| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
vin-moi
Administrateur
Inscrit le: 28 Aoû 2004
Messages: 6897
Localisation: France
|
 Posté le: 13 Jan 2005 à 22:36 Sujet du message: |
 |
|
et bien, voila, tu a trouvé ton spyware ! Execute le uninstalle de backweb client !
quelques info a ce sujet :
| Citation: |
BackWeb
Pierre Pinard© (05.11.2003)
Généralités
* Nom
BackWeb
* Autres noms
Connu sous le nom de "Active Update" de Compaq, Cisco, Hewlett-Packard, Ericsson, IBM, Schlumberger Dowell etc. ... C'est aussi, chez Packard Bell, ActivSurf.
* Description Résumée
BackWeb est un outil client-serveur. Il est identifié pour être livré, au moins, par les vendeurs IBM, Compaq, HP Hewlett-Packard, Network Associates, Real Networks, Logitec (dans ses drivers!), F-Secure, McAffee, Western Digital, Kodak digital camera sync software, Kodak Software Updater (Kodak Easyshare digital cameras), Packard Bell ActivSurf...
BackWeb pratique le download silencieux. Il est utilisé par les vendeurs de logiciels et de matériel qui le livrent en bundle avec leurs produits pour, d'une manière pro-active, distribuer du contenu à leurs clients. Ils prétendent ainsi permettre des mises à jour automatiques de leurs produits type drivers (pilotes de périphériques) ou applications. Il s'agit d'une forme de communication de contenu dite "push" - ce n'est pas vous qui allez chercher les mises à jour, ce sont les vendeurs qui entrent dans vos machines et vous les imposent. BackWeb sert surtout à télécharger des données de type "informations sur leurs nouveaux produits" et à les afficher sous forme de pop-up. Il a donc, à ce titre, un comportement strictement d'adware. L'un de ses composants, iadhide3.dll, écoute ce qui se passe au clavier, à la souris et dans le lancement d'applications, travail habituel des keyloggers, même si BackWeb se défend de noter quoi que se soit, pour détecter les périodes de "pose" des utilisateurs et afficher des pop-ups publicitaires. Mais c'est là le moindre des soucis qu'il pose.
Dans le cadre de "réseaux privés", BackWeb permet de faire de la promotion sur des cibles déjà clientes et non pas au simple stade de prospect. C'est la "push technology". Son comportement est fonction de son paramétrage d'exploitation par la tâche qui le sollicite. Il peut être utilisé à bon escient et, par exemple, en 1999, la société SAP, éditrice de la gamme de logiciel du même nom, SAP (solutions commerciales et comptables pour les très grands groupes multinationaux), à passé un accord avec la société éditrice de BackWeb afin que SAP, par sa plate-forme de maintenance mySAP, puisse diffuser des informations, alertes ou mises à jour auprès de ses clients en utilisant la plate-forme Internet de BackWeb. Des tâches "client BackWeb" sont donc "à la réception". La technologie "BackWeb" permet donc de créer des "réseaux privés" depuis 1996 et Général Motor, l'une des toutes premières entreprises du monde, fut un des tout premiers clients. La société BackWeb est cotée au Nasdaq et est spécialiste des infrastructures de communication Internet.
Il n'a pas encore été prouvé qu'il était malicieux mais il est très suspect dans son comportement et dans son installation à tel point que beaucoup d'observateurs le classe parmi les Spywares.
HP (Hewlett Packard) est l'un de ces fournisseurs de matériel utilisant la technologie BackWeb mais lui (et sans doute les autres mais on ne le sait pas encore) est allé tellement loin que son logiciel Internet Netropa ping régulièrement un serveur pour maintenir une connexion vivante et transmet l'usage des touches de fonction étendues des claviers type One Touch Internet Keyboard. Là, il s'agit d'un véritable keylogger.
Compaq utilise la technologie BackWeb pour son service Active Update comme Cisco, Hewlett-Packard, Ericsson, IBM et Schlumberger Dowell. Le but apparent est de permettre à ces constructeurs d'accéder à tous leurs ordinateurs (tous les ordinateurs qu'ils vous ont vendus) et downloader (télécharger) des composants logiciels et des mises à
jour automatiquement, dès que vous êtes connectés. Ceci nécessite un scan de l'ordinateur pour savoir quels logiciels sont installés, dans quelles langues, avec quelles numéros de version etc. ... Y a-t'il un seul naïf pour croire un seul instant qu'ils trient l'information et ne font remonter que ce qui les concerne ...? BackWeb est un cheval de Troie connu.
Notons qu'un vrai FireWall bidirectionnel (comme OutPost Pro), mais pas du tout le gadget appelé FireWall dans Windows XP, suffit à le bloquer. Il est impératif de supprimer backweb sur tous les ordinateurs familiaux et individuels et de demander précisément de le faire au directeur du SI pour les grands comptes.
D'après des notes de cexx.org il ressemble à DSSAGENT et à CameoCast. Les fichiers BackWeb sont téléchargés depuis main.cameocast.com
* Variantes
.
Ce qu'il fait
Publicité Violation de la vie privée Introduit une faille de sécurité Introduit une instabilité du système
.
.
Oui
.
* Publicité :
Oui et non. Oui dans le push mais c'est alors dans le cadre de contrats informatifs spécifiques.
Le composant iadhide3.dll est enregistré en tant que "Windows system-wide hook", en utilisant une API standard Win32, API) et traque les évènements suivants:
o Activité clavier
o Activité souris
o Applications - ouverture et fermeture de processus
Dans son activité apparente, cette DLL repère les "temps morts", à l'écran, des utilisateurs, et en profite pour leur projeter des fenêtres publicitaires (pop-ups). On ne sait pas exactement ce que fait l'ensemble du produit client/serveur BackWeb. BackWeb site directement, sur les pages de son site, au moins cette liste de clients utilisant le composant iadhide3.dll :
o EasyShare - from Eastman Kodak Company
o DataLifeguard - from Western Digital (hard drive tools)
o SecureCast - from NAI (McAffee) (.DAT and product updates)
o Connection - from CABC
o Active Update - from COMPAQ/HP
o Compaq Service Connection – COMPAQ/HP
o Logitech Desktop Messenger - from Logitech
o HP Center – from Hewlett Packard
o F-Secure
* Violation de la vie privée :
Oui. BackWeb est installé sur de très nombreuses machines dès l'origine. Par nature, les mises à jour automatiques nécessitent que de l'information soit collectée sur nos ordinateurs, on ne sait pas exactement laquelle, et renvoyée vers des serveurs, on ne sait pas exactement lesquels.
Il est légitime de se demander qu'est-ce qui peut pousser un bête driver de souris (Logitech) à demander des connexions Internet !
Même interrogation en ce qui concerne Western Digital.
* Introduit une faille de sécurité :
Oui. Par nature, les mises à jour automatiques sont destinées au download et installation de code non vérifié et non vérifiable sur nos machines, avec impossibilité de s'y opposer.
La position constante d'Assiste.com consiste à dire :
Nous recommandons avec insistance de ne jamais avoir de tâche de cette nature active dans vos ordinateurs. Il est impossible de savoir exactement à quoi elles servent, les informations qu'elles collectent et transmettent, à qui elles les transmettent etc. ... D'autre part il est impossible de savoir quels programmes sont téléchargés et installés dans nos ordinateurs, ni d'en contrôler le code, ni de s'y opposer. Toutes les tâches de mises à jour automatique doivent être considérées comme de graves failles de sécurité. Seule la tâche de mise à jour de votre antivirus doit être autorisée car sa fréquence (plusieurs fois par jour) ne permet pas un suivi manuel. Les drivers connaissent 1 à 2 mises à jour par an, au début de leur sortie, puis plus rien ou presque. Les firewall également n'ont pas à disposer d'une mise à jour automatique
qui se connecte périodiquement. Même le simple avertissement de publication d'une nouvelle version ou d'un correctif, sans installation automatique, sous-entend que la tâche s'est connecté et a envoyé des données. Enfin ces tâches ralentissent le démarrage du système et certaines causent des crashs. Et, cela va sans dire mais il semble que cela aille beaucoup mieux en le disant : Si vos périphériques fonctionnent correctement il n'y a strictement aucune raison de chercher à corriger un problème qui n'existe pas, quitte à en amener un qui n’existait pas. Si quelque chose va réellement mal, naviguez sur les pages de drivers de vos fournisseurs et téléchargez celui dont vous avez besoin, au moment où vous en avez besoin c'est tout.
* Introduit une instabilité du système :
Il a été signalé le message d'erreur "BackWeb caused an invalid page fault in module BackWeb.EXE at 017f:004024f9."
