• Résumé : Alexa bar - adware et spyware
  

• Mots-clés : Alexa
  

Alexa

Alias :		Alexa
Classes :		Adware, Spyware, Bho, Downloader, Hijacker (error, homepage et search), trojan
Risque :
Editeur :
Découverte :
Installation :		Historiquement, le spyware d'Alexa était installé systématiquement avec Windows et Internet Explorer. Il n'en est plus rien actuellement et seule une clé appelée "Alexa" existe dans la base de registre. HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\ Cette clé ne doit pas être confondue avec le spyware Alexa en lui-même ni la barre d'outils Alexa. La découverte de cette clé ne doit en rien vous affoler. Sa présence n'affecte en rien votre vie privée et, d'ailleurs, les utilitaires de type anti-trojans ne la signale même plus (sauf erreur appelée "faux positif"). Cette clé fait partie de l'installation d'Internet Explorer, par Microsoft. Elle pointe vers une DLL légitime d'Internet Explorer qui provoque l'affichage d'une page Web (une page en HTML) stockée localement sur votre ordinateur et faisant partie, elle aussi, d'Internet Explorer. Depuis cette page, vous êtes dirrigés automatiquement vers une page en ligne de Microsoft, sur l'un de leurs serveurs et, de là, vous êtes enfin redirrigés vers le moteur de recherches d'Alexa. Microsoft perçoit une comission là-dessus en tant qu'affilié à Alexa. L'installation de la barre Alexa, que vous pouvez choisir volontairement d'installer depuis leur site, provoque la mise en oeuvre de leur "Related Links", une forme de publicité intrusive basée sur l'analyse de votre profil pour vous dirriger vers des sites affiliés commercialement à Amazon.com dont Alexa est une filliale tandis que l'usage de leur moteur de recherches (à la Google) fait la même chose en mode distant. Alexa explique, très superficiellement, ses Related Links, sur cette page (en anglais).
Affectés :		Historiquement, Alexa était un spyware systématiquement installé (mais vous pouvez continuer à l'installer depuis le site d'Alexa qui le propose en le présentant comme un outil d'aide aux recherches sur Internet). S'installe en tant que BHO (donc n'affecte que Internet Explorer et tous les navigateurs basés sur un noyau Internet Explorer) sous les systèmes Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
Epargnés :		Les systèmes d'exploitation DOS, Linux, Macintosh, OS/2, UNIX Les navigateurs basés sur le noyau Gecko (Mozilla, Netscape), Opera
Activité :		Related info
Vie privée :		Récupère des informations permettant de vous profiler. Les informations sont, au moins: sites visités, identification de la machine, identification de l'utilisateur, adresse e-mail, nom, adresse, numéros de téléphone, données de cartes bancaires et de crédit et autres identifications sans votre permission et sans vous avertir. Ajoute un identificateur unique ( guid ) à votre machine de manière à vous identifier personnellement depuis ses serveurs. Voir les analyses durant le procès dans l'affaire Alexa - Amazone.
Faille :		Constitue une grave faille de sécurité car il télécharge et installe des fichiers sans que nous en ayons connaissance et sans que nous puissions en connaître le contenu, en sus de la compromission des données personnelles.
Instabilité :		Ralentit le fonctionnement d'Internet Explorer.
Conséquences :		Aucune
Précautions :		Réglage de l'antivirus au maximum Sauvegarde de la base de registre Désactiver les points de restauration Redémarer en mode sans échec

Eradication automatique

Scan avec votre antivirus
Si vous avez un antivirus, utilisez-le, sinon télécharger BitDefender Pro ou Kaspersky AVP maintenant. Le scan doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, avec un paramétrage de votre antivirus tel que tous les types de fichiers sont scannés (y compris les fichiers compressés (archives .zip, .rar, .cab etc. ...)). Scanner et détruire tous les fichiers trouvés. Les antivirus ne sont pas des anti-trojans et n'arrivent pas à éradiquer complètement les parasites non viraux dont ils s'occupent. Une intervention manuelle est souvent nécessaire. S'assurer d'avoir un antivirus paramétré à son maximum puis lancer le scan.


Analyse avec votre anti-trojan
Si vous avez un anti-trojan, utilisez-le, sinon téléchargez PestPatrol ou a² personnal ou The Cleaner Pro ou Tauscan maintenant. Le scan doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, et avec les réglages poussés au maximum (voir mode d'emploi de PestPatrol en français). Scanner et détruire tous les objets malicieux trouvés. En version d'essai, illimitée dans le temps et autorisant les mises à jour, PestPatrol effectue seulement la détection complète mais pas l'éradication. A charge pour vous de faire l'éradication à la main.


Action contre l'aspect BHO du parasite
Il s'agit, entre autres, d'un BHO (qu'est-ce qu'un BHO) donc avec, par exemple, PestPatrol, SpyBot ou HiJackThis, vous pouvez le supprimer. Mode d'emploi de ces utilitaires sur leurs fiches respectives. Toutefois, inhiber ou supprimer le BHO est insufisant.


