Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Alerta de Spyware: CoolWebSearch (CWS)
 
VSantivirus No. 1144 Año 7, Lunes 25 de agosto de 2003

Alerta de Spyware: CoolWebSearch (CWS)
http://www.vsantivirus.com/spy-cws.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy


Una de las características de este spyware, es que el mismo se transforma muy rápidamente. A continuación se detallan algunas de las variantes y su fecha aproximada de aparición, en orden cronológico inverso:

º DNSRelay.dll – 7/ago/2003
º Svchost32.exe – 3/ago/2003
º Oemsyspnp.inf – 29/jul/2003
º Msspi.dll – 28/jul/2003
º vrape.hardloved-com – 20/jul/2003
º OSLogo.bmp – 10/jul/2003
º Bootconf.exe – 6/jul/2003
º www.datanotary-com – 27/may/2003

Los SPYWARES, son programas que capturan datos sobre el uso de la computadora, cómo sitios visitados, etc., para luego enviarlos a determinados servidores, o utilizarlos en alguna forma clandestina.

CoolWebSearch es el nombre dado a una gran variedad de una clase de spywares conocidos como "secuestradores del navegador" (browser hijackers). El código es muy diferente entre cada una de las distintas variantes, pero todas son usadas actualmente para redireccionar a los usuarios al sitio coolwebsearch-com o sus afiliados.

La principal característica en este caso, es la rápida proliferación de las distintas versiones de este spyware, casi todas diferentes, lo que aumenta la dificultad para eliminarlo.

Estos son algunos de los detalles documentados para cada una de las versiones:

º DNSRelay.dll - Se engancha a toda URL manejada por el Internet Explorer. Intercepta todo lo escrito en la barra de direcciones, así como cualquier nombre de sitio ingresado sin el "http://" o "www", para redireccionar la búsqueda al sitio activexupdate-com (un sitio afiliado a CWS a través de yellow2-com) y a allhyperlinks-com.

º Svchost32 - Secuestra al archivo HOSTS para aplicar una técnica que le permite eludir la detección de las herramientas que detectan este tipo de spyware. Todos los buscadores, como Yahoo, MSN, y todas las versiones de Google (diferentes países), son puestos en el archivo HOSTS, apuntando a una dirección local (localhost, 127.0.0.1).

HOSTS es un archivo en formato texto, sin extensión, ubicado en windows\hosts o windows\system32\drivers\etc\hosts, dependiendo de la versión de Windows. Dicho archivo es usado por el sistema operativo para asociar nombres de dominio con direcciones IP. Si este archivo existe, el sistema lo examina antes de hacer una consulta a un servidor DNS.

Debido a que la mayoría de las computadoras no está ejecutando un servidor web, el sistema genera un mensaje de error, que el spyware intercepta, redireccionando el navegador al sitio de búsqueda de CWS, slawsearch-com.

º Oemsyspnp - Se esconde dentro de la carpeta INF, usualmente utilizada para almacenar información sobre drivers. Su archivo se ejecuta en cada reinicio de Windows, utilizando siempre diferentes comandos para ello. Secuestra la página de inicio y modifica las configuraciones para el buscador del IE, para que apunten al sitio www.adulthyperlinks-com y www.allhyperlinks-com. Además agrega el sitio activexupdate.com a la zona de sitios de confianza en el IE.

º Msspi.dll - Implementado como Winsock2 Layered Service Provider, intercepta los resultados de cualquier búsqueda en Google, Yahoo o Altavista, ofreciendo ventanas del tipo pop-ups con publicidad relacionada con la búsqueda, además de avisos de unipages-cc.

º OSLogo.bmp - Las páginas de inicio y de búsqueda del IE, son cambiadas por las de diferentes sitios afiliados con CoolWebSearch. Se han detectado por lo menos unos 80 dominios relacionados con CWS.

º Bootconf - Agrega una hoja de estilo en la carpeta de Windows, y modifica el registro para transformarla en la hoja de estilo por defecto para todas las páginas visualizadas en el IE. Intercepta la página de inicio, y todas las configuraciones de los diferentes buscadores, para redireccionarlos a coolwebsearch-com. Los nombres de los sitios son alterados utilizando técnicas de codificación de las URL, que hacen dificultosa su lectura. Bootconf.exe es configurado para ejecutarse en cada reinicio. El sitio principal de CoolWebSearch es agregado a la lista de sitios de confianza del IE.

º Datanotary - Es la primera variante conocida. Agrega una hoja de estilo en la carpeta de Windows, y modifica el registro para transformarla en la hoja de estilo por defecto para todas las páginas visualizadas en el IE. Esta hoja agrega un javascript que intentará actuar cuando el usuario vea imágenes pornográficas.

Todos estos spywares, podrían instalarse explotando vulnerabilidades del IE a través de pop-ups que se abren al visitar un sitio relacionado con CoolWebBrowser.

Al menos en una de sus variantes (Bootconf.exe), el sitio principal de CoolWebSearch es agregado a la lista de sitios de confianza del IE. Esto habilita que se pueda descargar e instalar prácticamente cualquier clase de código desde allí.

Las variantes Datanotary y Bootconf, pueden causar un significativo enlentecimiento cuando se está escribiendo en algún formulario, datos de búsqueda, etc.

La variante SvcHost impide utilizar los buscadores como Google, MSN o Yahoo.

La remoción manual es posible en todos los casos, pero muy dificultosa. Las herramientas especializadas, actualmente tampoco pueden eliminar todas las variantes.

Sin embargo, existe una herramienta, creada por Merijn Bellekom de SpywareInfo.com, capaz de remover todas las versiones aquí mencionadas. También se ofrece una documentación completa para la remoción manual (en inglés).

La herramienta y la mencionada documentación, pueden ser accedidas desde el siguiente enlace:

The CoolWebSearch Chronicles
The story of a thousand hijacks
http://www.spywareinfo.com/~merijn/cwschronicles.html




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS