|
|
|
Menaces
: les hijackers
Bienvenue dans l'espace des dossiers
sécurité ! C'est un espace qui vous
est ouvert. Vous pouvez venir y stocker vos dossiers,
vos documents, vos travaux sur tout ce qui concerne
la sécurité, la protection, les virus,
etc.
|
Un hijacker est un programme qui
pirate votre page de démarrage internet pour la rediriger
vers des sites soigneusement choisis (souvent des sites pornographiques).
Certains sont particulièrement coriaces, parmi ceux-ci
figure en bonne place une série de hijackers regroupés
sous le nom générique CoolWebSearch.
LES HIJACKERS
Un hijacker modifie les réglages de votre navigateur
par l'intermédiaire d'une page web piégée
par un contrôle ActiveX
ou un Javascript par exemple. C'est, entre autres, parce
qu'il est le plus populaire (et aussi le plus vulnérable
aux failles de sécurité) que Internet Explorer
est le plus souvent victime de hijackers. Des navigateurs
comme Firefox
sont très rarement hijackés.
Plus concrètement,
si lors de votre navigation vous tombez sur une telle page,
les effets peuvent être variés : modification
de votre page de démarrage, de votre page de recherche,
de votre liste de favoris... Le but recherché est
de vous forcer à passer par certains sites. Des webmasters
peu scupuleux ont recours à ce genre de procédés
pour gonfler le nombre de visites sur leur site afin de
vendre des espaces de publicité plus cher sur leurs
pages.
Bien que particulièrement agaçant,
cela peut paraître anodin et en théorie on
peut arranger ça facilement en rétablissant ses options
internet dans Internet Explorer, mais les créateurs
de hijackers ne manquent pas de ressources pour vous en
empêcher et les attaques se limitent rarement à
un simple changement de paramètres. Le hijacker
peut tout simplement rendre inaccessible les options internet
de Internet Explorer en installant à votre insu un
Browser Helper Object (BHO) qui se lancera donc en même
temps que Internet Explorer. Il peut également modifier
la liste de démarrage afin d'être lancé
automatiquement et restauré à chaque démarrage.
Si, pour avoir la paix, vous avez mis certains sites dans
votre liste de hosts ou dans la liste des sites sensibles,
sachez que certains hijackers sont capables de modifier
ces listes ainsi que la liste des sites de confiance. L'accès
à ces sites n'est alors plus du tout contrôlé.
Enfin, on imagine aisément les risques induits par
un hijacker qui vous redirige vers une page web elle-même
piégée par des programmes bien plus agressifs...
La mise à jour régulière de Windows
et l'utilisation d'un autre navigateur que Internet Explorer
devraient permettre d'éviter ce genre de mésaventure.
En cas d'infection, généralement un bon antivirus
et/ou un bon antispyware à jour devraient vous en
débarrasser. Cependant, certains hijackers s'accrochent
et il est nécessaire d'avoir recours à des
méthodes plus spécifiques pour les éradiquer.
UN HIJACKER PARTICULIEREMENT TENACE : COOLWEBSEARCH
CoolWebSearch est un nom générique regroupant
plusieurs hijackers, parfois très différents,
mais qui ont la particularité de rediriger l'internaute
vers le site coolwebsearch.com ou vers des sites affiliés.
On a jugé nécessaire d'en parler plus particulièrement
car certains hijackers de cette famille sont particulièrement
tenaces et très difficiles à éradiquer.
Mode de contamination et mesures de prévention
Ces hijackers s'installent en exploitant des failles de
sécurité dans la machine virtuelle Java de
Microsoft. Ces failles sont corrigées depuis pas
mal de temps et si vous maintenez régluièrement
votre système à jour avec Windows
Update, vous n'y êtes plus vulnérable.
Une méthode plus radicale consiste aussi à
remplacer la machine virtuelle Java de Microsoft par celle
de Sun qui est beaucoup plus sûre en terme de sécurité.
Effets Les effets des hijackers estampillés
CoolWebSearch sont assez divers et souvent assez problématiques.
On ne peut pas tous les lister ici, on notera cependant
que certaines variantes qui piratent la liste hosts en profitent
pour vous bloquer l'accès à plusieurs sites
de sécurité informatique et d'éditeurs
de logiciels de sécurité afin de vous empêcher
de télécharger les logiciels nécessaires
à la désinfection de votre système.
Certains vous empêchent même d'ouvrir votre
anti-spyware ou anti-trojan préféré
! Toutes les variantes de CoolWebSearch et les caractéristiques
de chacune ont été listées par Merijn,
le créateur de Hijackthis. Pour plus d'infos sur
CoolWebSearch, consultez les CoolWebSearch
Chronicles.
Désinfection
Le logiciel CWShredder est un logiciel de désinfection
gratuit spécifique visant CoolWebSearch. Ce logiciel
a été créé toujours par le même
Merijn, mais il est à présent distribué
et maintenu (heureusement toujours gratuitement pour l'instant)
par la société Intermut. Il est disponible
en téléchargement ici.
Pour exécuter CWShredder, vous devez avoir sur votre
machine vbrun 6.0, l'interpréteur Visual Basic version
6. Normalement il est inclus dans Windows mais si voous
ne l'avez pas, vous pouvez la télécharger
sur le site de Microsoft.
Une variante de CoolWebSearch ferme automatiquement plusieurs
anti-spywares et anti-trojans dès l'ouverture ainsi
que votre navigateur internet si vous voulez vous rendre
sur le site de certains éditeurs de logiciels de
sécurité. Si c'est votre cas, utilisez d'abord
le logiciel CWS.SmartKiller
de Patrick Kolla (l'auteur de SpyBot S&D). A noter
aussi que CWShredder est très fréquemment
mis à jour, évitez donc d'utiliser une version
qui a plus d'une semaine, elle est très probablement
périmée.
Dossier MENACES
Cheval de Troie : la porte dérobée de votre ordinateur.
Hoax : les canulars électroniques.
Vers : les vers informatiques.
Virus : la menace la plus connue.
Hijackers : des programmes bien embêtants.
Dialers : un danger méconnu.
|
|
|
|
|