Cydoor - Archétype de la charge active de milliers de chevaux de Troie

Généralités

Nom
Cydoor

Autres noms
Cydoor Desktop Media, Cydoor Solutions, iSkins™ Technology, cd_clint.dll, cd_load.exe

Description Résumée
Cydoor est un adware et d'un spyware. Cydoor revendique 55 millions d'ordinateurs pollués par sa technologie et 300.000 nouveaux ordinateurs par jour son infestés par ses outils grâce auxquels il annonce fièrement difuser plusieurs billions de publicités par mois dans le monde.

Variantes
cd_clint.dll, cd_clint.exe est la tâche active on-line.
cd_load.dll, cd_load.exe est la tâche active off-line

Ce qu'il fait :

#	Publicité	Violation de la vie privée	Introduit une faille de sécurité	Introduit une instabilité du système

• Publicité :
  Oui. Cydoor affiche plusieurs billions de publicités par mois dans le monde entier.
• Violation de la vie privée :
  Oui. Cydoor collecte des données de tracking et des données démographiques (Sur leur page Privacy : genre, âge, centres d'intérêt, status marital, salaire, code postal, pays, niveau d'éducation...). Cydoor utilise un GUID. Cydoor transmet également des données statistiques sur l'usage de ses publicités (nombre de fois vues, nombre de click etc. ...)
• Introduit une faille de sécurité :
  Oui. Cydoor comporte un dispositif de téléchargement (download) de mises à jour donc Cydoor peut télécharger sur nos ordinateurs n'importe quel type de code invérifiable et l'exécuter. Cydoor comporte également un dispositif de téléchargement (download) de publicités à diffuser lorsque la connexion Internet est coupée.
• Introduit une instabilité du système :
  Oui. De nombreux rapports font état d'instabilités dues à Cydoor et causant des erreurs dans Windows XP.

Editeur
Cydoor (une société israélienne).

Autres produits du même éditeur
.

Méthode de distribution - Par cheval de Troie
Cydoor est essentiellement distribué en "bundle" (en produit joint à un autre) avec opt-in ou opt-out dans plus de 2.000 logiciels de type freeware (gratuits) qui acceptent d'intégrer Cydoor et de faire remonter de l'information démographique (de l'espionnage) de leurs utilisateurs vers Cydoor. On le trouve, par exemple, dans les logiciels Babylon, iMesh, ComTry MP3 Downloader, KaZaA, LimeWire, Grokster, Rosoft CD Extractor, Rosoft Audio Recorder, eXeem... La manière dont Cydoor est déployé relève du sponsoring et la technique utilisée est celle des Chevaux de Troie. Les 2000 logiciels gratuits embarquant Cydoor se comportent très exactement comme des Chevaux de Troie, dans l'acception la plus formelle du terme, embarquant une charge active : Cydoor. Lorsque le Cheval de Troie est désinstallé, la charge active (Cydoor) qu'il a lâché continue de fonctionner normalement. Lorsque Cydoor est éradiqué, le logiciel qui a servi de Cheval de Troie et a lâché sa charge active, est devenu propre et continue de fonctionner normalement.

Détection
.

Informations techniques
Lorsqu'il est livré en bundle avec un autre produit logiciel, Cydoor se sert de la fenêtre même du produit logiciel comme d'une fenêtre d'un navigateur Internet, pour afficher des publicités y compris lorsque vous êtes hors connexion. Cydoor déclare froidement que les utilisateurs d'un ordinateur utilisent plus souvent leurs logiciels que leur navigateur Internet et donc que les pubs dans leurs logiciels on plus d'impact, attire plus l'attention, et sont vues plus souvent. Cydoor ajoute, en plein texte (et en anglais) sur son site que, puisque l'utilisateur doit s'identifier pour obtenir les licences de ses logiciels, il récupère ainsi des données démographiques !!! Notons que l'implémentation de Cydoor dans un logiciel hôte nécessite la totale complicité de l'éditeur du logiciel hôte qui perçoit une rémunération de Cydoor pour "services rendus". Le composant reste en veille permanente et, à chaque connexion Internet, il envoi vers un serveur toutes les informations collectées puis reçoit un jeu ciblé de publicités, stockées dans C:\Windows\System\adcache\, qui seront affichées même si la connexion Internet est coupée.

On notera également que Cydoor n'a aucune interface ni aucune interaction avec l'utilisateur lors de l'installation du logiciel hôte, si ce n'est des déclarations comme ci-dessus. Les quelques lignes de Cydoor, qui s'affichent dans l'écran du logiciel installé, sont prises pour l'une des pages d'installation de l'hôte (remarquez le nom de la fenêtre qui est celui de l'hôte) et seront vite oubliées. L'utilisateur ne saura même pas que Cydoor est installé.

D'autre part, comme les clauses sont contractuelles et sont acceptées par l'utilisateur, qui n'a pas le choix, cela permet à Cydoor de se retourner juridiquement contre les antivirus et les anti-spywares afin de les obliger à retirer leurs détections et éradications de Cydoor ! Et Cydoor gagne en justice !

Lorsqu'il est un composant d'un site web, Cydoor délivre des pop-ups, des bannières ciblées, des boutons et des publicités basées sur la détection de Mots-clés utilisés par l'internaute.

Eradication

• Manuelle
  L'éradication automatique est recommandée, sinon, vous devez connaître et maîtriser les actions manuelles suivantes :
  
  • Tuer un processus actif
  • Retirer une entrée de la liste de démarrage
  • Détruire des fichiers
  • Détruire des répertoires
  • Détruire des clés de registre
  • Détruire une entrée dans une clé de registre
  • Désenregistrer des DLLs

  La désinstallation de l'hôte (le logiciel installé) ne désinstalle pas la malveillance Cydoor.

  Tuer les processus suivants
  programfilesdir+\imesh\client\cd_install_202.exe
  systemroot+\system32\cd_load.exe
  systemroot+\system\cd_load.exe
  programfilesdir+\grokster\cd_install.exe
  systemroot+\temp\adware\cd_install_291.exe01dopewars_update.exe
  cydoor.exe
  cydoor_uninstall.exe
  sahagent.exe
  sahdownloader.exe

  Rechercher la clé de registre permettant le lancement automatique de Cydoor au démarrage
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  Si la valeur Cydoor s'y trouve, détruire cette valeur (uniquement cette valeur, pas la clé !)
  Redémarrer aussitôt

  Désenregistrer les dll suivantes:
  systemroot+\system32\cd_clint.dll
  systemroot+\system32\cd_htm.dll
  systemroot+\system\cd_clint.dll
  systemroot+\system\cd_gif.dll
  systemroot+\system\cd_htm.dll
  systemroot+\system\cd_html.dll
  systemroot+\system\cd_swf.dll
  systemroot+\temp\cd_clint.dll
  systemroot+\system32\cd_swf.dll
  systemroot+\system32\msg{6ea0f469-dfd6-40fa-8ec0-29c8bf23cf76}0108.dll
  systemroot+\system32\gdnp.dll
  systemroot+\temporary internet files\content.ie5\kgrv9a5f\cd_htm[1].dll
  profilepath+\local settings\temp\cd_clint.dll
  systemroot+\system32\adcache\temp\cd_clint.dllcbanner2.dll
  gr02.dll
  xmltok.dll
  netpal.dll
  xmlparse.dll
  lsp.dll
  kernellos.dll
  im64.dll

  Détruire les clés de registre suivantes:
  hkey_current_user\software\cydoor
  hkey_current_user\software\cydoor services
  hkey_current_user\software\microsoft\windows\currentversion\run\cydoor
  hkey_local_machine\software\cydoor
  hkey_local_machine\software\microsoft\windows\currentversion\run\cydoor
  hkey_local_machine\software\microsoft\windows\currentversion\runonce\cydoorupdate
  hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_202
  hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_253
  hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_270
  hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_314
  hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_319
  hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_336
  hkey_users\.default\software\cydoor
  hkey_users\.default\software\cydoor
  hkey_users\.default\software\cydoor services
  hkey_users\.default\software\cydoor services
  hkey_users\s-1-5-21-1960408961-1993962763-1343024091-1003\software\cydoor
  hkey_users\s-1-5-21-1960408961-1993962763-1343024091-1003\software\cydoor services
  hkey_users\s-1-5-21-329068152-1677128483-854245398-500\software\cydoor
  hkey_users\s-1-5-21-329068152-1677128483-854245398-500\software\cydoor services
  hkey_users\s-1-5-21-725345543-1078145449-1343024091-500\software\cydoor
  hkey_users\s-1-5-21-725345543-1078145449-1343024091-500\software\cydoor services
  hkey_users\s-1-5-21-796845957-842925246-1060284298-500\software\cydoor
  hkey_users\s-1-5-21-796845957-842925246-1060284298-500\software\cydoor services

