Assiste.com
CoolWebSearch est un hijacker et un scumware (publicité intrusive de type Smart Links) de la société eZula (dito TopText)
cr 01.04.2012 r+ 22.10.2024 r- 22.10.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
|
Dossier (collection) : Encyclopédie |
|---|
| Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
| Sommaire (montrer / masquer) |
|---|
N'existe plus - Archives d'Assiste.com
CoolWebSearch fut un hijacker furieux et un pratiquant agressif de la Publicité intrusive.
CoolWebSearch - CWS
Publicité intrusive de CoolWebSearch recouvrant la totalité de la fenêtre et dirigeant vers
des sites affiliés à CoolWebSearch, avec, en plus, un alerte mensongère.
| Alias : | CoolWebSearch Ces alias sont ceux donnés par divers antivirus
| |
| Classes : | Adware, Spyware, Hijacker, Bho | |
| Risque : |   Ces hijackers sont horripilants et constituent, dans certaines variantes, un cauchemar à éradiquer. Nous sommes, en sus, menacé par les autres parasites conduits par CoolWebSearch (exploitant des failles de sécurité), en cascade, dans des pratiques de type Drive-by Download. Une explosion de sites piégés, développés par les cybercriminels derrière CoolwebSearch, a envahi le Net (cybersquatting - spamdexing) et déploie ce hijacker. Nous ne sommes pas à l'abri d'autres cybercriminalités qui seraient déployées sur ces mêmes sites piégés ou sur les domaines vers lesquels nous sommes redirigés sans notre consentement). Certains hijackers de la famille CoolWebSearch constituent de véritables cauchemars à éradiquer. Certaines techniques d'installations et de camouflage sont complètement novatrices et n'ont jamais été vues ailleurs. | |
| Editeur : | Un gang maffieux, Coolwebsearch.com, agissant dans l'e-commerce et la pornographie. | |
| Découverte : | La première variante fut identifiée le 27 mai 2003 (CWS.Datanotary) | |
| Installation : | CoolWebSearch est un nom générique donné à tout un éventail de hijackers. Bien que le code soit très différent d'une variante à l'autre, ils ont tous la caractéristique commune de rediriger les internautes vers le site Coolwebsearch.com ou vers des milliers de sites qui lui sont affiliés. Son installation exploite 2 failles de sécurité de la machine virtuelle Java de Microsoft (failles dont les correctifs ont été publiés de longue date (en 2000 et 2003), mais que les utilisateurs, laxistes, n'appliquent pas !) :
CoolWebSearch change la page de démarrage d'Internet Explorer ainsi que la page de recherches, la barre de recherches, etc. ... Si les patchs avaient été appliqués ou si la machine virtuelle Java de Microsoft avait été remplacée par celle, plus fiable, de Sun, le créateur de Java, l'infestation n'aurait pas eu lieu. Les nouvelles variantes sortent à un rythme soutenu (1 par semaine !) et sont de plus en plus difficiles à éradiquer, voire impossibles. Quelques variantes utilisent même des méthodes de camouflage et d'exécution jamais vues. Si vous désirez conserver la machine virtuelle Java de Microsoft, vous devez impérativement installer le patch MS03-011. Si vous avez Windows XP (Home ou Pro) avec le Service Pack 1a, vous n'avez plus la machine virtuelle Java de Microsoft : ce dernier, suite à une décision de justice définitive, est enfin obligé d'arrêter de plagier et dégrader la technologie de la société SUN Microsystem. Pour plus d'informations et pour supprimer totalement la machine virtuelle JAVA de Microsoft et la remplacer par celle de SUN, lire les pages : Java Nota : Les variantes dites "Affiliate variants" ne sont pas en relation directe avec CWS mais ont été vu ensembles très souvent. | |
| Affectés : | Tous les systèmes Windows utilisant la machine virtuelle Java de Microsoft. Celle-ci contient plusieurs failles de sécurité dont une, appelée "ByteVerify", est massivement utilisée par la famille de Hijackers CoolWebSearch. | |
| Epargnés : | Les systèmes d'exploitation DOS, Linux, OS/2, UNIX | |
| Activité : | Son but est de vous diriger, sans arrêt, vers son portail marchand, l'un de ses innombrables miroirs ou l'un de ses affiliés auprès duquel il touche une comission sur les ventes réalisées grâce à son détournement. D'une manière ou d'une autre vous êtes redirigés vers des sites non sollicités, des produits ou services non sollicités, etc. ... Plusieurs variantes sont totalement dédiées pornographie, ce pan d'Internet étant le plus rémunérateur (certains annoncent que la pornographie pourrait représenter 25% du marché économique sur le Net). L'une des manières de vous rediriger utilisée par CoolWebSearch est l'usage de publicités intrusives avec la technologie des Smart Links (In-Text Ads). Nota : | |
| Vie privée : | ||
| Faille : | Ces parasites ont pu s'installer sans notre permission, sans nous en avertir, sans que nous sachions ce qu'ils font et sans que nous puissions nous y opposer. Ils ont une capacité d'auto mise à jour et donc d'exécuter sans notre accord et sans que nous en ayons connaissance, du code non vérifié et non vérifiable. L'une des variantes se "protège" en bloquant l'accès à de très nombreux sites et utilitaires de sécurité (antivirus, anti-trojans...) dont, introduite secrètement dans votre fichier hosts, la liste des sites suivants qui deviennent inaccessibles : | |
| Instabilité : | Plusieurs variantes rendent le système instable, ralentissent dramatiquement le fonctionnement d'Internet Explorer, se plantent etc. ... | |
| Conséquences : | Aucune conséquence néfaste à l'éradication de cette infamie. | |
| Précautions : | Sauvegarde de la base de registre Désactiver les points de restauration Redémarrer en mode sans échec | |
| Eradication automatique | Eradication automatique La première chose à faire, contre une variante de CollWebSearch, est d'exécuter CWShredder de Merijn Bellekom. Cet utilitaire gratuit est totalement et exclusivement dédié à l'éradication de toutes les variantes de CoolWebSearch. Aucun antivirus et aucun anti-trojans ne parvient à faire ce que fait CWShredder. Notez que les mises à jour de CWShredder sont très fréquentes : si votre copie de CWShredder a plus d'une semaine, elle est probablement déjà périmée. Scan avec votre antivirus Analyse avec votre anti-trojan | |
Eradication manuelle | Eradication manuelle Les fiches individuelles de chaque variante vous donnent les noms des clés et fichiers à éradiquer mais il est de loin préférable d'utiliser CWShredder. L'incrustation profonde de certaines variantes est tellement cauchemardesque qu'il est alors utile d'exécuter pas à pas et intégralement notre procédure curative et préventive contre les attaques de Boot (et autres formes d'attaques) : La Manip. | |
| Ressources | Ressources Des informations complémentaires peuvent être trouvées sur ces pages
| |
|
Facile à éradiquer avec la Procédure gratuite de décontamination anti-malwares, anti-crapwares, anti-adwares.
|
Les encyclopédies |
|---|
