Les Spywares [25 mn de lecture - paru le 2/14/2004 12:32:15 PM - Public : Débutant]

Auteur

Flavien SALSMANN Elève-Ingénieur Supinfo Paris Promotion SUPINFO 2007    Lui écrire    Tous les projets de cet auteur    Le mini-CV de cet auteur

2. Quelques Spywares et leurs effets

A présent que vous savez ce qu'est un Spyware ainsi que ses buts principaux, nous allons vous présenter quatre d'entre eux afin que vous puissez vous faire une idée plus concrète quant à leurs actions et à leurs formes. Comme vous allez pouvoir le constater, ils peuvent opérer de façon différentes pour vous espionner, mais ont tous un point commun : diminuer les performances générales de l'ordinateur en utilisant ses ressources.

2.1. Gator

A tout seigneur tout honneur, nous allons commencer par le Spyware Gator, ou plutôt à la "famille" Gator, puisque ce Spyware se décline sous plusieurs formes. Il est tellement virulent qu'on appelle parfois "Gator" un spyware dangereux, ce qui démontre son "efficacité".

Présentation

Gator est, comme nous l'avons vu, le nom d'une société développant des Spywares. Ils sont intégrés dans ces nombreux utilitaires, souvent limités, mais gratuits. Le plus connu de leur Spyware est OfferCompanion, un module permettant à Gator - Claria de gérer les bannières publicitaires des sites que vous visitez et de les remplacer suivant ce que vous êtes susceptible d'acheter. Gator est l'un des plus grand propriétaire, et opérateur de serveurs de pubs, étant basés sur l'analyse comportementale des internautes (autrement dit l'espionnage des consommateurs). Selon cette même société, plus de 27 Millions de PC à ce jour seraient "contaminés" par OfferCompanion. A travers leurs bases de données, construites à l'aide des statistiques réunies par leurs spywares, GAIN (Gator Advertising and Information Network) établit donc votre profil et vous inonde de publicité intrusive (remplacement d'une pub par une autre pour vous inciter à consommer, nombreux popup etc...).
Il se dit essentiel à l'expansion d'Internet et des freeware car "La publicité permet de maintenir certains sites et logiciels gratuits". Dans un sens c'est vrai, mais la publicité ne doit pas aussi être synonyme d'espionnage.

Les grandes productions Gator

Nous rappelons que Gator a récemment changé de nom pour Claria. Certains logiciels gardent cependant le nom de Gator, pour les autres, remplacez simplement le mot "Gator" par "Claria". La plupart de logiciels présentés contiennent non seulement le Spyware OfferCompanion mais aussi Enchancement Technologies.

-Gator eWallet : il s'agit d'un utilisateur censé vous aider à remplir les formulaires se trouvant sur Internet. Il permet, entre autres, de se souvenir de votre Login/Pass, c'est d'ailleurs sa principale fonctionnalité. Inutile donc, puisque les principaux browser, tel Internet Explorer, ou Mozilla le font par défaut.

-Gator Precision Time: un outil permettant de synchroniser votre horloge avec une horloge online atomique. Vous devez donc être obligatoirement connecté à Internet pour pouvoir l'utiliser. Inutile aussi, puisque Windows peut le faire par défaut (dans les propriétés de la date et de l'heure, allez dans "temps internet", et spécifiez "Synchronisez automatiquement avec un serveur de temps internet" exemple : time.windows.com).

>-Gator Date Manager : comme son nom l'indique, ce programme s'apparente à un Agenda. Il est assez limité, même celui d'Outlook est plus performant. Encore un "inutilitaire".

-Gator OfferCompanion : Ici, Gator vous propose purement et simplement d'installer son Spyware, sans aucune autre fonctionnalité. Il est censé pouvoir apporter, selon le site officiel : "de grandes offres sur des appareils, des livres, de la musique (...)". Tout à fait inutile lui aussi.