Runner Error Invalid Backweb application id. Ce message d'erreur est souvent signalé, suivi d'un code. Il s'agit probablement de l'usage d'un anti-spyware qui a partiellement ou totalement désinstallé BackWeb alors qu'une application tente d'y accéder. Il peut s'agir aussi de l'installation concurrente de plusieurs BackWeb sur le même ordinateur.
source : http://assiste.free.fr/p/internet_attaquants/backweb.php
|
Et oui, tu supprimes tout les anciens fichiers/entrée de tes ex- antivirus et firewall !
_________________
|
|
| Revenir en haut de page |
|
 |
Sk8_is_Fun
Inscrit le: 30 Aoû 2004
Messages: 593
Localisation: Belgique, namur (andenne).
|
| Posté le: 13 Jan 2005 à 22:44 Sujet du message: |
|
|
voila je vire back web,mtn qu'il est viré est-ce uqe ca va changer quelquechose pour mes programmes?et comment exécuter le uninstall?
un truc plus sérieux,j'ai 2contacts qui se sont ajoutés à mon msn et par aprés(je les ai supprimés et bloqués)l'un d'un m'a dit(sur jeuxvideo.com)que il m'avait hacker... mtn j'ai panda antivirus 2005(acheter)et firewall et de temps en temps il intercepte des attaques et j'aurais voulu savoir(il m'a hacker avant que j'ai mon fire wall)SI il m'a réellement hacker,comment le savoir?et si avec le firewall à jour il saura me hacker?il a aussi(je pense)récupérer mon mot de pass et nom d'utilisateur ainsi que mon numéro de client pour l'anti virus(j'ai envoyer un mail a panda pour qu'il me revoi mon mot de passe(chez panda)mais l'adresse électronique(de moi)a été changée par une autre,quesque je risque sachant que ces données servent pour les services en ligne de panda(assistance technique...)??????
_________________
Glups |
|
| Revenir en haut de page |
|
|
vin-moi
Administrateur
Inscrit le: 28 Aoû 2004
Messages: 6897
Localisation: France
|
| Posté le: 13 Jan 2005 à 22:51 Sujet du message: |
|
|
ba ya quelques moyen de se faire prendre son pass msn, je parle pas de hackage, ca n'a rien a voir, ce sont des lamers qui s'amusent à faire ca.
- le mail qui te dis que si t'envoie ton MDP et ton msn , tu recevra le pass de qui tu veux, le veritable piège à c*n !
- être piégé avec la question / reponse
- Peut etre un peu plus avancé, infiltrer ton pc ou mettre un keyloger pour recuperer ton pass ...
Mais c'est normal pour les attaques detectées, ils y en a tout le temps 
Pour backweb, d'après ce que j'ai compris, il est cappable de télécharger en arrière plan et de diffuser des pub et de rendre instable ton pc.
tu devrai donc avoir moins de popup, gagner en bande passante, et ton pc devrait etre plus stable !
_________________
|
|
| Revenir en haut de page |
|
|
Sk8_is_Fun
Inscrit le: 30 Aoû 2004
Messages: 593
Localisation: Belgique, namur (andenne).
|
| Posté le: 13 Jan 2005 à 22:55 Sujet du message: |
|
|
non en fait je demande:comment savoir si il m'a deja hacker?
-ce mail,c'est moi qui l'ai envoyé à panda pour récupérer des données c'est pour savoir si avec ca il pourrait infiltrer mon pc(ce sont juste des données pour les mises à jour et l'assistance en lign)ou si il pourrait bloquer les mises à jour?
-comment faire le uninstall de backweb?je l'ai juste virer avec regcleaner
_________________
Glups |
|
| Revenir en haut de page |
|
|
vin-moi
Administrateur
Inscrit le: 28 Aoû 2004
Messages: 6897
Localisation: France
|
| Posté le: 13 Jan 2005 à 23:06 Sujet du message: |
|
|
et bien normalement tu a un fichier uninstall.exe dans le dossier de back web, si tu l'a pas, vire les entrées du registre de backweb et le dossier dans c:\program files\ !
regarde aussi si il ne demarre pas avec windows (msconfig dans executer > onglet demarrage) et regarde si il n'est plus dans les processus windows : ctrl + alt + suppr.
Pour ton autre question, je sait pas, regarde si des fichiers n'ont pas disparut, des trucs du genre ...