Eradication en utilisant l'outil proposé par l'auteur du parasite
Vous pouvez utiliser cet outil mais, dans la mesure ou son auteur est également l'auteur du parasite, toutes les réserves sont faites quant-à l'inocuité de cet utilitaire.
Toutes les versions de la barre Alexa comportent une procédure de désinstallation qui se trouve dans Ajout/Supression de programmes.
Les versions 5 comportent également un "Uninstall" accessible depuis le bouton rond avec un "?".
Les version 6 et 7 comportent un "Uninstall" accessible depuis la petite flèche dirrigée vers la bas, près du logo Alexa.
En cas de difficultés, téléchargez cet outil proposé par Alexa (fichier alexa_uninstall.inf) et mettez-le sur votre bureau (par exemple, mettez-le directement dans C:\Documents and Settings\Admin\Bureau si vous êtes sous Windows XP - ne pas le lancer - ne pas l'ouvrir). C'est un petit fichier de 11,5 Ko (11 788 octets) en Octobre 2004 et dont le MD5 est 64cfbb130afb6fc718a2f930a303e2d6. Touver l'icône "alexa_uninstall" qui doit maintenant apparaître sur votre bureau.

Faire un clic droit (un clic avec le bouton droit de la souris) dessus et choisir "installer".

Vous avez l'impression que rien ne s'est passé. Fermez toutes vos instances d'Internet Explorer. Relancez Internet Explorer. La barre d'outils Alexa n'existe plus. Vous pouvez détruire le fichier alexa_uninstall.inf.

Eradication manuelle

Précautions initiales génériques
• Régler votre antivirus et votre anti-trojans au maximum
  Si la procédure manuelle suivante vous suggère d'utiliser, à un moment donné, votre antivirus ou votre anti-trojans (généralement en fin de procédure manuelle), pensez à les régler au maximum.
  Comment régler mon antivirus au maximum
  
  
• Faire une sauvegarde de la base de registre
  Comment sauvegarder de la base de registre
  
  
• Révélez tous les fichiers et répertoires cachés
  Comment révéler (voir) les fichiers et répertoires cachés
  
  
• Vider tous les caches, détruisez tous les cookies inconnus ou inutiles
  Utiliser SpyBot Search & Destroy
  
  
• Vider la poubelle de Windows
  Clic droit > Vider (Ou procédures Norton si corbeille protégée par Norton)
  
  
• Désactiver les points de restauration
  Comment désactiver les points de restauration
  
  
• Redémarrer en mode sans échec
  Comment redémarrer en mode sans échec
  


Tuer les processus suivants, s'il sont lancés
Comment tuer un processus
systemroot+\application data\troashgr.exe
systemroot+\lycos.exe


Désenregistrer les DLLs suivantes
Comment désenregistrer une DLL
host.dll


Redémarrer en mode sans echec
Comment démarrer / redémarrer en mode "sans échec"


Supprimer les clés et/ou entrées suivantes lorsqu'elles existent.
Comment détruire une clé de registre - Comment détruire une entrée d'une clé de registre

HKEY_CURRENT_USER\software\microsoft\internet explorer\extensions\cmdmapping || {c95fe080-8f5d-11d2-a20b-00aa003c157a}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} || menutext
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} || menustatusbar
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} || script
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} || clsid
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} || icon
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} || hoticon
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} || buttontext





Détruire les répertoires suivants, s'ils existent (et tout ce qu'ils contiennent).
Comment détruire un répertoire


Détruire les fichiers suivants, s'ils existent
Comment détruire un fichier
c:\winnt\web\related.htm
ou
c:\windows\web\related.htm



Le contenu d'origine de ce fichier (on y reconnait la redirection vers Microsoft - "related.msn.com") est :



<script>
//Build the query
userURL=external.menuArguments.location.href;
RelatedServiceURL="http://related.msn.com/related.asp?url=";
//Perform simple check for Intranet URLs
//this is where the http or https will be, as found by searching for :// but skip res:
protocolIndex=userURL.indexOf("://",4);
serverIndex=userURL.indexOf("/",protocolIndex + 3);
urlresult=userURL.substring(0,serverIndex);
//Check if Intranet URL - then open search bar
if (urlresult.indexOf(".",0) < 1) userURL="Intranet URL";
finalURL = RelatedServiceURL + encodeURIComponent(userURL);
external.menuArguments.open(finalURL, "_search");
</script>





Notons que Spybot Search & Destroy remplace le contenu de ce fichier par un contenu redirigeant vers Google au lieu de supprimer la fonction recherche d'Internet Explorer. Contenu du fichier related.htm par Spybot :



<script>
//Build the query
userURL=external.menuArguments.location.href;
RelatedServiceURL="http://www.google.com/ie?as_rq=";
//Perform simple check for Intranet URLs
//this is where the http or https will be, as found by searching for :// but skip res:
protocolIndex=userURL.indexOf("://",4);
serverIndex=userURL.indexOf("/",protocolIndex + 3);
urlresult=userURL.substring(0,serverIndex);
//Check if Intranet URL - then open search bar
if (urlresult.indexOf(".",0) < 1) userURL="Intranet URL";
finalURL = RelatedServiceURL + encodeURIComponent(userURL);
external.menuArguments.open(finalURL, "_search");
</script>







Suggestion de serveurs à bloquer par leurs noms de domaine dans hosts
Qu'est-ce que hosts


Rechercher les parasites connexes
En amont, ce parasite a pu être installé par le ou les parasites ci-dessous qui ont agit en Downloader (téléchargeurs)
En aval, ce parasite a pu agir en Downloader (téléchargeur) et installer le ou les parasites ci-dessous.


Ressources
Des informations complémentaires peuvent être trouvées sur ces pages

Cordialement
Pierre Pinard


Je vous ai aidé ? Merci de m'aider à poursuivre.
Soutien et donnations

Rédigé en écoutant :