  Détruire les fichiers suivants s'ils existent:
  b_197800.swf
  cbanner2.dll
  cydoor.exe
  cydoor_uninstall.exe
  gr02.dll
  im64.dll
  kernellos.dll
  lsp.dll
  netpal.dll
  profilepath+\local settings\temp\cd_clint.dll
  programfilesdir+\flashtalk\txt\mictest.rtf
  programfilesdir+\flashtalk\txt\voicemessagesettings.rtf01dopewars_update.exe
  programfilesdir+\grokster\cd_install.exe
  programfilesdir+\imesh\client\cd_install_202.exe
  sahagent.exe
  sahdownloader.exe
  systemroot+\system\cd_clint.dll
  systemroot+\system\cd_gif.dll
  systemroot+\system\cd_htm.dll
  systemroot+\system\cd_html.dll
  systemroot+\system\cd_load.exe
  systemroot+\system\cd_swf.dll
  systemroot+\system32\adcache\temp\cd_clint.dll
  systemroot+\system32\cd_clint.dll
  systemroot+\system32\cd_htm.dll
  systemroot+\system32\cd_load.exe
  systemroot+\system32\cd_swf.dll
  systemroot+\system32\gdnp.dll
  systemroot+\system32\msg{6ea0f469-dfd6-40fa-8ec0-29c8bf23cf76}0108.dll
  systemroot+\temp\adware\cd_install_291.exe
  systemroot+\temp\cd_clint.dll
  systemroot+\temporary internet files\content.ie5\kgrv9a5f\cd_htm[1].dll
  thumbs.db
  v.dat
  vg.dat
  xmlparse.dll
  xmltok.dll

  Détruire tout les fichiers contenus dans le répertoire
  systemroot+\system32\adcache ou dans le répertoire
  systemroot+\system\adcache
  qui contient des pages publicitaires pré-chargées : les fichiers ont une syntaxe de la forme:
  systemroot+\system32\adcache\b_500600.htm

  Détruire les répertoires suivants et tout ce qui pourrait subsister dedans:
  systemroot+\system32\adcache
  systemroot+\system\adcache
  programfilesdir+\toolbar
  programfilesdir+\eudora\qualcomm2\eudora\eudpriv\ads\adcache
  programfilesdir+\eudora\qualcomm\eudora\eudpriv\ads\adcache
  d:\windows\system32\adcache
  systemroot+\system32\adcache\temp

  Détruire la clé de registre:
  HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce\cydoorupdate

  Redémarrer aussitôt et s'assurer que tous les objets vus précédemment ne reviennent pas.
  toujours exécuter l'intégralité de "La Manip" après cette désinfection.

• Automatique avec son propre uninstal
  Non - il n'y a pas de procédure de désinstallation fournie par l'éditeur de Cydoor
  Toujours exécuter l'intégralité de la Procédure de décontamination anti-malwares.

• Automatique avec un outil
  PestPatrol (N'existe plus)
  SpyBot Search and Destroy
  Ne pas utiliser Ad-aware incapable d'utiliser le Dummy de CD_CLINT.DLL.
  Procédure de décontamination anti-malwares.

• Conséquences de l'éradication
  

  Lorsque le composant Cydoor, cd_clint.dll, est éradiqué par un outil anti-spyware, le logiciel hôte ne fonctionne plus raison pour laquelle certains éradiqueurs intelligents le remplacent par un leurre inactivé développé par cexx.org. C'est ce qu'a également fait KaZaA Lite dans son hack de KaZaA.

  Ad-aware présente 2 défauts : il éradique complètement Cydoor, rendant l'hôte inutilisable et il se plante lamentablement en présence du leurre inactivé qu'il ne détecte pas comme tel et l'éradique aussi !

  SpyBot Search and Destroy est plus intelligent et remplace Cydoor (cd_clint.dll), lorsqu'il le trouve, par le leurre inactivé de cexx.org, permet ainsi à l'hôte de continuer à fonctionner et, bien entendu, ne se fait pas tromper par le leurre.

Suggestion de serveurs à ajouter à hosts
Hosts - Qu'est-ce que c'est ?

On ne manquera pas de noter que le nombre de serveurs de Cydoor connus est très faible et que ceux-ci sont totalement insufisants pour servir des billions de pages de pubs par mois à travers toute la planète. Cydoor annonce sous-traiter une partie de cet hébergement chez ses peu glorieux confrères (en terme de politique de vie privée) Valueclick, Commission Junction, Adventures, Advertising.com, RealMedia, BeFree et d'autres ce qui accentue le problème de l'espionnage.

