.0.0.7 computercops.us
127.0.0.8 ct7support.com
127.0.0.9 doxdesk.com
127.0.0.20 kellys-korner-xp.com
127.0.0.21 kephyr.com
127.0.0.22 lavasoft.de
127.0.0.23 lavasoftusa.com
127.0.0.24 lurkhere.com
127.0.0.25 majorgeeks.com
127.0.0.26 merijn.org
127.0.0.27 mjc1.com
127.0.0.28 moosoft.com
127.0.0.29 mvps.org
127.0.0.30 net-integration.net
127.0.0.31 noadware.net
127.0.0.32 no-spybot.com
127.0.0.33 onlinepcfix.com
127.0.0.34 pchell.com
127.0.0.35 pestpatrol.com
127.0.0.36 safer-networking.org
127.0.0.37 secure.spykiller.com
127.0.0.38 secureie.com
127.0.0.39 security.kolla.de
127.0.0.40 spybot.info
127.0.0.41 spychecker.com
127.0.0.42 spychecker.com
127.0.0.43 spycop.com
127.0.0.44 spyguard.com
127.0.0.45 spykiller.com
127.0.0.46 spyware.co.uk
127.0.0.47 spyware-cop.com
127.0.0.48 spywareinfo.com
127.0.0.49 spywarenuker.com
127.0.0.50 spywareremove.com
127.0.0.51 spywareremove.com
127.0.0.52 stopzillapro.com
127.0.0.53 sunbelt-software.com
127.0.0.54 thiefware.com
127.0.0.55 tomcoyote.org
127.0.0.56 unwantedlinks.com
127.0.0.57 webattack.com
127.0.0.58 wilders.org
127.0.0.59 www.auditmypc.com
127.0.0.60 www.bulletproofsoft.net
127.0.0.61 www.cexx.org
127.0.0.62 www.computercops.us
127.0.0.63 www.ct7support.com
127.0.0.64 www.doxdesk.com
127.0.0.65 www.eblocs.com
127.0.0.66 www.enigmasoftwaregroup.com
127.0.0.67 www.free-spyware-scan.com
127.0.0.68 www.free-web-browsers.com
127.0.0.69 www.grc.com
127.0.0.70 www.grisoft.com
127.0.0.71 www.hackfaq.org
127.0.0.72 www.hazeleger.net
127.0.0.73 www.javacoolsoftware.com
127.0.0.74 www.kellys-korner-xp.com
127.0.0.75 www.kephyr.com
127.0.0.76 www.lavasoft.de
127.0.0.77 www.lavasoftusa.com
127.0.0.78 www.lurkhere.com
127.0.0.79 www.majorgeeks.com
127.0.0.80 www.merijn.org
127.0.0.81 www.mjc1.com
127.0.0.82 www.moosoft.com
127.0.0.83 www.mvps.org
127.0.0.84 www.net-integration.net
127.0.0.85 www.noadware.net
127.0.0.86 www.no-spybot.com
127.0.0.87 www.onlinepcfix.com
127.0.0.88 www.pchell.com
127.0.0.89 www.pestpatrol.com
127.0.0.90 www.safer-networking.org
127.0.0.91 www.secureie.com
127.0.0.92 www.security.kolla.de
127.0.0.93 www.spybot.info
127.0.0.94 www.spychecker.com
127.0.0.95 www.spychecker.com
127.0.0.96 www.spycop.com
127.0.0.97 www.spyguard.com
127.0.0.98 www.spykiller.com
127.0.0.99 www.spyware.co.uk

Instabilité :

Plusieurs variantes rendent le système instable, ralentissent dramatiquement le fonctionnement d'Internet Explorer, se plantent etc. ...

Conséquences :

Aucune conséquence néfaste à l'éradication de cette infamie.

Précautions :

Sauvegarde de la base de registre
Désactiver les points de restauration
Redémarrer en mode sans échec

Eradication automatique

La première chose à faire, contre une variante de CollWebSearch, est d'exécuter CWShredder de Merijn Bellekom. Cet utilitaire gratuit est totalement et exclusivement dédié à l'éradication de toutes les variantes de CoolWebSearch. Aucun antivirus et aucun anti-trojans ne parvient à faire ce que fait CWShredder. Notez que les mises à jour de CWShredder sont très fréquentes : si votre copie de CWShredder a plus d'une semaine, elle est probablement déjà périmée.

Scan avec votre antivirus
Si vous avez un antivirus, utilisez-le, sinon télécharger BitDefender Pro ou Kaspersky AVP maintenant. Le scan doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, avec un paramétrage de votre antivirus tel que tous les types de fichiers sont scannés (y compris les fichiers compressés (archives .zip, .rar, .cab etc. ...)). Scanner et détruire tous les fichiers trouvés. Les antivirus ne sont pas des anti-trojans et n'arrivent pas à éradiquer complètement les parasites non viraux dont ils s'occupent. Une intervention manuelle est souvent nécessaire. S'assurer d'avoir un antivirus paramétré à son maximum puis lancer l'analyse.

Analyse avec votre anti-trojan
Si vous avez un anti-trojan, utilisez-le, sinon téléchargez PestPatrol ou a² personnal ou The Cleaner Pro ou Tauscan maintenant. Le scan doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, et avec les réglages poussés au maximum (voir mode d'emploi de PestPatrol en français). Scanner et détruire tous les objets malicieux trouvés. En version d'essai, illimitée dans le temps et autorisant les mises à jour, PestPatrol effectue seulement la détection complète mais pas l'éradication. A charge pour vous de faire l'éradication à la main.