_________________
|
|
| Revenir en haut de page |
|
|
Sk8_is_Fun
Inscrit le: 30 Aoû 2004
Messages: 593
Localisation: Belgique, namur (andenne).
|
| Posté le: 13 Jan 2005 à 23:16 Sujet du message: |
|
|
dans c:program je ne peu pas le suprimer,je l'a virer avec recleaner mais effectivement j'ai un truc je fait clique droit==>supprimé puis j'ai "erreur" vérifier que le disque n'est pas plein ou protégé en écriture et que le fichier n'est pas utilisé pour le moment
_________________
Glups |
|
| Revenir en haut de page |
|
|
vin-moi
Administrateur
Inscrit le: 28 Aoû 2004
Messages: 6897
Localisation: France
|
| Posté le: 13 Jan 2005 à 23:20 Sujet du message: |
|
|
bon, fait ctrl + alt + suppr , va à l'onglet processus, puis clic trop sur le processus "backweb" > terminer le processus. tu devrais pouvoir supprimer le dossier.
ensuite, rend toi dans la base de registre : regedit.exe dans executer > va ici : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
et supprime l'entrée backweb si il y en a une.
ensuite, va dans executer puis tappe "msconfig" et va à l'onglet "demarrage" et verifie si il n'y a pas back web ! au passage, decoche les logiciels qui te sont inutiles au demarrage !
_________________
|
|
| Revenir en haut de page |
|
|
Sk8_is_Fun
Inscrit le: 30 Aoû 2004
Messages: 593
Localisation: Belgique, namur (andenne).
|
| Posté le: 13 Jan 2005 à 23:22 Sujet du message: |
|
|
ben je n'ai rien dans processus(je veu dire que j'ai pas backweb)
_________________
Glups |
|
| Revenir en haut de page |
|
|
Sk8_is_Fun
Inscrit le: 30 Aoû 2004
Messages: 593
Localisation: Belgique, namur (andenne).
|
| Posté le: 13 Jan 2005 à 23:30 Sujet du message: |
|
|
bon j'vous laisse bonne nuit à tous,donc dans processus j'ai rien qui s'appelle backweb,je n'ai pas non plus le dossier de back(il faut que je face "rechercher' et la j'ai deux trucs backweb que je ne peu pas supprimé(avec le message d'erreur que j'ai dit dans un de mes dernier post(avant dernier sans compter celui-ci)
_________________
Glups |
|
| Revenir en haut de page |
|
|
vin-moi
Administrateur
Inscrit le: 28 Aoû 2004
Messages: 6897
Localisation: France
|
| Posté le: 13 Jan 2005 à 23:45 Sujet du message: |
|
|
supprime les en mode sans echec dans ce cas 'touche F8 au demarrage).
_________________
|
|
| Revenir en haut de page |
|
|
Sk8_is_Fun
Inscrit le: 30 Aoû 2004
Messages: 593
Localisation: Belgique, namur (andenne).
|
| Posté le: 14 Jan 2005 à 17:48 Sujet du message: |
|
|
ok mais une fois en mode sans échec je fait comment pour revenir en mode normal?
j'ai eu ca au démarage de l'ordi(sur mon bureau) runner error:runner file name(logitechdesktopmessenger.exe) lack a '-'(the app id separator) je fait quoi?
_________________
Glups |
|
| Revenir en haut de page |
|
|
vin-moi
Administrateur
Inscrit le: 28 Aoû 2004
Messages: 6897
Localisation: France
|
| Posté le: 14 Jan 2005 à 17:56 Sujet du message: |
|
|
ba pour revenir en mode normal tu redemarres 
_________________
|
|
| Revenir en haut de page |
|
|
Sk8_is_Fun
Inscrit le: 30 Aoû 2004
Messages: 593
Localisation: Belgique, namur (andenne).
|
| Posté le: 14 Jan 2005 à 18:01 Sujet du message: |
|
|
ah oki lol
et pour mon truc de runner file... t'en pense quoi toi?
_________________
Glups |
|
| Revenir en haut de page |
|
|
vin-moi
Administrateur
Inscrit le: 28 Aoû 2004
Messages: 6897
Localisation: France
|
| Posté le: 14 Jan 2005 à 18:22 Sujet du message: |
|
|
Réinstalle tes pilotes logitech, après une petite recherche sur google, il y a un lien entre logitech et Backweb.
_________________
|
|
| Revenir en haut de page |
|
|
Sk8_is_Fun
Inscrit le: 30 Aoû 2004
Messages: 593
Localisation: Belgique, namur (andenne).
|
| Posté le: 14 Jan 2005 à 18:26 Sujet du message: |
|
|
ah ok... je dois donc désinstaller tous mes truques logitech? ptin je peu trouver ca en ligne ou je doi mettre mes cd?
_________________
Glups |
|
| Revenir en haut de page |
|
|
Ajouter à : 
|
|
Ce que nous vous conseillons :