127.0.0.1 bns1.net
127.0.0.1 bns10.net
127.0.0.1 bns2.net
127.0.0.1 bns3.net
127.0.0.1 bns4.net
127.0.0.1 bns5.net
127.0.0.1 bns6.net
127.0.0.1 bns7.net
127.0.0.1 bns8.net
127.0.0.1 bns9.net
127.0.0.1 cms1.net
127.0.0.1 cms10.net
127.0.0.1 cms2.net
127.0.0.1 cms3.net
127.0.0.1 cms4.net
127.0.0.1 cms5.net
127.0.0.1 cms6.net
127.0.0.1 cms7.net
127.0.0.1 cms8.net
127.0.0.1 cms9.net
127.0.0.1 cydoor.com
127.0.0.1 jbns2.cydoor.com
127.0.0.1 jcms.cydoor.com
127.0.0.1 rg1.com
127.0.0.1 rg10.com
127.0.0.1 rg2.com
127.0.0.1 rg2nc3.rg2.com
127.0.0.1 rg3.com
127.0.0.1 rg4.com
127.0.0.1 rg5.com
127.0.0.1 rg6.com
127.0.0.1 rg7.com
127.0.0.1 rg8.com
127.0.0.1 rg9.com
127.0.0.1 www.bns1.net
127.0.0.1 www.bns10.net
127.0.0.1 www.bns2.net
127.0.0.1 www.bns3.net
127.0.0.1 www.bns4.net
127.0.0.1 www.bns5.net
127.0.0.1 www.bns6.net
127.0.0.1 www.bns7.net
127.0.0.1 www.bns8.net
127.0.0.1 www.bns9.net
127.0.0.1 www.cms1.net
127.0.0.1 www.cms10.net
127.0.0.1 www.cms2.net
127.0.0.1 www.cms3.net
127.0.0.1 www.cms4.net
127.0.0.1 www.cms5.net
127.0.0.1 www.cms6.net
127.0.0.1 www.cms7.net
127.0.0.1 www.cms8.net
127.0.0.1 www.cms9.net
127.0.0.1 www.cydoor.com
127.0.0.1 www.jbns2.cydoor.com
127.0.0.1 www.jcms.cydoor.com
127.0.0.1 www.rg1.com
127.0.0.1 www.rg10.com
127.0.0.1 www.rg2.com
127.0.0.1 www.rg2nc3.rg2.com
127.0.0.1 www.rg3.com
127.0.0.1 www.rg4.com
127.0.0.1 www.rg5.com
127.0.0.1 www.rg6.com
127.0.0.1 www.rg7.com
127.0.0.1 www.rg8.com
127.0.0.1 www.rg9.com

Suggestion d'IPs de serveurs à bloquer
Par exemple en utilisant PeerGuardian.
.

Cookies à éradiquer utilisés par ce parasite
cydoor.com

Porter plainte
Portez plainte iciO.C.L.C.T.I.C
MINISTERE DE L'INTERIEUR
Direction Centrale de la Police Judiciaire
Sous-Direction des Affaires Economiques et Financières
8, rue de Penthièvre
75008 PARIS
Tel : 01.49.27.49.27
Télécopie : 01.40.97.88.59
oclctic@interieur.gouv.fr

Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir

Sécurité informatique - Contre-mesures

Derrière le rideau

Références

Ressources

PestPatrol

http://www.cydoor.com/

Requêtes similaires

Cydoor desktop media,
Cydoor's ads-on software
Cd_clint.dll
Cd_clint.exe
Cd_load.dll
Cd_load.exe
Cydoor removal
Cydoor spyware
Cydoor pop-up ads
Cydoor removal tool
Cydoor download
Cydoor sites
Cydoor ads
Cydoor adware
Adw-Cydoor
Adware.Cydoor
Adware.Cydoor Symantec
Adware.Cydoor removal tool
Adspy/Cydoor
Qu'est-ce que Cydoor
Cydoor killer
Logiciel Cydoor
Cydoor desktop media
Cydoor Technologies
Dummy replacement DLL for Cydoor
Supprimer Cydoor
Cydoor virus
win32/Cydoor
programfilesdir+\imesh\client\cd_install_202.exe
systemroot+\system32\cd_load.exe
systemroot+\system\cd_load.exe
programfilesdir+\grokster\cd_install.exe
systemroot+\temp\adware\cd_install_291.exe01dopewars_update.exe
cydoor.exe
cydoor_uninstall.exe
sahagent.exe
sahdownloader.exe
systemroot+\system32\cd_clint.dll
systemroot+\system32\cd_htm.dll
systemroot+\system\cd_clint.dll
systemroot+\system\cd_gif.dll
systemroot+\system\cd_htm.dll
systemroot+\system\cd_html.dll
systemroot+\system\cd_swf.dll
systemroot+\temp\cd_clint.dll
systemroot+\system32\cd_swf.dll
systemroot+\system32\msg{6ea0f469-dfd6-40fa-8ec0-29c8bf23cf76}0108.dll
systemroot+\system32\gdnp.dll
systemroot+\temporary internet files\content.ie5\kgrv9a5f\cd_htm[1].dll
profilepath+\local settings\temp\cd_clint.dll
systemroot+\system32\adcache\temp\cd_clint.dllcbanner2.dll
gr02.dll
xmltok.dll
netpal.dll
xmlparse.dll
lsp.dll
kernellos.dll
im64.dll
hkey_current_user\software\cydoor
hkey_current_user\software\cydoor services
hkey_current_user\software\microsoft\windows\currentversion\run\cydoor
hkey_local_machine\software\cydoor
hkey_local_machine\software\microsoft\windows\currentversion\run\cydoor
hkey_local_machine\software\microsoft\windows\currentversion\runonce\cydoorupdate
hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_202
hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_253
hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_270
hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_314
hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_319
hkey_local_machine\software\microsoft\windows\currentversion\uninstall\adsupport_336
hkey_users\.default\software\cydoor
hkey_users\.default\software\cydoor
hkey_users\.default\software\cydoor services
hkey_users\.default\software\cydoor services
hkey_users\s-1-5-21-1960408961-1993962763-1343024091-1003\software\cydoor
hkey_users\s-1-5-21-1960408961-1993962763-1343024091-1003\software\cydoor services
hkey_users\s-1-5-21-329068152-1677128483-854245398-500\software\cydoor
hkey_users\s-1-5-21-329068152-1677128483-854245398-500\software\cydoor services
hkey_users\s-1-5-21-725345543-1078145449-1343024091-500\software\cydoor
hkey_users\s-1-5-21-725345543-1078145449-1343024091-500\software\cydoor services
hkey_users\s-1-5-21-796845957-842925246-1060284298-500\software\cydoor
hkey_users\s-1-5-21-796845957-842925246-1060284298-500\software\cydoor services
b_197800.swf
cbanner2.dll
cydoor.exe
cydoor_uninstall.exe
gr02.dll
im64.dll
kernellos.dll
lsp.dll
netpal.dll
profilepath+\local settings\temp\cd_clint.dll
programfilesdir+\flashtalk\txt\mictest.rtf
programfilesdir+\flashtalk\txt\voicemessagesettings.rtf01dopewars_update.exe
programfilesdir+\grokster\cd_install.exe
programfilesdir+\imesh\client\cd_install_202.exe
sahagent.exe
sahdownloader.exe
systemroot+\system\cd_clint.dll
systemroot+\system\cd_gif.dll
systemroot+\system\cd_htm.dll
systemroot+\system\cd_html.dll
systemroot+\system\cd_load.exe
systemroot+\system\cd_swf.dll
systemroot+\system32\adcache\temp\cd_clint.dll
systemroot+\system32\cd_clint.dll
systemroot+\system32\cd_htm.dll
systemroot+\system32\cd_load.exe
systemroot+\system32\cd_swf.dll
systemroot+\system32\gdnp.dll
systemroot+\system32\msg{6ea0f469-dfd6-40fa-8ec0-29c8bf23cf76}0108.dll
systemroot+\temp\adware\cd_install_291.exe
systemroot+\temp\cd_clint.dll
systemroot+\temporary internet files\content.ie5\kgrv9a5f\cd_htm[1].dll
thumbs.db
v.dat
vg.dat
xmlparse.dll
xmltok.dll
systemroot+\system32\adcache
systemroot+\system\adcache
systemroot+\system32\adcache
systemroot+\system\adcache
programfilesdir+\toolbar
programfilesdir+\eudora\qualcomm2\eudora\eudpriv\ads\adcache
programfilesdir+\eudora\qualcomm\eudora\eudpriv\ads\adcache
d:\windows\system32\adcache
systemroot+\system32\adcache\temp
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce\cydoorupdate
bns1.net
bns10.net
bns2.net
bns3.net
bns4.net
bns5.net
bns6.net
bns7.net
bns8.net
bns9.net
cms1.net
cms10.net
cms2.net
cms3.net
cms4.net
cms5.net
cms6.net
cms7.net
cms8.net
cms9.net
cydoor.com
jbns2.cydoor.com
jcms.cydoor.com
rg1.com
rg10.com
rg2.com
rg2nc3.rg2.com
rg3.com
rg4.com
rg5.com
rg6.com
rg7.com
rg8.com
rg9.com