Eradication manuelle

Eradication manuelle
Les fiches individuelles de chaque variante vous donnent les noms des clés et fichiers à éradiquer mais il est de loin préférable d'utiliser CWShredder.
L'incrustation profonde de certaines variantes est tellement cauchemardesque qu'il est alors utile d'exécuter pas à pas et intégralement notre procédure curative et préventive contre les attaques de Boot (et autres formes d'attaques) : La Manip.

Variantes CWS
Ordre chronologique de découverte

Variantes CWS
Ordre alphabétique

CWS Variants.

Affiliate variants:

CWS Variants.

Affiliate variants:

Ressources

Ressources
Des informations complémentaires peuvent être trouvées sur ces pages

Annonce

Mesures curatives

Facile à éradiquer avec la Procédure gratuite de décontamination anti-malwares, anti-crapwares, anti-adwares.

Publicité intrusive - Contre-mesures

Autour de ce sujet dans Assiste

Dossier (collection) : Publicité intrusive
Dossier : Publicité sur le Web Articles de fond Publicité intrusive Vidéo de démonstration de publicités contextuelles L'IAB est contre la publicité intrusive (procès) Banner blindness Détournement des revenus publicitaires des sites Web En droit, la publicité intrusive relève de la concurrence déloyale Identifier et poursuivre le bénéficiaire d'un détournement de revenus publicitaires Publicité intrusive - Contre-mesures Technologie de la publicité intrusive Smart Links Autres nommages de la technologie de publicités intrusives Publicité contextuelle in-text Publicité in-stream Publicité in-text Publicité dans le texte Publicité textuelle Vidéo contextuelle in-text Classification de ces malveillances Thiefware Autres nommages de ces parasites Adware intrusif Foistware Parasiteware Pirateware Scumware Stealware Quelques exemples d'opérateurs de publicité intrusive InfoLinks (InfoLinks) (actif)) Related Info - Related Links - (Alexa) (archive) CoolWebSearch (CoolWebSearch) (archive) eWallet (Gator / Claria) (archive) Precision Time (Gator / Claria) (archive) Date Manager (Gator / Claria) (archive) Gain (Gator / Claria) (archive) OfferCompagnon (Gator / Claria) (archive) Quelques exemples d'opérations ContextPro (eZula) (archive) HotText (eZula) (archive) TopText (eZula Top Text) (archive) iLookup (eZula) (archive) IntelliTXT (Vibrant Media) (actif) IntelliTXT Video (Vibrant Media) (actif) SmartAD (Vibrant Media) (actif) Smart Tags (Microsoft) (archive) Surf+ (filemix.net) (archive) Spedia Surf+ (Spedia.net) (archive) ThirdVoice (ThirdVoice, Inc) (archive) FlySwat (FlySwat) (archive) PosiTexte (click4france) (actif ?) ClickInText (ClickInText) (actif) QuickClick (MBCi) (archive) Smart Cursors (Commet Cursor) (archive) BetterSurf (BetterSurf) (actif) TopSearch (AltNet) (archive) BargainBuddy (eXact Advertising) (archive) BonziBuddy (Bonzi.com) (archive) Superbar (Gigatech Superbar) (archive) Très proche de la publicité intrusive Cybersquatting Spamdexing Spamdexing - Google pris à son propre spamdexing

Dossier (collection) : Publicité intrusive

Dossier : Publicité sur le Web

Articles de fond
Publicité intrusive
Vidéo de démonstration de publicités contextuelles
L'IAB est contre la publicité intrusive (procès)
Banner blindness
Détournement des revenus publicitaires des sites Web
En droit, la publicité intrusive relève de la concurrence déloyale
Identifier et poursuivre le bénéficiaire d'un détournement de revenus publicitaires
Publicité intrusive - Contre-mesures

Technologie de la publicité intrusive
Smart Links

Autres nommages de la technologie de publicités intrusives
Publicité contextuelle in-text
Publicité in-stream
Publicité in-text
Publicité dans le texte
Publicité textuelle
Vidéo contextuelle in-text

Classification de ces malveillances
Thiefware

Autres nommages de ces parasites
Adware intrusif
Foistware
Parasiteware
Pirateware
Scumware
Stealware

Quelques exemples d'opérateurs de publicité intrusive
InfoLinks (InfoLinks) (actif))
Related Info - Related Links - (Alexa) (archive)
CoolWebSearch (CoolWebSearch) (archive)
eWallet (Gator / Claria) (archive)
Precision Time (Gator / Claria) (archive)
Date Manager (Gator / Claria) (archive)
Gain (Gator / Claria) (archive)
OfferCompagnon (Gator / Claria) (archive)

Quelques exemples d'opérations
ContextPro (eZula) (archive)
HotText (eZula) (archive)
TopText (eZula Top Text) (archive)
iLookup (eZula) (archive)
IntelliTXT (Vibrant Media) (actif)
IntelliTXT Video (Vibrant Media) (actif)
SmartAD (Vibrant Media) (actif)
Smart Tags (Microsoft) (archive)
Surf+ (filemix.net) (archive)
Spedia Surf+ (Spedia.net) (archive)
ThirdVoice (ThirdVoice, Inc) (archive)
FlySwat (FlySwat) (archive)
PosiTexte (click4france) (actif ?)
ClickInText (ClickInText) (actif)
QuickClick (MBCi) (archive)
Smart Cursors (Commet Cursor) (archive)
BetterSurf (BetterSurf) (actif)
TopSearch (AltNet) (archive)
BargainBuddy (eXact Advertising) (archive)
BonziBuddy (Bonzi.com) (archive)
Superbar (Gigatech Superbar) (archive)