>La plupart de ces logiciels sont installés en même temps que certains programmes, tels que le logiciel de téléchargement GetRight, comme vous pouvez le voir :

Tous les logiciels présentés ici ne sont que de simples exemples parmi tout la panel d'inutilitaires proposés par Gator. Il en existe énormément, aussi nous vous conseillons la plus grande vigilance quant à ce vous pouvez télécharger. Vérifiez aussi de ne pas posséder la .dll "gator" sur votre ordinateur; qui permet, pour faire simple, d'auto compléter les spyware Gator; ainsi que l'exécutable Trickler connu notamment sous les noms fs.exe, fsg-ag.exe, gain_trickler_.exe, GMT.exe, permettant de télécharger OfferCompanion. (avec un faible débit pour que l'utilisateur ne s'aperçoive de rien, en voyant sa bande passante baisser notamment). Ces logiciels sont lancés dès le démarrage de l'ordinateur, et peuvent changer ses performances de façon significative.

Elimination

Des softs tels que Ad-Aware permettent d'éradiquer les Spywares Gator. D'autres, l'image de PestPatrol ou Spybot  permettent de les remplacer par un fichier, un leurre, permettant à des applications ne fonctionnant qu'avec ces Spyware (exemple : Kazaa), de continuer à tourner, mais en supprimant tout de même le Spyware en lui même.

2.2. VX2

VX2, seulement trois caractères, ce Spyware assez récent est l'un des les plus efficaces.

Présentation

Il permet notamment de connaître tous les sites que vous avez visités, ce que vous rentrez dans des formulaires sécurisés utilisant le cryptage SSL. Votre numéro et passe de carte bancaire peuvent donc faire partie des informations qu'il peut facilement récupérer.

Rien ne lui échappe : il ne fait pas qu'espionner vos surfs sur Internet, il scan aussi votre matériel et votre système: mémoire, processeurs, capacité de votre disque dur, périphériques et logiciels installés, tout y passe, même le nom que vous avez rentré pour enregistrer votre OS Windows. Non content d'être un parfait 007, il saura aussi appeler du renfort : se mettre à jour automatiquement et installer d'autres espions. Tout comme Gator, il peut ralentir votre ordinateur.

VX2 a été développé par une société du même nom. Son secteur d'activité, est, comme pour la plupart des développeurs de Spyware la recherche marketing et l'étude du comportement des consommateurs sur Internet. Il permet essentiellement d'ouvrir des popups lors de vos surfs sur Internet, simulant de "vraies" publicités, venant des sites que vous visitez, qui là aussi vous incitent à la consommation. Cependant, suite à des nombreux déboires judiciaires assez sombres, VX2 semble avoir fermé, et le développement ainsi que l'utilisation du Spyware interrompus. Il y a donc peu de chance pour que vous soyez infectés.

Les programmes infectés

Longtemps considéré comme un hoax (rumeur, canulard), VX2 est bel et bien une réalité. Des sites de grands professionnels comme TF1 ou CounterExploitation ont considéré la question avec un réel sérieux et ont prouvé l'existence de ce Spyware.

Le grand programme infecté par ce Spyware a été AudioGalaxy, un logiciel de peer2peer très performant. Beaucoup d'économiseurs d'écran sont eux aussi livrés avec VX2. Une .dll "vx2" s'installe alors sur votre système et déploie le logiciel "Sputnik", coeur du Spyware VX2, celui allant scanner toutes vos informations.

Bien que ce Spyware soit étonnamment efficace, peu de logiciels sont infectés, VX2 n'étant plus utilisé. Il est cependant important d'en parler étant donné qu'il est extrêmement performant.

Elimination

Bien que très virulent, VX2 est assez simple à supprimer. Certaines versions de ce Spyware peuvent même être enlever via le panneau de configuration, dans "Ajouter/supprimer programmes". Il suffit alors d'enlever VX2. La plupart du temps il ne s'y trouve pas, il faut alors chercher manuellement la dll "VX2" sur son système. Le plus simple restant à scanner le système via Ad-Aware et éradiquer le spyware.

2.3. Comet Cursor

Assez connu, Comet Cursor est l'un des tout premiers Spywares à avoir vu le jour.

Présentation

Comet Cursor permet de changer son curseur, de l'animer, etc... C'est un module s'ajoutant au browser à votre navigateur et qui personnalise le curseur en fonction du site Web que vous visitez. Les Webmasters n'ont alors qu'à insérer une petite balise dans le code de leur page, indiquant l'image du curseur à utiliser et la taille lors de vos navigations, votre curseur se personnalisera automatiquement. Comet Cursor s'installe via un contrôle ActiveX. Il permet aussi et surtout d'enregistrer les pages que vous visitez, afin de pouvoir créer votre profil. Toutes les personnes infectées par Comet Cursor sont ainsi identifiées de façon unique. Comet Cursor peut ralentir votre ordinateur, et l'accès à Internet Explorer sera notamment ralentit.

