Spywares et autres nuisances
Idéalement, l'utilisateur avisé pratiquant le Safe hex ne devrait jamais les subir : éviter d'installer n'importe n'importe quoi et de cliquer n'importe où avec un système est un navigateur à jour et bien paramétré devrait suffire mais la tentation est souvent plus forte et le doigt plus rapide que la cervelle.... Sur cette page quelques trucs pour guérir et prévenir. Le SP2 permet dans les outils d'InternetExplorer (Gérer les modules complémentaires...) de lister et désactiver les activeX installés pour ensuite pouvoir supprimer les malfaisants, situés dans le répertoire C:\WINDOWS\Downloaded Program Files
Les spywares sont des petits programmes indépendants, agissant un peu comme des trojans qui s'installent subrepticement lors de l'installation de l'un ou l'autre prétendu freeware. Conçus pour se lancer en même temps que le système, pas toujours apparents dans le Task Manager, ils transmettent à leur maître diverses informations vous concernant, variables selon leur conception. Par exemple d'ordre démographique ou plus personnel, habitudes de surf, logiciels installés, etc... Désinstaller le programme lié les laisse en place et ils continuent leur sale boulot. L'éradiquer empêche souvent le programme concerné de fonctionner (Kazaa, Babylon, etc...) et parfois même toute connexion au Web car ils ont modifié winsock. Leur prolifération cause souvent l'instabilité du système.
Les adwares lors du lancement du programme lié, se connectent à un serveur pour vous délivrer des publicités.
Les BHO (Browser Help Object) Il en existe de tout à fait honorables, tel celui d'Acrobat Reader qui permet de consulter les fichier PDF online ou la barre Google par exemple ; malheureusement de plus en plus sont nuisibles, les fameuses barres lop.com ou hotbar par exemple et les homepage hijackers qui remplacent votre page de démarrage par celle qu'ils vous imposent et tentent de vous amener vers les sites de leur choix, bien souvent des portails porno ou warez. (attention ! Cette page tente d'installer www.optimix.be.tf comme page de démarrage sans votre autorisation : protégez-vous !)
Les dialers : Internet Explorer (et ses sur-couches) est le seul à utiliser les activeX, bien paramétré, vous avez une demande d'acceptation : suffit de refuser.
Les autres navigateurs ne supportent pas les activeX et sont donc moins susceptibles d'en être victimes.
La prévention
SpywareBlaster - vaccine contre plus de 3000 spywares, dialers, bho et cookies trackeurs de tout poil en plaçant un kill bit empêchant leur installation à l'aide d'un activeX. Il suffit de le mettre à jour régulièrement en sélectionnant tous et en activant la protection. Il permet également de prendre un snapshot en vue d'une restauration des paramètres du browser et de settings importants de la base de registre suite à une contamination. Inutile de le laisser tourner en tâche de fond.
Tip : Tools n Flash Killer S'il est activé, les animations Flash ne s'afficheront pas dans votre navigateur, de plus en plus de sites utilisant des animations flash pour diffuser du contenu publicitaire en contournant les anti-pub traditionnels et le fichier Hosts.
Un onglet Custom Blocking y est également proposé vous permettant d'ajouter des CLSID non encore inclus dans la data base que vous pouvez repréer avec HiJackThis en lien plus bas.
BHODemon est un petit utilitaire gratuit qui, s'il tourne en tâche de fond agit comme un mouchard à chaque tentative d'installation d'un BHO. Il liste également tous les BHO installés et permet de les désactiver et de les supprimer. Le site officiel est souvent indisponible mais vous le trouverez facilement avec un moteur de recherche.
Tous les utilitaires gratuits présentés ici sont disponibles chez MajorGeek
La désinfection
Deux outils gratuits sortent du lot : AdAware v6 Indispensable le plug in VX2Cleaner (il existe une version shareware - voir section Programmes de ce site) et Spybot Search and Destroy +/- 3.5 MB Mutli-lingue et multi-fonctions. Eradication des divers malwares concernés, vaccination (moins d'entrées que Spywareblaster qui en est le complément idéal) , suppression de certains MRU (most recent used lists) . Vous pouvez le laisser éradiquer sans craintes les malwares mais cocher selon vos besoins les autres entrées : certains MRU par exemple peuvent vous être utiles. Il propose également un fichier Hosts basé sur le mien mais moins complet. Il dispose également de deux modules résidents, SDHelper (bloqueur de téléchargements nuisibles depuis InternetExplorer) et TeaTimer qui surveille et protège certaines clés de registre importantes. Ce module est assez gourmand en ressource et peut être désactivé.