Où l'attrape-t-on?

Tous les sites utilisant Comet Cursor sont payés. Ainsi, si vous êtes webmaster, plus vos visiteurs installeront Comet Cursor, plus cela sera rentable pour vous. Comet Cursor préconise d'utiliser un contrôle ActiveX permettant d'installer le logiciel sans accord préalable, mais la plupart des sites vous demande quand même votre autorisation.
Vous pouvez donc l'attraper sur n'importe quel site, nous vous conseillons donc d'être attentif lorsque vous surfez sur Internet. Voici à quoi ressemble une alerte d'installation Comet Cursor :

Nous vous conseillons donc de ne pas installer ce logiciel, d'autant plus qu'Internet Explorer permet de le faire par défaut, depuis la version 6. Vous pouvez vous en protéger en paramétrant Internet Explorer de telle façon qu'il vous demande la permission à chaque fois qu'un contrôle ActiveX se lance lorsque vous êtes connectés. Certains logiciels sont aussi infectés par ce spyware, comme certains de Real Networks.

Elimination

Comet Cursor est l'un des rares développeurs de Spywares à proposer la désinstallation de son logiciel, sur son site officiel :  http://www.cometcursor.com/uninstall.asp, ce qui est assez rare pour être signalé. Vous pouvez donc passer par ce désinstalleur, ou par Ad-Aware ou SpyBot.

2.4. Cydoor

Présentation

Cydoor est un spyware s'installant en même temps que beaucoup de freeware. Selon cette société, 55 millions d'ordinateurs dans le monde seraient infectés par son Spyware, plus 300 000 chaque jour. Il s'agit donc de l'un des espions les plus répandus, et pour cause : il mène une politique active afin de répandre son logiciel, notamment pour qu'il puisse être implémenté aux plus de programmes possibles. Plus de 2000 programmes sont à ce jour associés à cette société. Vous pouvez d'ailleurs lire la FAQ qu'il propose aux développeurs ici. Son but est de vous inonder de publicité, encore et encore : bannières, Popup, Skin, tout est fait pour vous inciter à la consommation. Bien entendu, vous êtes aussi espionnés : sites visités, fichiers téléchargés, etc...

Cydoor est l'un des rares Spywares à marcher autant online que offline. Il utilise ainsi plusieurs .dll tels que : cd_client.dll, cd_gif.dll, cd_swf.dll ou encore cd_load. Ainsi rien ne lui échappe, même si vous n'êtes pas connecté. Cela lui permet d'enregistrer vos habitudes : applications utilisées (comme les lecteurs mp3 ainsi que les musiques écoutées), durée de chaque sessions, etc... Tout est ensuite envoyé dès que vous vous reconnectez. Le fait que le programme puisse marcher offline lui permet aussi d'afficher des publicités continuellement, en effet un cache est créé dans c:\Windows\System\adcache\, ce qui lui permet d'afficher des publicités dans les programmes lui étant associés, même si vous n'êtes pas connectés. Cela a pour effet de diminuer les performances de votre ordinateur, étant donné qu'il doit traiter plus d'informations au lancement des programmes.

Comment est-on infecté ?

Cydoor s'installe avec beaucoup de programmes très connus, comme Kazaa. Certains ne demandent même pas l'autorisation à l'utilisateur, d'autres lui affichent une simple fenêtre qui sera vite oubliée, à l'image de Babylon.

Elimination

Cydoor peut s'éliminer grâce à Ad-Aware ou bien Spybot, comme quasiment tous les Spywares.

Nous n'avons ici traité que 4 Spywares, les plus représentatifs possibles : vous espionnant et ralentissant votre ordinateur, mais il en existe évidemment beaucoup plus. Microsoft lui même à ses propres Spywares, et des sociétés telles que DoubleClick, Web 3000 et Top Dog ne sont pas en reste. Certaines, comme Web 3000 remplacent même des fichiers sensibles de Windows, tel Winsock, qui touche directement à votre connexion Internet : les éliminer signifie risquer d'éliminer la possibilité de se connecter à Internet. Nous vous conseillons la plus grande prudence quant à ces Spywares, et d'être méfiant par rapport aux programmes grand public gratuits, comme nous allons le voir avec Kazaa.