Plus de connexion après éradication d'un malware :
Les spywares NewDotNet, WebHancer et CommonName entre autres modifient winsock et empêchent souvent toute connexion au Web après éradication et nécessitent l'utilisation de WinsockFix (686 ko) après éradication. Après réparation de winsock, il est nécessaire de réoptimiser votre connexion (MTU, Rwin, etc...), l'outil utilise en effet la commande netsh pour réinitialiser TCP/IP et ensuite remettre de bonnes valeurs aux clés HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winsock HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winsock2
A noter que le SP2 comporte une nouvelle commande permettant de réparer Winsock sans outil tiers en invite de commandes entrez netsh winsock reset catalog. Cela a pour effet de supprimer tous les LSP (Layered Service Provider) non-standard du catalogue Winsock qui ne devrait comporter que des entrées de type MSAFD ou RSVP, les autres étant généralement ajoutées par des malwares. La commande netsh winsock show catalog permet de lister les LSP avant et après la réparation.
Le cas CoolWebSearch :
Sans conteste le plus empoisonnant, il en existe plus d'une centaine de variantes dont la majeure partie sont éradiquées par CWShredder dont le développement par Merijn a été arrêté dernièrement faute de temps et de moyens à la version 1.59.1. Le développement est poursuivi maintenant par InterMute Inc.
Pour les variantes récentes il faudra avoir recours à HijackThis du même auteur.
Jamais en mal de mauvais plans, certaines variantes utilisent maintenant des flux ADS sur les partitions NTFS (Alternate Data Streams) , ADS Spy du même auteur permet de repérer ces flux et de les supprimer.
Prévention: Pour prévenir l'installation de toutes les variantes connues, télécharger et fusionner anti_coolwebsearch.reg Ce reg ajoute tous les domaines connus entraînant l'installation de toutes les variantes connues dans la zone Sites sensibles et est maintenu à jour.
Le cas About :
Un hijacker d'InternetExplorer qui place une page de recherche res://.dll/index.html#37049 très difficile à supprimer. Une fois identifié avec HijackThis, About:Buster en vient à bout en suivant scrupuleusement la procédure indiquée.
Il existe également une version de ce BHO qui indiquera dans le rapport d'HijackThis des entrées sp.html (obfuscate) . Pour supprimer ce BHO tenace, utiliser SpHjfix.exe (84 Ko) .
Enfin, il existe des BHO utilisant un trojan vicieux Backdoor.Agent.ba pour se régénérer en cas de suppression des entrées dans la BdR. La procédure à suivre pour ce cas particulier caractérisée par la présence dans le registre d'une ou plusieurs entrées AppInit_DLLs :
Aller à la clé
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Windows\AppInit_DLLs
La valeur semble vide mais il y a une valeur cachée qui signale à Windows de
charger la dll malveillante chaque fois qu'une application est lancée.
Si tu supprimes la clé dans regedit, vu que le trojan est actif, il va la
rajouter immédiatement (Supprime AppInit_DLLs et actualise : la clé revient
immédiatement)
Procédure d'éradication :
- Regedit et renommer le répertoire HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Windows en Windows2
- Supprimer la valeur AppInit_DLLs dans le panneau de droite.
- Renommer le répertoire Windows2 en Windows.
- Exécuter Ad-aware à jour pour supprimer le BHO et redémarrer.
-Vérifier que AppInit_DLLs est bien absent.
La dll dans le répertoire Windows\System32 a un nom aléatoire.
NB : AppInit_DLLs peut se
trouver à d'autres endroits dans la base de registre, la procédure d'éradication
est la même.
Le BHO est installé à l'aide du trojan
Backdoor.Agent.ba, ajouté dans les DB
des meilleurs AV depuis début juillet.
HijackThis
150 K0 permet de lister tous les BHO bons ou mauvais et de les
supprimer. Il permet également de faire une sauvegarde avant suppression pour
restauration en cas d'erreur. Très puissant, à utiliser avec discernement !
Consulter la liste des BHO mise à jour sur CLSID.html
Un tutoriel est disponible en français chez Joke0 qui vous analysera volontiers son rapport sur usenet fr.comp.securite.virus pour vous aider à supprimer les entrées malveillantes indiquées dans son log.
Active XCavator de Cogetronix permet de supprimer en ligne tous les activeX désinstallés ayant laissé une trace dans le registre. Quand le programme trouve une entrée pour un fichier supprimé, l'information "Control" indique "File is not in its regeistered location" après avoir mis l'entrée en surbrillance. Vous pouvez alors presser le bouton "Delete" pour effacer l'entrée du registre.
Enfin, le SP2 possède une option permettant de gérer les modules complémentaires et permet de les désactiver. A noter que des programmes malicieux permettent de les réactiver à votre insu mais c'est une solution pratique pour les désactiver avant éradication à l'aide de l'outil adéquat.
Sites à consulter : des tas d'info pratiques sur les parasites et la façon de s'en débarrasser manuellement.
http://www.doxdesk.com/parasite/
